2021年3月22日，业界头部DevSecOps敏捷安全厂商悬镜安全正式宣布完成近亿元人民币的A轮融资，本轮融资由腾讯产业生态投资领投，红杉中国继续加持。强强联合后，悬镜安全将进一步深化和腾讯产业投资生态的战略协同，凭借领先的下一代敏捷安全体系，在公有云、私有云及产业侧整体敏捷安全解决方案上形成深度整合，持续扩大在华北、华东、华南、华中、西南等地区的规模化产品服务交付能力，加速覆盖金融电商、能源电力、智能制造、电信运营商及互联网头部厂商等企业级安全市场。

本轮领投方腾讯产业生态投资表示，在安全左移、敏捷开发和信创的大背景下，国内DevSecOps迎来巨大增长空间。悬镜安全的产品已广泛服务于金融、能源电力、运营商和头部互联网厂商，产品和技术实力处于领先地位。腾讯将与悬镜安全进一步加深合作与战略协同，共同为行业构筑下一代敏捷安全体系。

上轮独家领投方红杉中国董事总经理翟佳表示：“将安全嵌入 DevOps 流程形成 DevSecOps，符合当前的敏捷开发需求趋势，使得安全可以’左移‘和’右移‘。DevSecOps渗透至研发到运营整个软件生命周期，帮助企业在软件开发阶段就可以检测和修复漏洞，降低成本和风险，这是网络安全的新兴重要发展方向。在这一领域不断深耕的悬镜具有领先优势，构筑了较深的行业壁垒，并且业务进展迅速，拓展了多个行业的标杆客户，发展前景长期看好”。

从开发源头做敏捷安全治理

根据第三方权威调查，接近92%的已知安全漏洞都发生在软件应用程序中，且应用中每1000行代码至少出现一个业务逻辑缺陷。此外，78%-90%的现代应用融入了开源组件，平均每个应用包含147个开源组件，且67%的应用采用了带有已知漏洞的开源组件。目前绝大多数政企用户对业务应用漏洞的发现除了内部自测以外，多半源自外部第三方安全研究人员或安全厂商。整个软件开发生命周期中，不同阶段修复安全漏洞的成本差距显著，研发测试阶段与线上运营阶段的修复成本甚至能够相差数百倍。因此，如何前置安全工作，把漏洞风险及开源威胁消灭在萌芽状态，防止应用带病上线，保障软件供应链安全十分迫切且必要。

用持续攻防对抗来把控安全脉搏

孙子兵法中曾言：“用兵之法，无恃其不来，恃吾有以待也；无恃其不攻，恃吾有所不可攻也。”攻防对抗是网络安全建设过程中永恒的主题，是检验现有安全体系防御应对未知威胁成效能力最为直接的方式，如RSAC 2018中黄金管道涉及的漏洞悬赏，本质也是鼓励主动建立攻防对抗体系，如持续的安全众测、不定期进行攻防演练并辅以配套的检测响应手段等。

以情境防御构筑业务出厂免疫

随着云原生技术的发展和DevSecOps实践的快速普及，网络安全正在经历从边界安全到主机安全、再到应用安全的发展演进，可以预判下一代应用安全重心将是运行时动态安全。

悬镜DevSecOps研究最新实践成果

结合多年的敏捷安全落地实践经验，悬镜安全探索出了一套基于原创专利级“敏捷流程平台+关键技术工具链+组件化安全服务” 的DevSecOps智适应威胁管理体系。

图1：悬镜DevSecOps智适应威胁管理体系

它作为DevSecOps全流程AI安全赋能平台，从构筑之初就注重技术落地的柔和低侵入性，从驱动DevSecOps CI/CD管道持续运转的几大关键实践点入手，通过对威胁建模、开源治理、风险发现、威胁模拟及检测响应等关键技术创新赋能政企组织现有人员，帮助甲方组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生安全开发运营体系。

悬镜安全创始人子芽在接受采访时表示，“安全的本质是风险和信任的平衡，悬镜这些年一直在做的一件事就是如何帮助甲方用户更好地拥抱变化，更快速地适应云原生技术普及，做好内生敏捷安全”。DevSecOps敏捷安全工具金字塔作为悬镜安全最新研究实践成果，它前瞻性地预测了未来DevSecOps关键技术演进的路线，为业内组织后续的体系化安全建设指明了方向。

图2：DevSecOps敏捷安全工具金字塔

在数字化时代的业务安全目标，更加强调对风险和信任的评估分析，这个分析的过程就是一个动态平衡的过程，我们需要告别过去传统安全门式允许/阻断的处置方式，旨在通过运行时情境分析来持续评估业务安全风险，放弃追求绝对的安全，不死守零风险，不苛求100%信任，通过运行时威胁免疫、风险联动治理和持续监控等关键技术实现一种0和1之间的综合风险与信任的动态平衡。

如若转载，请注明原文地址：