悬镜安全作为信息技术创新赋能央国企数智化发展论坛的支持单位，悬镜安全创始人兼CEO子芽受邀出席，与央国企代表、行业专家围绕“国有企业创新合力与路径探讨”的核心议题建言献策。

同时，作为本次论坛的重磅环节，北京市经济和信息化局信息化与软件服务业处处长尤靖正式公布《北京市关于加快打造信息技术应用创新产业高地的若干政策措施》行业标杆示范“首方案”，悬镜安全“安全开发体系建设项目”成功获评“信创十条—首方案”2023-2024行业标杆示范项目。

产业引领

树立供应链安全体系标杆示范

为贯彻落实北京市“十四五”时期高精尖产业发展规划，加强技术突破，深化行业应用，加快优质企业培育集聚，优化完善产业生态，加快打造信息技术应用创新产业高地，北京市经济和信息化局制定并印发《北京市关于加快打造信息技术应用创新产业高地的若干政策措施》，对于首次解决重点行业典型应用场景需求并实际落地的优质解决方案，给予“首方案”奖励。

“首方案”的评定主要从行业重要性、场景典型性、方案示范性、方案首认定、产品性能、业务支撑程度和信创组件占比这七大维度综合展开严格评估，其目的为鼓励应用场景首试首用，加快行业落地，树立北京品牌。

悬镜安全联合中信建投共同申报的“安全开发体系建设项目”，全面符合行业重要性、场景典型性、方案示范性、方案首认定、产品性能、业务支撑程度的要求，成功入选金融领域“首方案”标杆项目。该解决方案以悬镜安全自主可控的敏捷安全工具链为技术抓手，包括源鉴SCA开源威胁管控平台、灵脉IAST灰盒安全测试平台、灵脉SAST白盒代码审计平台、云鲨RASP自适应云防御平台等，结合全流程数字供应链安全赋能平台和供应链安全情报服务，在数字供应链的引入、生产、交付和运营阶段分别采用不同的风险治理措施，满足数字应用安全测试、开源风险治理、运行时应用自防护等需求，提供覆盖全生命周期的数字供应链安全治理体系。

悬镜数字供应链安全解决方案基于独创的代码疫苗技术突破了国家数字供应链安全领域关键“卡脖子”技术攻关，实现关键核心技术自主可控与国产化替代，其在金融、车联网、通信、能源、政企、智能制造和泛互联网等关键行业的落地实践，起到信创典型场景真替真用树立标杆复制推广的效果，有效促进产业供给侧与应用侧用户加快核心业务的替代，极大提升我国关键基础设施的数字供应链自主可控安全防护水位。

子芽出席圆桌论坛

共话央国企数字供应链安全建设

数字时代，软件定义万物。软件开发过程中开源应用日趋普及，央国企单位在推进信创与数智化转型的过程中，离不开供应链上下游的协同配合，也因此面临着更严峻的数字供应链安全挑战。

01 四大演进，解读数字供应链深刻内涵

子芽认为，随着数智产业转型升级加速，数字经济时代在以下四个方面发生着深刻变化：

• 新成分：应用成分从早期的闭源到混源再变革为开源主导；

• 新开发：应用开发过程从传统的瀑布式演进到敏捷开发再演进到DevOps研运一体化；

• 新架构：应用架构正从早期的单体应用向微服务和Serverless架构演进；

• 新环境：基础设施从传统的IDC物理机到虚拟化再发展为容器化。

基于此，我们熟知的软件供应链正向数字供应链跃迁式演进，数字供应链所涵盖的核心内容不仅囊括了软件供应链当中的软件外部应用，还有智能硬件当中的固件、托管的云服务、IT服务等基础设施服务，甚至包括供应链数据等。

02 三大特性，数字供应链安全关键解法

随着数字供应链的内涵演进变迁，数字供应链面临的安全风险也发生了重大变化，不仅需要关注数字应用引入的安全漏洞、开源组件风险、许可风险，还有代码数据安全、第三方供应商风险，以及外采网络安全产品的风险管理。

子芽指出，数字供应链安全应当具备三大关键特性，分别是“共生自进化、内生自免疫、敏捷自适应”：

业务发展应当与安全建设共生，研发、安全和运营角色在决策上共担安全风险，开源、内源和混源共生发展。

用安全左移的方法实现源头风险治理，从而实现防御前置，并以威胁模拟实现持续安全度量。

敏捷适应业务增长和迭代模式，使安全和业务融合又解耦；同时敏捷适应基础设施环境变化，随时灵敏响应内外部威胁和风险。

03 行业领先，悬镜数字供应链安全治理实践

作为DevSecOps敏捷安全领导者和新一代数字供应链安全开创者，悬镜在全球范围内首创基于代码疫苗技术的数字供应链安全治理与运营解决方案，以代码疫苗技术和下一代积极防御框架为核心构建“ 全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系及数字供应链安全组件化服务，在DevSecOps敏捷安全体系建设、数字供应链安全审查、开源供应链安全治理和云原生安全体系建设四大典型应用场景下，为用户构筑适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。

子芽指出，数字供应链安全治理应当有的放矢，重点关注以下三大方向：

开源成分的不确定性将导致整个供应链安全治理的不确定性，因此，开源风险治理成为数字供应链安全治理的重中之重。

悬镜秉持用开源的方式做开源风险治理，创建了全球首个开源数字供应链安全社区OpenSCA，现已成为国内用户量最多、应用场景最广的开源SCA平台（中国信通院《中国DevOps现状调查报告2023》）。OpenSCA通过软件码纹分析、依赖分析、特征分析、引用识别与开源许可合规分析等综合算法，深度挖掘开源供应链安全风险，智能梳理数字资产风险清单，结合SaaS云平台和实时供应链安全情报，为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。

SCA技术已然成为数字供应链开源治理的关键入口，悬镜源鉴SCA作为新一代开源数字供应链安全审查与治理平台，全方位覆盖数字应用在开发、测试、采购和运营阶段涉及的第三方开源组件和多层依赖、代码克隆、开源许可协议、二进制制品、运行时应用的纵深数字供应链开源安全风险，并结合供应链安全情报，实现数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应。

悬镜XSBOM数字供应链安全情报平台依托悬镜安全团队强大的供应链管理监测能力和AI安全大数据云端分析能力，融合超100类渠道数据，并结合策略、AI、专家体系化运营以及风险评级模型，对全球数字供应链投毒情报、漏洞情报、停服断供情报进行实时动态监测与溯源分析，为用户提供高级情报查询、情报订阅、可视化关联分析等企业级服务，帮助用户更快更轻松应对各种风险，智能精准预警“与我有关”的数字供应链安全情报，为企业在安全开发、运维、采购、分发各个阶段提供情报数据解决方案。

身处数字化转型飞速推进的时代浪潮，悬镜将持续践行行业领导者的安全责任，专注技术自主创新应用，为产业提供更为领先的新技术、新产品、新方案，输出中国特色的技术管理体系，并携手上下游生态伙伴一同做好技术支撑和生态共建的探索实践工作，帮助行业用户高效应对数字化转型过程中的数字供应链安全挑战，持续守护中国数字供应链安全。