数字供应链安全治理
贯穿供应链引入、生产和供应交付运营全流程,构筑覆盖
数字供应链安全管理平台+敏捷工具链+供应链安全情报预警的 综合供应链安全审查与治理能力体系
数字供应链安全,守护每一个环节
数字供应链是基于供应关系,通过资源和过程将数字应用、基础设施服务和供应链数据从供方传递给需方的网链系统。
·数字应用安全:应用开发安全(DevSecOps/SDL)、开源治理(合规/风险)、数字免疫(防御左移,代码疫苗);
·基础设施服务安全:云原生安全(CNAPP)、供应链环境安全、AI大模型安全治理;
·供应链数据安全:API安全、应用数据安全、第三方风险管理。
数字供应链的现实安全需求
数字应用安全
当前平均每个数字应用的开源成分都接近78%-90%
开发人员更为关注功能实现
第三方供应商风险管理
数字应用系统开发、外购安全产品运营维护等工作大量依赖第三方供应商及安全服务人员
外部人员在服务过程中的蓄意篡改投毒行为无法被快速分析及定位
代码数据安全
合作开发及外包开发场景下,需要为合作方提供二进制文件
甚至源代码。厂商的代码管理工作不到位可能造成内部源代码及敏感数据的外泄风险
甚至源代码。厂商的代码管理工作不到位可能造成内部源代码及敏感数据的外泄风险
第三方产品风险管理
外购产品包括应用系统、专用组件和工具的漏洞披露、安全管理等问题,成为供应链安全的重要环节
外采对象供应商及安全服务人员的变更调动会使对应外购产品失去支撑
数字供应链安全治理核心技术
悬镜数字供应链安全治理解决方案以代码疫苗技术为核心,提供覆盖供应链引入、生产、供应付运营三大数字供应链环节的核心技术支撑。
供应链引入
第三方软件 
商采产品
开源软件
合作开发
基础设
置服务
置服务
支撑
管控要素
代码来源
代码质量安全
应用数据安全
知识产权合规
软件物料清单规范
责任划分清晰
生产链
支撑
DevSecOps敏捷安全体系
计划阶段
构建阶段
验证阶段
发布阶段
预防阶段
检测阶段
响应阶段
预测阶段
改进阶段
供应链交付运营
支撑
应用安全要求
软件物料清单规范
代码质量安全
应用数据安全
知识产权合规
服务支持
运行监控
数字应用、
基础设施服务
安全上线运营
基础设施服务
安全上线运营
安全情报预警,供应链安全治理的重要一环
悬镜XSBOM数字供应链安全情报平台融合了超100类渠道数据,并结合策略、AI、专家体系化运营以及风险评级模型,实现了情报的快准全,帮助企业在安全开发、运维、采购、分发各个阶段提供情报数据解决方案。
数字供应链安全情报联动安全工具链,对全球数字供应链投毒情报、漏洞情报、停服断供情报进行实时动态监测与源分析,智能精准预警“与我有关”的数字供应链安全情报。
组件投毒&漏洞检测,实时预警
结合SCA技术,持续监控应用组件漏洞&
投毒风险,并提供实时预警和修复方案
开源组件清单
| Component | Version |
|---|---|
| bcm5700-source | 8.3.14 |
| bird | 1.6.3 |
| bridge-utils | 1.5 |
| busybox | 1.29.3 |
| cron | debian-3.0pl1-99 |
| dnsmasq | 2.80 |
| dropbear-ssh | dropbear 2018.76 |
| ebtables | 2.0.8-rc2 |
| igmpproxy | 0.1 beta5 |
| inadyn | .98.1+git2013051 |
| iptables | 1.3.7 |
| linux | 2.6.24.7 |
| ppp | 2.4.9 |
| pptpd | 14.0 |
| uclibc | 0.9.33.2 |
| wol | 0.7.1 |
风险溯源
开源组件风险分析
- 组件投毒指纹、loC关联分析
- 组件投毒修复方案
- 漏洞关联分析
- 漏洞缓解修复方案&组件级推荐修复方案
- 组件停服、断供风险分析
- 组件许可兼容、变更风险分析
供应链安全情报数据库
- 安全漏洞情报
- 开源组件风险情报
- 开源组件投毒情报
- 组件投毒IoC数据
情报运营
数字供应链投毒情报
投毒分析复现
投毒预警及修复
数字供应链漏洞情报
可利用性验证
可达性分析
数字供应链安全治理框架
悬镜数字供应链安全治理解决方案以代码疫苗技术为核心,提供覆盖供应链引入、生产链、供应链交付运营三大数字供应链环节的核心技术支撑。
“子芽说”安全从供应链开始
开源风险治理实践案例
架构自适应,覆盖云原生特色场景
金融
能源
智能制造
我们为您构筑领先的闭环数字供应链安全治理体系
悬镜安全作为数字供应链安全开拓者和领导者
专注为企业数字化转型提供敏捷安全开发、一键数字应用供应链安全审查和一站式数字供应链安全治理运营产品服务