悬镜安全技术合伙人李浩演讲视频回顾

根据已清点的资产，进行白名单、黑名单组件基线建立，指导后续组件选用；

在项目进行需求设计时、安全评审阶段，对选用的第三方组件进行风险评估，并依据白名单、黑名单组件基线选用安全组件；

除了对组件风险进行管控外，在应用上线、发布过程中，对应用系统进行应用安全测试，发现存在的应用漏洞威胁；

将发现的风险接入CI/CD缺陷修复&跟踪平台，如Jira、禅道等，提前修复缺陷并更新SBOM中应用漏洞风险信息；

在源鉴SCA在数字供应链安全建设中的落地实践上，可通过代码疫苗技术，SCA与RASP技术进行深度耦合与联动，打造闭环的供应链安全风险治理解决方案（详细解决方案可参考子芽的专业著作《DevSecOps敏捷安全》）。

在开发测试阶段，企业可以将源鉴SCA对接到DevOps流程中，对编译构建环节卡点，通过源码级SCA以及二进制SCA技术，保障应用所依赖组件的安全性。

在发布部署阶段，将云鲨RASP轻量级单探针埋入应用中，如疫苗一般与应用融为一体，使其实现对未知漏洞威胁的出厂免疫。

在上线运营阶段，通过源鉴SCA的运行时SCA能力，检测应用实际运行过程中动态加载的开源组件及依赖，结合开源漏洞情报实时检测潜藏的安全漏洞及开源协议风险。当0Day未知漏洞爆发时，通过云鲨RASP进行应急响应，对攻击进行拦截并提供代码级别的热修复补丁，实现数字化应用的运行时风险免疫。

关于悬镜安全

悬镜安全，起源于北京大学网络安全技术研究团队“XMIRROR”，创始人子芽。作为DevSecOps敏捷安全领导者，始终专注于以“代码疫苗”技术为内核，凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系，创新赋能金融、车联网、泛互联网、智能制造、通信及能源等行业用户，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，持续守护中国数字供应链安全。了解更多信息请访问悬镜安全官网：www.xmirror.cn