风险情报驱动的数字供应链安全治理实践

原创 于 2025-12-31 16:27:17 发布 · 653 阅读 · 10
标签
#安全

尊敬的各位来宾:

大家好!我是悬镜安全CCO董毅,今天非常荣幸能与大家分享《风险情报驱动的数字供应链安全治理实践》。在数字化深入发展的今天,软件已成为各行各业的核心基础设施,而软件供应链的安全稳定,更是关乎企业生存、行业发展乃至国家网络空间安全的关键。

治理背景:

为什么国家与行业如此重视供应链安全?

首先,我们需要明确什么是软件供应链。根据国家标准GB/T 43698-2024《网络安全技术 软件供应链安全要求》的定义,软件供应链是需方和供方基于供应关系,开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成的网链结构。简单来说,从软件的"工厂"(开发阶段)到"江湖"(运营阶段),这一完整链路中的所有环节,都属于软件供应链的范畴。我们所做的,就是为这条"数字应用"的全生命周期安全保驾护航。

演讲现场-悬镜安全技术合伙人 董毅

国家之所以专门出台国标规范供应链安全,核心原因在于当前国际网络安全形势日趋复杂。众所周知,去年黎巴嫩发生的通信设备大规模爆炸事件,揭开了"供应链战争"的黑幕——这是一次通过供应链预置和网络攻击实现的定向攻击活动,目标精准且破坏力巨大。而权威机构的预测更让我们警醒:Gartner指出,2025年全球45%的组织会受到软件供应链攻击,这一比例比2021年增长三倍;欧盟网络安全局(ENISA)更是预警,到2030年,软件供应链问题将成为头号网络威胁。

这些数据和案例都在告诉我们,软件供应链安全已不再是企业的"选择题",而是关乎生存发展的"必答题"。在此背景下,悬镜安全基于多年探索实践,形成了一套可落地的供应链安全治理体系,希望能为行业提供参考。

实践指南:

六级工作域+三级成熟度的治理框架

我们将数字供应链安全治理的探索,归纳为六个核心工作域和三个成熟度等级。六个工作域(制度要求、资产清单、风险情报、检测告警、缓解治理、报告监测)没有优先级之分,需要全面覆盖;三个成熟度等级则是循序渐进的提升过程,从基础级到进阶级,再到引领级,实现从"被动防御"到"主动治理"的跨越。

数字供应链安全实践框架

基础级:开源工具+人工,筑牢安全底线

最低0.47元/天 解锁文章
悬镜安全
关注
博客
“Vibe Coding”时代的安全边界:悬镜问境AIST如何护航Agent开发全流程?
04-20 476
一个典型的场景是:开发者说“帮我写一个调用GPT API的脚本”,AI生成了几十行代码,其中包含了API密钥的硬编码、不安全的错误处理、以及直接将用户输入拼接到Prompt中的写法。它描述了一种新的编程状态:开发者用自然语言描述意图,AI辅助工具(如Cursor、Copilot、WindSurf)自动生成代码,开发者主要承担“审查”而非“编写”的角色。安全工具最大的敌人不是“攻击者”,而是“开发者不买账”。:告警信息不仅描述“有什么问题”,还解释“为什么这是问题”和“怎么修”,降低开发者的认知负担。
博客
“Vibe Coding”时代的安全边界:悬镜问境AIST如何护航Agent开发全流程?
04-20 400
从代码生成时的实时检测,到模型引入时的自动评估,再到上线前的智能红队测试,问境AIST覆盖了AI应用安全的全生命周期。这种“全流程内嵌”的设计,使得安全不再是开发流程之外的“额外负担”,而是内生于开发流程的“基础设施”。安全不是阻碍创新的枷锁,而是护航创新的基石。问境AIST的AI代码安全护栏,与传统SAST工具最大的区别在于:它不是基于规则匹配,而是基于大模型对“上下文”的语义理解。在这样的系统架构下,安全不再是“某个函数有没有漏洞”的微观问题,而是“整个Agent系统的行为是否符合预期”的宏观问题。
博客
Gartner警告:2026 AI供应链攻击激增200%!除了“以AI对抗AI”,我们别无选择
04-20 301
Gartner最新发布的报告给出了一个令人警醒的数字:软件供应链攻击造成的经济损失将从2023年的460亿美元激增至2031年的1380亿美元,增幅超过200%。但在AI时代,攻击是实时的、自动化的、可大规模扩展的。从Agentic AI的自主决策,到Vibe Coding带来的开发范式革命,AI正在以前所未有的速度重塑软件工程的全貌。大模型的输出无法被穷举,提示词注入的攻击变体可以无限衍生,模型权重的后门无法通过简单的哈希校验发现。:针对AI供应链的攻击不再是偶发事件,而是每天都在发生的“日常”。
博客
问境AIST首发|以AI治理AI,悬镜原创多模态AIST新品发布
03-11 434
以AI 治理AI !直击Agentic AI全生命周期过程中的原生安全风险!
博客
案例分享:风险情报驱动的数字供应链安全治理实践
03-02 612
平台积累了海量的资产、漏洞、修复过程数据,但目前主要应用于风险处置和基础报表,在预测性分析、安全效能度量方面还有巨大潜力可挖。下一阶段将利用机器学习模型,自动分析漏洞趋势,预测特定技术栈的风险热点,实现精准改进。
博客
AI赋能安全 | 悬镜安全荣登《ISC.AI 2025创新性案例报告》
02-28 635
近日,备受关注的《ISC.AI 2025创新性案例报告》正式发布。作为数字安全与AI融合领域最具影响力的年度评选之一,本届ISC.AI创新百强评选以 “安全智变,AI赋能新力场” 为主题,聚焦数字安全与人工智能的深度融合,旨在回应智能时代数字安全发展的核心命题:安全已不再是单一防御问题,而正逐步演进为支撑智能系统可信运转、推动新质生产力释放的核心能力;AI也正从提升效率的生产力工具,转变为新一代安全体系的动力引擎与战略支撑点。
博客
供应链情报 | 2025开源供应链投毒分析技术报告
02-13 931
攻以守本,唯快不破!2025开源供应链投毒攻击暴涨58%,Agentic AI生态成攻防新焦点
博客
影响力!悬镜引领泰尔实验室《数字安全护航技术能力全景图》多个关键领域
02-02 418
本次全景图评选由国内权威第三方检测机构泰尔实验室牵头,基于严格的技术测评、方案验证与实践调研,系统梳理数字安全产业核心能力图谱,已成为行业技术选型与能力建设的重要参考。近日,中国信息通信研究院(以下简称“中国信通院”) 泰尔实验室正式发布《数字安全护航技术能力全景图》(以下简称“全景图”),旨在梳理数字安全领域关键技术能力,为产业数字化转型提供安全指引。凭借领先的技术创新实力与成熟的产品解决方案,悬镜安全在本次全景图评选中脱颖而出,,充分彰显了公司在数字安全护航领域的综合技术领导力与市场标杆地位。
博客
灵脉AI 4.4 | 解锁AI越权检测,代码安全智能体再进化!
01-23 716
通过理解函数调用链、控制流、角色校验逻辑与资源访问、数据库访问等关系,智能发现水平越权与垂直越权漏洞,弥补传统规则匹配或符号执行在复杂授权逻辑场景中的检测盲区。支持新建代码检测(包含敏感数据检测、IaC检测)、AI越权、后门查杀任务。:针对Python任务,能够自动识别项目中的第三方服务(如供应商、API端点、模型名称),并精准定位至具体代码片段,提升供应链安全可见性。支持批量新建源代码任务/应用,无需逐一操作,一次性启动多个源码扫描,大幅节省重复工作量,让研发团队聚焦核心业务,提升安全测试效率。
博客
AI原生安全治理:从机械式扫描到动态风险量化的演进实践
01-15 612
#AI Inside !#灵脉IAST 5.4 重磅升级 #智能AI漏洞治理风向标!
博客
一文了解中国推出的智能体安全产品—问境AIST
12-26 717
在 AI 安全编码方面,问境 AIST 凭借业界领先的 SAST 和 SCA 技术,为用户提供针对性的 AI 框架漏洞分析、AI 应用代码安全审计以及只能化的安全编码助手,从源头保障 AI 应用的开发过程的安全。悬镜原创问境AI安全卫士平台(简称:问境 AIST),英文全称为“Seer Al Security Guard“,是一款覆盖 AI 应用全生命周期的智能体安全重磅级产品,其秉持“安全左移”和“敏捷右移”的核心理念,打造了一个覆盖AI应用从开发、测试到部署、运行全生命周期的安全检测与监控审计平台。
博客
悬镜安全率先通过国家工信安全中心SBOM标准认证
12-12 404
首批通过工信安全中心“T/CQAE19004-2025 软件物料清单构成和要求”认证,引领数字供应链透明化治理新风向!
博客
供应链投毒预警 | 恶意Py包开展Windows木马远程植入攻击
11-24 989
悬镜安全近日在python仓库捕获1起利用开源组件perfviewer进行远程木马植入的投毒攻击事件,请速排查。
博客
喜报|悬镜安全联合北京大学创新研究成果获评2024年度北京市科学技术奖
11-14 338
数字供应链安全防御利器!智能代码疫苗技术获评“2024年度北京市科学技术进步奖”!
博客
悬镜安全斩获多项信通院“2025年度OSCAR开源”殊荣
11-11 421
悬镜安全-全球数字供应链安全领航者!
博客
影响力!悬镜安全入选《中国网络安全年鉴2025》引领数字供应链安全产业发展
10-24 590
国内率先实现一站式实现AI实时分析检测-AI智能审计验证-一键修复缺陷的智能体化闭环流程的AI安全智能体,不仅能够自动进行全面缺陷检测,还提供详细修复方案和建议,检测精度接近零误报、复杂检测场景进一步覆盖、检测效率更为强大,并依托悬镜供应链监测能力和AI安全大数据云端分析能力,实时动态监测风险情报,全面高效的帮助开发人员消除代码中漏洞风险,为软件信息安全保驾护航。作为首部以宏观经济为背景、以资本与科技为线索,系统记录中国网络安全产业全貌的年鉴,本书不仅是行业资料的汇编,更是一份历史记录。
博客
国家级!悬镜安全入选两项“网络安全国家标准应用实践案例”
10-21 618
在对于安全与稳定要求极为严苛的金融领域,中信建投证券与悬镜安全聚焦于GB/T 43848-2024的开源代码安全评价。在电信领域,面对规模庞大、组件来源复杂的数字供应链,中国电信上海研究院联合悬镜安全,以GB/T 43698为规划蓝图,将悬镜先进的供应链安全治理体系与平台工具深度集成,构建起覆盖软件成分分析、第三方组件风险管理、安全准入验证的端到端防护框架。作为数字供应链安全领域的先行者,悬镜安全不仅将自身的技术产品与国家标准紧密对齐,更在某种程度上,通过一线的成功实践反哺和验证了标准的科学性与前瞻性。
博客
国家级!悬镜安全入选两项“网络安全国家标准应用实践案例”
10-20 593
悬镜安全将继续作为关键信息基础设施安全建设坚定领航者,通过持续技术突破与深耕,将标准转化为实践,将合规转化为价值,助力更多行业客户在高质量发展的道路上行稳致远。
博客
数字供应链安全代表厂商︱悬镜安全领衔安全牛《数字供应链安全技术应用指南(2025版)》
06-13 1239
身为全球数字供应链安全开拓者与引领者,悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新,通过“AI智能代码疫苗”技术深度赋能基于“多模态SCA+DevSecOps+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系,积极发挥领导者的产业生态影响力,加强行业生态协同,助力企业用户数智化转型升级和高质量发展,真正实现数字供应链安全能力质的飞跃,守护全球数字供应链安全。据安全牛观察,当前关注数字供应链安全的厂商以开发安全和软件供应链安全厂商为主,厂商范围相比往年变化不大。
博客
重大SBOM风险预警 | 总下载量超百万次开源NPM组件被投毒
03-31 847
近日(2025.03.25),悬镜供应链安全情报中心在NPM官方仓库(www.npmjs.com)中捕获1起针对全球知名薪酬数据统计平台 PayScale 旗下开源NPM组件 country-currency-map的供应链投毒事件。工具将受影响的组件包按如下示例保存为db.json文件,直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒包影响。依赖country-currency-map组件的开源项目。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值