DevSecOps选型指南-CSDN博客

原创 2025带你看清DevSecOps的发展背景、现状及未来趋势和最佳实践

DevSecOps 是一种融合了开发（Dev）、安全（Sec）和运维（Ops）的集成方法论，旨在通过将安全实践融入软件开发和部署的整个生命周期，提高软件系统的安全性、可靠性和效率。这种模式强调安全左移（Shift Left）、持续自动化和人人参与安全，以尽早发现并修复安全问题，从而降低成本，并通过CI/CD将安全检测集成到研发流水线中，实现自动反馈和跟踪。

2025-02-06 17:34:39 1789

原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年8月8日-10日

处理嵌套 tuple 时，如果在脚本求值过程中发生错误，tuple_unref() 函数可能访问已释放的内存，这是由于 tuple 引用生命周期管理不当，导致堆内存 use-after-free，从而引发内存破坏。组件 grok-sdk 在安装时会静默执行包含恶意代码的index.js文件，其主要功能是窃取系统敏感信息（包括主机名，用户名、工作目录、DNS服务器地址等），窃取的数据发送到投毒者控制的服务器：https://b5f8844fb045.ngrok-free.app。

2025-08-11 14:37:24 302

原创权威认可︱悬镜再次入选工信部“2024年信息技术应用创新典型解决方案”

作为全球数字供应链安全开拓者与引领者，悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新，通过“AI智能代码疫苗技术”深度赋能原创专利级“多模态SCA+DevSecOps+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，助力企业用户数智化转型升级和高质量发展，真正实现数字供应链安全能力质的飞跃，守护全球数字供应链安全。同时，还建立了软件采购规范和SBOM要求，确保采购的软件符合安全标准和要求。

2025-08-08 15:30:21 699

原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年8月7日

微软强烈建议用户仔细阅读相关说明，安装2025年4月（或之后的版本）的热修复程序，并在Exchange Server及其混合环境中实施相应的变更。在项目目录下使用 npm list node-logger-sdk 查询是否已安装该组件，或使用 npm list -g node-logger-sdk 查询是否全局安装该投毒版本组件，如果已安装请立即使用 npm uninstall node-logger-sdk 或 npm uninstall -g node-logger-sdk 进行卸载。

2025-08-08 10:52:34 487

原创 AI代码审计工具︱基于大模型技术革新的代码安全智能助手：灵脉AI4.0

每种编程语言和框架具有不同的语法、语义和结构特性，灵脉AI开发安全卫士4.0现已全面覆盖Java、C/C++、Python、PHP、Go、C#、JavaScript和Ruby等主流语言及其框架，支持跨语言、跨框架的缺陷检测，无论开发团队使用何种技术栈，均能根据语言特性调整分析方法，确保准确识别安全缺陷和质量缺陷。悬镜安全重磅发布灵脉AI开发安全卫士4.0，为用户提供与代码安全专家能力相当、智能好用的AI开发安全助手，真正实现安全左移、降低软件风险及缺陷修复成本，提升企业代码安全治理能力。

2025-08-07 15:56:10 1209

原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年8月6日

Apache OFBiz 是一个开源的企业资源计划 (ERP) 系统，提供全面的业务管理功能，包括客户关系管理 (CRM)、会计、电子商务等。该漏洞（CVE-2025-54466）发生在 Scrum 插件中，可能由于未正确验证用户输入或缺乏严格的权限控制，导致攻击者可以通过恶意构造的请求在目标系统上执行任意代码。在 1.0.20 之前的版本中，由于命令解析错误，攻击者可以绕过 Claude Code 的用户确认提示，执行未经信任的命令。官方修复：官方已发布补丁更新包，请升级至无漏洞版本进行修复。

2025-08-07 11:57:13 623

原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年8月5日

RatPanel 使用了来自 `github.com/go-chi/chi` 的 `CleanPath` 中间件来清理 URL 路径，但该中间件仅清理路由内部路径，而不会清理 `r.URL.Path`。由于 `must_login` 中间件依赖未清理的 `r.URL.Path` 来进行白名单校验，导致攻击者可以通过构造带多余斜杠的 URL（如 `//api/ws`）绕过认证逻辑，从而访问高风险接口（如 `/api/ws/exec` 和 `/api/ws/ssh`）。此问题已在版本 0.54.1 中修复。

2025-08-06 10:32:18 442

原创 OpenSCA用户访谈第二期：互联网科技公司如何用OpenSCA“锁”住开源风险？

因此，供应链安全对我们来说不是加分项，而是必选项，一旦某个依赖库出现高危漏洞（比如Log4j2、OpenSSL），不仅影响自研平台的稳定性，更可能通过客户部署的系统扩散到金融、制造等关键行业，后果不堪设想。OpenSCA可以准确地检查代码中的所有依赖项，解析代码中使用的开源包的深度和复杂性，能够确保在各个级别都进行合适有效的漏洞检测，并生成清晰的SBOM（软件物料清单），这让我们第一次真正“看清”了软件供应链的全貌。由于已识别的组件漏洞数量庞大，很快就会掩盖了漏洞的可见性及其对企业构成的真实风险指数。

2025-08-06 10:30:31 695

原创 OpenSCA用户访谈第一期：全球生产制造大厂的开源安全痛点，谁懂！

许可证和SBOM这块，我个人主要关注的就是SBOM的组件信息和漏洞信息，领导层面会更关注许可证合规问题，像我们这种大企业，可能有人从网上下载许可证已经过期、没有授权的插件，会涉及到合规的法律风险，希望能把这些风险信息提炼出来。开发人员可以在开发阶段就做一个初步的检查，扫出来漏洞之后直接修改，这种方式小范围实施还好，但是针对规模比较大的单位及系统，这么多开发人员，你没有办法要求每个人都做这样的管控，所以说就必须要有一个安全审计员的角色。参照木桶原理，系统的安全等级是由安全级别最低的部分决定的。

2025-08-05 11:19:56 417

原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年8月4日

在该组件中，由于缺少边界检查，可能发生越界写入漏洞（CWE-787）。该漏洞的根本原因是程序未对输入数据的范围进行充分校验，导致攻击者可以通过精心构造的输入数据覆盖内存区域，进而引发安全问题。利用该漏洞，需要攻击者具备物理访问设备的条件，且不需要额外的执行权限，同时需要用户交互以触发漏洞。开发者可通过命令 pip show dsidelib在项目目录下使用查询是否已安装存在恶意投毒的组件版本，如果已安装请立即使用 pip uninstall dsidelib -y 进行卸载。

2025-08-05 11:17:31 948

原创国内首个开源SCA社区——OpenSCA开源社区

行业层面，作为开源共享的解决方案，OpenSCA可在用户及其上下游的供应链上作为安全入口发挥作用，输出制品清单给到供应链上下游环节用于共享、检查及管理开源组件的引入和风险情况，协助建立贯穿整个链条的安全管理机制，突破单个用户的场景限制，实现开源安全的共担、共享、共建。商业版本在前，开源版本在后。行业层面，OpenSCA社区将进一步拓展与信创产业的融合创新，加快与国产开源操作系统、CI/CD工具、DevOps工具等的技术集成，为整个开源生态提供基础安全能力，为更多用户提供无感知、零成本的开源风险治理能力。

2025-08-04 12:02:03 977

原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年8月1日-8月3日

在项目目录下使用 npm list vscode-kubernetes-tools 查询是否已安装该组件，或使用 npm list -g vscode-kubernetes-tools 查询是否全局安装该投毒版本组件，如果已安装请立即使用 npm uninstall vscode-kubernetes-tools 或 npm uninstall -g vscode-kubernetes-tools 进行卸载。此漏洞的成因是对输入数据长度的校验不完善，导致写入操作超出缓冲区边界，可能覆盖关键内存区域。

2025-08-04 11:54:54 736

原创技术分享 | 悬镜亮相于“2025开放原子开源生态大会软件物料清单（SBOM）”分论坛

OpenSCA社区的开源项目起源于悬镜安全商业版源鉴SCA，是国内用户量最多、应用场景最广的开源SCA技术（中国信通院《2024中国DevSecOps&BizDevOps现状调查报告》），通过软件码纹分析、依赖分析、特征分析、引用识别与开源许可合规分析等综合算法，深度挖掘开源供应链安全风险，智能梳理数字资产风险清单，结合SaaS云平台和实时供应链安全情报，为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。还包括对漏洞的分析，例如漏洞是否可被利用，以及如何减轻或修复漏洞。

2025-07-31 15:50:14 1363

原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年7月30日

该框架的 multipart form data 和 JSON 请求处理模块在处理文件上传请求时存在安全缺陷，具体表现为：在序列化与反序列化逻辑中，自动下载用户提供的 URL 指向的文件，但缺乏对内部网络地址的验证。multipart form data 的序列化模块（`MultipartSerde`）完全未进行 URL 校验，而 JSON 请求处理模块（`JSONSerde`）仅进行基本的 URL 方案校验，未限制对内部网络、云服务元数据端点和 localhost 的访问。严重 (CVSS3: 9.9)

2025-07-31 10:05:45 624

原创重磅发布！悬镜安全通过运行时应用程序自我保护（ RASP）工具能力评估

悬镜安全旗下核心产品云鲨RASP，是悬镜第四代DevSecOps数字供应链安全管理体系中运营环节的积极防御平台，凭借轻量级“AI智能代码疫苗“技术，通过插桩专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术，将防护逻辑与防护功能注入应用程序，深入应用运行时的环境内部，无需人工干预，使应用拥有威胁自免疫能力。标准，对于工具的检验分析能力要求、工具灵活性能力要求、分析辅助能力要求、工具扩展性能力要求、部署能力要求、安全性能力要求、服务支持能力要求。

2025-07-30 11:29:13 588

原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年7月29日

组件 react-nodes 的index.js文件包含恶意代码，其主要功能是远程下载并执行恶意bash安装脚本（package-install.sh），bash脚本进一步从github上（https://github.com/laravel-main/laravel-composer/raw/refs/heads/main/packages）拉取投毒者投放的Linux ELF恶意木马程序（laravel-composer），木马程序会被进一步写入Linux系统服务实现开机自启动。

2025-07-30 10:20:39 1074

原创基于AI代码疫苗技术的开源软件供应链安全治理

应用技术的变革带来风险面的变化，从以往单一的Web通用漏洞风险变为涵盖API安全、业务逻辑安全、合规风险、容器环境镜像风险以及开源组件风险在内的多维度攻击面，倒逼安全解决方案升级以应对新应用场景下的安全挑战。代码疫苗技术是一种新型的应用内探针技术，统一融合了IAST、SCA、RASP、DAR、API、APM等安全能力，凭借一个探针解决应用长期面临的安全漏洞、数据泄漏、运行异常、0Day攻击等风险，减轻多探针运维压力的同时，为应用植入“疫苗”，实现应用与安全的共生。2021年开源代码的比例已经高达78%；

2025-07-29 14:09:06 680

原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年7月28日

在版本 0.9.0 之前，Codex CLI 存在一个漏洞：即使使用 --pre、--hostname-bin、--search-zip 或 -z 等参数标志，工具仍会自动批准 ripgrep (即 rg) 的执行。开发者可通过命令 pip show foundry-jupyter-extension 在项目目录下使用查询是否已安装存在恶意投毒的组件版本，如果已安装请立即使用 pip uninstall foundry-jupyter-extension -y 进行卸载。中危 (CVSS3: 4.5)

2025-07-29 11:29:53 616

原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年7月25日-27日

在项目目录下使用 npm list grammy-key 查询是否已安装该组件，或使用 npm list -g grammy-key 查询是否全局安装该投毒版本组件，如果已安装请立即使用 npm uninstall grammy-key 或 npm uninstall -g grammy-key 进行卸载。鉴于此设计，安全的代码执行是系统的关键支柱。然而，在最新版本 (v1.14.0) 中，存在一个沙盒逃逸漏洞，该漏洞允许攻击者绕过受限的执行环境。官方已发布补丁更新包，请升级至无漏洞版本进行修复。

2025-07-28 14:01:24 524

原创 2025AI代码安全审计工具推荐︱AI+SAST 破解传统代码审计难题，AI助力开发效率提升

每种编程语言和框架具有不同的语法、语义和结构特性，灵脉AI开发安全卫士4.0现已全面覆盖Java、C/C++、Python、PHP、Go、C#、JavaScript和Ruby等主流语言及其框架，支持跨语言、跨框架的缺陷检测，无论开发团队使用何种技术栈，均能根据语言特性调整分析方法，确保准确识别安全缺陷和质量缺陷。在供应链攻击中，攻击者常将后门伪装成合法监控行为。传统的开发安全工具依赖于预定义的规则或模板来识别代码中的缺陷，但这些方法在处理复杂的代码上下文时，会产生较高的误报率或漏报问题。

2025-07-25 14:44:21 993

原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年7月24日

在项目目录下使用 npm list ipfs-pack 查询是否已安装该组件，或使用 npm list -g ipfs-pack 查询是否全局安装该投毒版本组件，如果已安装请立即使用 npm uninstall ipfs-pack 或 npm uninstall -g ipfs-pack 进行卸载。开发者可通过命令 pip show vfunctions在项目目录下使用查询是否已安装存在恶意投毒的组件版本，如果已安装请立即使用 pip uninstall vfunctions -y 进行卸载。

2025-07-25 10:10:22 1287

原创以SBOM为基础的云原生应用安全治理

在未使用SBOM的情况下，组件漏洞爆发时，组件上下游厂商因为对自身的组件资产一无所知，对漏洞毫不知情，因此无法在第一时间作出漏洞处置动作，导致该漏洞的治理存在一个非常长的不可控阶段，管理成本和风险相应增加。在SBOM的基础上，要解决上线后运营阶段的安全问题、实现安全研发和运营的闭环，不能仅仅局限于单个的SCA工具，而需要与其他更适配持续运营场景的工具结合，形成整体联动的解决方案。SBOM作为一个列表清单，涉及的组件可能成千上万，必须要用自动化的方式来做SBOM的获取管理以及后续的匹配。

2025-07-24 10:56:58 528

原创 OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年7月23日

知名JS类型测试库 is 由于开发者token泄漏，导致该组件被攻击者在北京时间2025.07.19~07.20期间投放2个版本（3.3.1和5.0.0）的恶意组件包，恶意包通过 `package.json` 文件中的scripts指令 "postinstall": "node test/check.js" 实现在组件安装过程中自动执行含有混淆恶意JS代码文件 `test/check.js` ，其主要功能是窃取系统平台信息（包括主机名、系统类型、工作目录等）并发送给攻击者服务器。

2025-07-24 10:23:40 1042

原创悬镜安全将受邀参加2025开放原子开源生态大会

将在北京国家会议中心二期会议室262盛大开启。本次论坛将汇聚开源治理领域专家学者、企业代表，围绕软件供应链安全发展趋势、企业开源供应链管理与SBOM应用、开源社区SBOM治理、重点行业供应链安全治理的探索与实践等议题展开主题发言，并发布“SBOM管理服务平台”，推动SBOM从理论到实践落地，助力安全防线前移。”为题开展技术演讲，为各行业企业提供可落地、可复制的参考范本，欢迎感兴趣的用户伙伴报名参与。悬镜安全受邀参与本次论坛，悬镜安全CCO董毅将以“2025年7月24日下午，“

2025-07-21 17:59:47 351

原创 SBOM格式标准横评：国内首个数字供应链SBOM格式DSDX详解

除了用于评估特定漏洞的风险，DSDX还可以结合合规要求和企业安全策略进行专项检查和定期检查，在分析出不满足合规和策略时，能够基于项目、资产等不同维度对总体风险进行梳理，并触发对应的预警或者阻断等操作，使数据的消费更及时、更左移，降低风险影响。其中，DSDX重点引入了运行环境信息、创建阶段和供应链流转信息，加强了清单间的互相引用，并以最小集/扩展集的形式增强了SBOM应用的灵活性，深度支持代码片段信息的存储及追踪，为企业用户提供整个数字供应链基础设施视角的落地治理实践。开源的本质是群智创新！

2025-07-21 10:22:00 565

原创 Gartner发布2025年中国网络安全成熟度曲线:悬镜安全再次入选SCA技术代表厂商

与此同时，SCA也因人工智能和数字系统中开源模型和第三方组件的快速增长而不断发展，在这些系统中，及早发现安全和许可问题是减少开发延迟和确保信任的关键。定义：软件成分分析 (SCA) 产品是专门的应用程序安全工具，可以检测已知存在安全漏洞的开源软件 (OSS) 和第三方组件，并识别潜在的不利许可和供应链风险。SCA通过识别漏洞、确保适当的许可以及增强软件供应链的信任来支持开源软件的使用。中国的组织缺乏对持续监控新发现的 OSS 漏洞的重要性以及在应用程序后期开发中使用 SCA 工具的好处的认识。

2025-07-21 09:51:37 1161

原创 SCA工具源鉴SCA4.9版本进阶︱多模态SCA引擎重磅升级，开源风险深度治理能力再次进阶

源鉴SCA 4.9 同源引擎新增支持C、C++、Java、PHP、Go、Python、Lua、JavaScript、TypeScript、Rust、C#、CSS、Shell、Haskell、HTML、Julia、Ruby、Scala、Assembly、Clojure、D、Dart等共84种语言。源鉴SCA 4.9新增VMDK、IMG、QCOW2、QCOW等格式的虚拟机镜像检测，实现对镜像中软件包及组件的全栈识别，满足合规审计和镜像发布前的安全评估需求，降低部署系统成分不明的风险。

2025-07-18 15:10:14 823

原创国内外开源SCA检测能力，OpenSCA综合能力表现第一

由于各开源工具和厂商对「组件」和「漏洞」的定义并不统一，在组件、版本、漏洞的描述和格式上也较为多样（如厂商自定义的漏洞编号等），因此在本轮次评测中，我们采用了较为宽松的方式，当开源工具支持该testcase的解析并得到扫描结果便视为用例通过。不同的生产环境、测试时间、网络等原因可能导致偏移，本项目以提供「评测方法」及「评测用例」为主，在每轮评测我们都对工具都提供了同样测试环境，但因其他因素影响（如网络等）而导致表现出不同结果也是有可能的，这将被视为是工具自身的特性。

2025-07-18 09:37:15 834

原创开源治理工具推荐 | 2025免费SCA工具横向测评

工具，继承了商业级SCA的开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力，支持漏洞库、私服库等自主配置，覆盖IDE/命令行/云平台、离线/在线等多种使用场景，支持Java、JavaScript（Node.js）、PHP、Python、Go (Golang)、Rust、Erlang等多种主流编程语言并支持生成软件物料清单（SBOM），OpenSCA具备HTML格式报告导出功能，将检测结果以可视化形式统计、展示，提升了检测报告的可读性，便于组件依赖清单及漏洞信息的管理维护。

2025-07-18 09:29:19 874

原创开发人员必备 | 2025国内TOP5免费开源安全工具

能分析多种项目类型，支持 Java、.NET等语言，可集成到Maven、Gradle等构建工具中，帮助开发人员在构建过程中自动检测漏洞，还可生成详细报告和SBOM（软件物料清单），列出发现的漏洞及相关信息，并支持SBOM格式互转。HFish是一款社区型免费蜜罐，由微步在线开源，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。Nmap是一款网络扫描和主机检测的非常有用的工具。

2025-07-18 09:23:12 370

原创 2025开源组件安全工具推荐OpenSCA

不同于传统企业版 SCA 工具，OpenSCA 轻量易用、能力完整，支持漏洞库、私服库等自主配置，覆盖IDE/命令行/云平台、离线/在线等多种使用场景，支持Java、JavaScript（Node.js）、PHP、Python、Go (Golang)、Rust、Erlang等多种主流编程语言并支持生成软件物料清单（SBOM），可灵活地接入开发流程，为企业、组织及个人用户输出透明化的组件资产及风险清单。但企业发现的实际漏洞中有70%-85%不是致命漏洞，因为企业的专有软件不会调用存在这些漏洞的组件。

2025-07-17 11:48:05 1391

原创全球首个开源软件供应链安全社区OpenSCA试用教程

软件成分分析（Software Composition Analysis, SCA）是Gartner定义的一种应用程序安全检测技术，该技术用于分析开源软件以及第三方商业软件涉及的各种源码、模块、框架和库等，以识别和清点开源软件的组件及其构成和依赖关系，并检测是否存在已知的安全和功能漏洞、安全补丁是否已经过时或是否存在许可证合规或兼容性风险等安全问题，帮助确保企业软件供应链中组件的安全。认证令牌用于本地检测应用包或项目时访问云端知识库的认证，每个账号的令牌是唯一的，且有失效时间。

2025-07-17 11:45:29 1425

原创全球首个开源软件供应链安全社区OpenSCA介绍

目前OpenSCA社区涵盖泛互联网、车联网、金融、能源、信息通信和智能制造等众多行业极客用户，为全球开发者们和广大安全研究人员构筑了专注安全开发与开源治理的技术创新实践社区。2023年8月：发布中国第一个数字供应链标准SBOM格式 DSDX，更适配中国企业实战化应用实践场景，并且能兼容SPDX、CDX、SWID国际标准和国内标准。（中国信通院《中国DevOps现状调查报告2023》），通过软件码纹分析、依赖分析、特征分析、引用识别与开源许可合规分析等综合算法，2023年9月：支持VSCode插件。

2025-07-17 11:31:39 386

原创悬镜安全入选“十大软件供应链安全厂商”，专利数、参与国家标准数第一

身为全球数字供应链安全开拓者与引领者，悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新，通过AI大模型技术深度赋能基于“多模态SCA+DevSecOps+SBOM情报预警”的第四代DevSecOps数字供应链安全管理体系，积极发挥领导者的产业生态影响力，加强行业生态协同，助力企业用户数智化转型升级和高质量发展，真正实现数字供应链安全能力质的飞跃，守护中国数字供应链安全。悬镜安全凭借其优秀的技术实力与产品能力，成功入选《软件供应链安全能力构建指南（2024版）》“十大软件供应链安全代表性厂商”。

2025-07-16 10:41:46 489

原创 2025年国内覆盖“软件供应链安全”全领域的厂商推荐：悬镜安全

软件供应链安全领域权威研究机构数说安全正式发布第七版《2024年中国网络安全市场全景图》（以下简称全景图），悬镜安全作为DevSecOps数字供应链安全领域的先行厂商，凭借沉淀多年的技术产品创新和应用实践实力，连续四年强势霸榜数字供应链安全领域，再次强势引领DevSecOps、软件成分分析（SCA）、交互式应用安全测试（IAST）、静态应用安全测试（SAST）、运行时应用程序自保护（RASP）等开发安全细分领域。

2025-07-16 10:40:30 307

原创软件供应链安全厂商推荐︱中国信通院静态应用程序安全测试（SAST）工具能力评估，悬镜安全灵脉AI通过评估！

中国信息通信研究院云计算与大数据研究所自2019年，以安全开发为切入点，开展研发运营安全相关研究工作，截至目前为止，由中国信息通信研究院牵头，联合金融、运营商、互联网、安全等行业众多国内知名企业及单位，共同编制了研发运营安全平台和工具系列标准，具体可拆分为研发运营安全平台（DevSecOps）、静态应用程序安全测试（SAST）工具、交互式应用程序安全测试（IAST）工具和运行时应用程序自我保护（RASP）工具四大部分。截至目前，已有3家企业通过静态应用程序安全测试（SAST）工具能力评估，名单如下。

2025-07-16 10:38:16 209

原创软件供应链安全代表厂商︱悬镜安全领衔安全牛《数字供应链安全技术应用指南（2025版）》

身为全球数字供应链安全开拓者与引领者，悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新，通过“AI智能代码疫苗”技术深度赋能基于“多模态SCA+DevSecOps+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系，积极发挥领导者的产业生态影响力，加强行业生态协同，助力企业用户数智化转型升级和高质量发展，真正实现数字供应链安全能力质的飞跃，守护全球数字供应链安全。据安全牛观察，当前关注数字供应链安全的厂商以开发安全和软件供应链安全厂商为主，厂商范围相比往年变化不大。

2025-07-16 10:36:00 521

原创软件供应链安全厂商推荐︱悬镜安全聚焦全球数字经济大会·中国信通院最新成果发布

2025年7月3日，由全球数字经济大会组委会主办，中国信息通信研究院、中国通信标准化协会承办的全球数字经济大会—云智算安全论坛暨第三届“SecGo论坛”在京召开。北京市经济和信息化局副局长顾瑾栩、中国通信标准化协会副理事长兼秘书长代晓慧、中国信通院党委副书记王晓丽、中国信通院云计算与大数据研究所副所长栗蔚出席会议。在成果发布环节，中国信通院对云智算安全行业发展、产业创新有突出贡献的个人予以表彰，悬镜安全创始人兼CEO子芽再次荣获中国信通院2025年度软件供应链安全领域“行业卓越贡献者”；同时现场还发布一系列

2025-07-16 10:33:42 625

原创热点供应链投毒预警 | 捕获恶意PY包伪装NetworkX开展投毒攻击事件

以graphdict恶意包最新版本3.4.14为例，投毒者通过对NetworkX项目源码（https://github.com/networkx/networkx）进行代码克隆后，将项目中的核心模块netwrokx重命名为graphdict，同时在graphdict/utils目录下植入两个包含投毒代码的恶意文件graph_config.py及load_libraries.py。悬镜安全已于第一时间将该组件投毒的详细技术分析向XSBOM供应链安全情报订阅用户进行推送预警。graphdict恶意包下载量。

2025-07-11 16:06:37 747

原创 Sonatype发布10周年《软件供应链安全现状》

凭借多年技术攻关首创专利级代码疫苗技术和下一代积极防御框架，通过“多模态SCA+DevSecOps+SBOM情报预警”的第四代DevSecOps数字供应链安全管理体系，提供敏捷安全全栈闭环产品和软件供应链安全组件化服务，协助行业用户建立DevSecOps CI/CD黄金管道，利用关键技术（IAST交互式应用安全测试、SCA第三方组件成分分析、RASP运行时应用自保护等）实现CI/CD工具链自动化，通过识别漏洞，实现漏洞信息统一规范性命名与标准化描述，及时修复漏洞为业务保驾护航。

2025-07-09 10:52:11 612

deepseek从入门到精通

国内为什么没有人做AI搜索类GEO营销工具的