为保护软件供应链安全,DevSecOps龙头厂商“玄境安全”完成数亿元B轮融资融资,本轮融资由源码资本领投,GGV纪源资本跟投,跟投红杉中国。玄境安全将进一步深化对中国软件供应链安全关键技术创新和上下游产业生态前瞻布局的创新发展战略投入。打造安全等新兴应用场景下闭环的第三代DevSecOps智能自适应威胁管理体系,持续升级华北、华东、华南、华中、西南等大范围产品服务交付和运营能力、香港、澳门,并深度覆盖电子商务、能源电力、智能制造、电信运营商、互联网等金融服务企业级安全市场。本轮领投方源码资本合伙人黄云刚表示:“DevSecOps是云原生背景下安全敏捷化的必然趋势,以威胁管理为核心,整合多条工具链,DevSecOps体系可以帮助企业将安全从开发集成到开发中。”在运营软件的整个生命周期中,将成为企业数字化基础设施的重要组成部分。我们非常看好玄境安全在DevSecOps领域的前瞻技术,玄境的产品也得到了众多行业重要客户的认可。我们期待未来在IT基础设施加速云化、安全环境日趋复杂的情况下,玄境能够为客户创造巨大价值。”本轮跟投方GGV纪源资本管理合伙人李宏伟表示:“随着数字化、智能化的深入,软件和应用不断加快迭代周期和上线速度,敏捷开发和开源也被广泛使用。在软件生命周期中,修复漏洞的成本随着发现阶段的进程呈几何级数增长。目前在开发阶段和上线前的代码高效测试中缺乏有效的产品。炫景的产品正是为此而打造,已经在一大批顶级客户中积累了良好的口碑。GGV纪源资本看好这支年轻团队,会长期支持公司发展。”本轮独家领投方红杉中国董事总经理翟佳表示:“将安全融入DevOps流程,形成DevSecOps,符合当前敏捷开发需求的趋势,让安全‘左移’'和'向右转移'。DevSecOps从研发渗透到运营。软件生命周期与软件供应链的安全密切相关。它可以有效帮助企业实现软件过程中数字应用漏洞的自动检测和修复。发展阶段,从而大大降低业务安全成本和风险,是网络安全新兴的重要发展方向。在此领域深耕细作的玄晶,拥有明显的领先优势,构筑了深厚的行业壁垒,业务进展迅速。拓展和积累了众多行业优质标杆客户,长期发展前景看好。”玄境安全专注于DevSecOps软件供应链持续威胁的集成检测与防御,其独创的DevSecOps智能自适应威胁管理系统主要涵盖从威胁建模、开源治理、风险发现、威胁模拟等关键环节的开发和运行融合敏捷安全产品和软件供应链安全服务,实战攻防对抗,帮助企业组织逐步构建适应自身业务弹性发展、面向敏捷业务交付、引领未来的内生主动防御体系架构演进,目前践行镜像敏捷安全理念并应用镜像解决方案的企业有中国人民银行、中国银联、中国银行、中国工商银行、上海浦东发展银行、中国银行重庆、广州农村商业银行、苏州农村商业银行、浙商银行、SHEIN、中国平安、中证建投、上海证券交易所、中石化、中石油、中国电信研究院、中国移动研究院、中国联通研究院、中国体育彩票、人民人民网每日在线、国家电网、北大、中兴通讯、中国工程物理研究院、小鹏汽车、东风日产、长安汽车、中汽研、南航等众多行业标杆用户。从开发源头敏捷安全治理据第三方权威调查显示,近92%的已知安全漏洞都发生在软件应用中,应用中每1000行代码至少存在一个业务逻辑缺陷。此外,78%-90%的现代应用程序包含开源组件,平均每个应用程序包含147个开源组件,67%的应用程序使用存在已知漏洞的开源组件。目前,绝大多数业务用户发现业务应用漏洞,除了内部自测外,大多来自外部第三方安全研究人员或安全厂商。在整个软件开发生命周期中,不同阶段修复安全漏洞的成本存在明显差距,研发测试阶段和上线运行阶段的修复成本甚至可以相差数百倍。因此,前置安全工作将漏洞风险和开源威胁消灭在萌芽状态,防止应用带病上线时保障软件供应链的安全是迫切和必要的。灵麦IAST灰盒安全测试平台是玄境安全的明星产品之一,作为玄境DevSecOps智能自适应威胁管理系统上线前测试环节的应用风险发现平台。运行时应用检测(包括动态污点跟踪和交互式缺陷定位)、终端流量代理、旁路流量镜像、主机流量嗅探、启发式爬虫、Web日志实时分析等,独创的AI渗透测试技术赋能传统IT从业者可在甲方用户组织内快速建立安全众测模式,让传统安全专家(如研发、测试、QA等)在完成应用功能测试的同时,透明地进行深入的业务安全测试。监控开源风险,准确覆盖95%以上中高危漏洞,有效防止应用带病上线。用智能攻防衡量安全性和有效性。孙子兵法中说:“用兵之道,不恃其不来,而待其有;不恃其不攻,你不能攻击你所拥有的。”攻防对抗是网络安全建设过程中永恒的主题,是检验现有安全体系防御未知威胁有效性的最直接方式,如持续的安全公测、不定期的攻防演练,辅以配套保障灵脉BAS智能威胁模拟平台是玄境安全旗下另一款明星产品,作为玄境DevSecOps智能自适应威胁管理系统中运行环节的自动化威胁模拟和安全验证平台。攻防演练机器人系统创造性地将安全专家在大量渗透测试过程中积累的实践经验转化为机器可以存储、识别和处理的结构化经验,不断进行“自我思考”和逻辑推理和决策,以接近实际专家渗透测试的方式,对给定目标进行从信息收集、扫描检测、漏洞发现、漏洞利用、后渗透到持续验证的整个完整入侵模拟和安全度量过程,并全面检查A它从“真正的黑客”的角度持续动态地评估目标组织的安全状况,极大地弥补了安全人员水平参差不齐、效率低下的问题。以代码疫苗赋能业务交付免疫随着云原生技术的快速发展、开源应用的快速普及以及DevSecOps实践的大规模落地,网络安全正经历着从边界安全到端点安全的发展演进,以及然后是应用程序安全。下一代应用程序安全的技术重点将是运行时上下文感知。玄境安全“主动防御”体系中的重点产品之一——云纱RASP自适应威胁免疫平台,作为玄境DevSecOps智能自适应威胁管理系统中运行环节的检测与响应平台,通过专利级申请漏洞攻击免疫算法、运行时安全方面调度算法、Webshel??l深度AI检测引擎、深度流量学习算法等关键技术实现了RASP与IAST关键技术的深度融合,为数字化业务应用“注入”主动防御能力,具有借助强大的应用上下文分析能力捕获和防御各种绕过流量检测的攻击方式(如分段传输、编码混淆变形、应用内存停顿等),提供结合业务视角的内生主动安全免疫能力和功能解耦,提供b业务应用出厂默认安全免疫力迎来创新发展。玄境DevSecOps研究的最新实践成果结合多年敏捷安全实施实践经验和软件供应链安全研究成果,玄境安全探索出一套独创专利级“敏捷过程平台+关键技术工具链+组件化软件供应”chainSecurityServices”第三代DevSecOps智能自适应威胁管理系统。图1:玄境第三代DevSecOps智能自适应威胁管理系统作为DevSecOps全流程敏捷安全使能平台,从建设之初就着眼于软性、低侵入性的技术实现,从几个方面驱动DevSecOpsCI/CD流水线持续运行从关键实践点出发,通过威胁建模、开源治理、风险发现、威胁模拟、检测响应等关键技术创新,为企业组织现有人员赋能,并帮助用户逐步构建一套适应自身业务弹性发展的敏捷的面向业务的解决方案。一种内生的主动防御系统,可交付并引领未来的架构演进。玄境安全创始人兼CEO子牙在接受采访时表示:“安全的本质是风险和信任之间的动态平衡。玄境这些年一直在做的事情之一就是如何帮助甲方用户更好地拥抱更快适应云原生技术的普及,做好内生敏捷安全未来是安全可靠的,相信它可以通过代码疫苗技术,实现应用自身缺陷和风险的自我发现,以及对外部未知威胁的工厂免疫。”图2:DevSecOps敏捷安全工具金字塔v2.0DevSecOps敏捷安全工具金字塔为挂镜安全每年更新的深度研究实践成果,前瞻性预测未来DevSecOps关键技术的演进路线,并指出为行业组织后续系统化安全建设指明方向。
