本次我们采访了悬镜安全CTO宁戈，分享悬镜安全的静态应用程序安全测试（SAST）工具及参与评估的收获。

Q：宁戈您好，请介绍一下您的企业。

悬镜安全，起源于北京大学网络安全技术团队”XMIRROR”，创始人子芽。专注以“代码疫苗”技术为内核，凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系，创新赋能金融、车联网、能源通信、政企等行业用户，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，守护数字供应链安全。

Q：请介绍一下您企业的SAST安全工具。

灵脉SAST白盒代码审计平台基于是AI多引擎驱动的新一代智能代码审计平台，提供源代码缺陷检测、源代码合规检测、源代码溯源检测三大能力，帮助企业从编码源头解决软件开发过程中的安全缺陷、质量缺陷和编码规范缺陷，确保研发团队高质量交付。

Q：请介绍一下您企业SAST安全工具的应用场景及功能特点。

灵脉SAST可应用于研发团队安全编码规范落地、软件安全测试、安全代码审计、数字供应链安全审查、DevSecOps及SDL落地等场景。基于业界领先的程序分析引擎和AI分析引擎，支持污点分析、符号执行、各类敏感性分析、指针分析、代码AI自动修复等能力，灵脉SAST可提供全面精准的检测能力；深度融合SCA软件成分分析能力，并支持组件洞可达性分析，提供数字供应链安全审查并实现供应链安全能力支撑；联动XSBOM数字供应链安全情报能力，可实时精准个性化推送漏洞风险、投毒事件、许可证风险、断供风险等安全事件信息，帮助企业和用户及时应对数字供应链安全风险。

Q：请问通过本次标准评估对您的企业带来了什么帮助？

悬镜灵脉SAST白盒代码审计平台成功通过信通院“静态应用程序安全测试（SAST）工具能力评估”，一方面标志着灵脉SAST符合《静态应用程序安全测试工具能力要求》标准要求，另一方面也帮助灵脉SAST在测试过程中查漏补缺，优化提升自身能力。同时，灵脉SAST通过第三方权威机构的评估，增加了产品的附加值，有效提升了灵脉SAST的市场竞争力，极大增强了用户对灵脉SAST的信任度和信心，从而为产品带来更多的经济效益。

评估基于《静态应用程序安全测试工具能力要求》标准，对于工具的扫描分析能力要求、灵活性能力要求、分析辅助能力要求、开发流程嵌入能力要求、扩展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服务支持能力要求9大部分进行评估。

获得第三方资质证书，提升市场竞争力

通过中国信通院组织的工具能力测试评估，获得第三方资质证书，证明企业自身工具已满足标准要求。企业可向客户呈现评估结果，证明工具功能完备、产品自身安全、性能满足基本业务要求，助力企业进一步提升工具的市场竞争力。

工具能力对标行业标准，助力用户进行选型参考

标准制定过程中广泛邀请大量业界优秀安全工具厂商专家参与，抽取包括功能项、性能项及安全关键要素，建立工具评价模型。企业可通过评估测试，验证自身工具安全可信，覆盖标准通用能力要求，为用户选择合适的安全工具提供选型指导。

报名机制：滚动报名机制

评估周期：1-3月

专家评审&结果发布：每三个月组织一次专家评审会，为通过企业颁发证书

报名方式：

请发送报名邮件至[email protected]，邮件主题为相关评估报名，正文应至少包括企业名称、联系人、联系方式等内容。