日前,中国信息通信研究院正式官方发布软件供应链安全系列工具能力评估通过名单,悬镜安全旗下主力核心三款产品——源鉴SCA开源威胁管控平台、灵脉AI开发安全卫士、灵脉IAST灰盒安全测试平台凭借其全球对标技术领先的性能指标优势以及多场景覆盖的体系化解决方案能力,率先通过评估,成为2025年国内首批通过中国信通院软件供应链安全系列工具能力评估产品。
自2019年以来,以全链路安全保障为目标,中国信息通信研究院牵头制定了多项行业标准,悬镜作为联合牵头单位深度参与了《静态应用程序安全测试工具能力要求》、《交互式应用程序安全测试工具能力要求》、《运行时应用程序自我保护工具能力要求》、《软件物料清单总体能力要求》等软件供应链安全工具相关标准,并持续从用户视角出发测试和评估厂商安全工具能力及性能。通过该评估,有助于企业推动软件供应链安全体系建设,提升组织全链路安全保障能力,同时提升软件供应链透明度,将成熟度高、实战经验丰富、具有示范标杆作用的案例进行行业示范与有益推广,切身帮助企业级用户积极应对不断出现的软件供应链安全治理难题,为用户选择合适的厂商及产品提供选型依据。据中国信通院官方权威发布,截止目前通过评估企业名单(排名不分先后):
数据来源:中国信通院 可信安全 | 可信软件物料清单SBOM评估通过名单&证书信息
数据来源:中国信通院 可信安全 | 软件供应链安全工具系列评估通过名单&证书信息
悬镜源鉴SCA开源威胁管控平台
源鉴SCA作为悬镜第三代DevSecOps数字供应链安全管理体系中的开源治理环节的新一代数字供应链安全审查和治理平台,同时拥有自研专利级SCA源码组件成分分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪、代码成分溯源分析及开源供应链安全情报预警分析等六大核心引擎,能够深度挖掘数字应用及运行环境中潜藏的各类开源风险并提供实时精准的数字供应链安全情报预警能力。悬镜旗下全球首个开源数字供应链安全社区OpenSCA,是国内用户量最多、应用场景最广的开源SCA平台。
OpenSCA通过软件码纹分析、依赖分析、特征分析、引用识别与开源许可合规分析等综合算法,深度挖掘开源供应链安全风险,智能梳理数字资产风险清单,结合SaaS云平台和实时供应链安全情报,为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。
作为国内领先的数字供应链安全专业厂商,悬镜安全为用户提供完整的基于SBOM清单管理的数字供应链安全管理解决方案,并已在大量标杆用户成功实践落地。SBOM作为数字供应链安全治理的基础性工具之一,悬镜安全是其国内较早的实践者和布道者。悬镜安全率先在源鉴SCA商业化产品中集成了DSDX、SPDX、CycloneDX、SWID四种SBOM标准格式的自动化生成能力。在商业化的同时,悬镜安全更不忘为开源社区、广大开发者和中小企业赋能,旗下开源数字供应链安全社区OpenSCA是目前国内能够完全自主化、自动化生成DSDX、SPDX格式SBOM清单的开源SCA工具。基于深厚的技术实力和产品应用实践,源鉴SCA连续多次被Gartner、Forrester等国际权威咨询机构评为SCA技术代表,并连续四年在市场应用率位列第一,同时也是国内首批通过供应链安全检测工具类-增强级(编号CSPEC-GGJ 2401001)认证产品,广泛应用于金融、能源、运营商、智能制造、政企及泛互联网等行业头部客户。OpenSCA开源社区先后被评为Gitee-GVP最有价值开源项目和全球十大开源软件产品。
灵脉AI开发安全卫士
灵脉AI是国内率先实现通过最先进的LLM技术打造的开发安全代码审计AI,提供与代码安全专家能力相当、智能好用的AI开发安全助手。不仅能够自动进行全面缺陷检测,还提供详细的修复方案和建议,可应用于研发团队安全编码规范落地、软件安全测试、安全代码审计、数字供应链安全审查、DevSecOps及SDL落地等场景,帮助企业快速提升代码安全治理能力。
灵脉AI基于业界领先的SAST程序分析引擎和AI分析引擎,支持污点分析、符号执行、各类敏感性分析、指针分析、代码AI自动修复,减少开发人员修复代码时间至少80%,修复后代码准确度至少可达到90%以上;AI漏洞验证,减少审计人员审计缺陷时间90%等能力;灵脉AI可提供全面精准的检测能力,支持30+开发语言检测,6000+典型缺陷检测器,检测速度可达百万行/小时;深度融合SCA软件成分分析能力,并支持组件洞可达性分析,提供数字供应链安全审查并实现供应链安全能力支撑;联动XSBOM数字供应链安全情报能力,可实时精准个性化推送漏洞风险、投毒事件、许可证风险、断供风险等安全事件信息,帮助企业和用户及时应对数字供应链安全风险。
凭借突出的能力优势,灵脉AI在2023年入选国际权威咨询机构Forrester发布的《The Static Application Security Testing Landscape》报告,成为了全球范围内仅有的两款亚太区SAST代表产品之一。同时,根据中国DevOps & BizDevOps现状调查报告(2024)显示,灵脉AI连续四年市场应用率位列DevSecOps数字供应链赛道第一,并广泛在金融、车联网、泛互联网、能源等行业实现落地,拥有丰富的实践经验和用户案例。
悬镜灵脉IAST灰盒安全测试平台
灵脉IAST灰盒安全测试平台是全球代码疫苗内核驱动的新一代交互式应用安全测试平台,也是国内语言支持数量和测试覆盖场景类型数量均领先、具备探针技术领先和实践成熟度的IAST产品,具备API接口安全检测及敏感数据链路追踪能力,透明集成于现有IT流程,自动化完成业务代码上线前安全测试,重点覆盖95%以上中高危漏洞,防止应用带病上线,保障数字供应链开发环节的安全运行。
灵脉IAST是市场应用率连续四年第一、国内语言支持数量第一、测试覆盖场景类型数量第一、探针技术领先性第一、成熟度第一的IAST产品。截至目前,灵脉IAST探针累计插桩应用达300万+,广泛实践于金融、泛互联网、政企、通信、能源等行业头部用户。
身为全球数字供应链安全开拓者与引领者,悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新,通过AI大模型技术深度赋能基于“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系,积极发挥先行者的产业生态影响力,加强行业生态协同,助力企业用户数智化转型升级和高质量发展,真正实现数字供应链安全能力质的飞跃,守护中国数字供应链安全。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。