悬镜安全率先通过国家工信安全中心SBOM标准认证

原创 已于 2025-12-12 16:47:51 修改 · 405 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#安全
于 2025-12-12 16:44:27 首次发布

近日,2025开放原子开发者大会在北京成功召开。会议期间,开放原子开源基金会、软件融合应用与测试验证工业和信息化部重点实验室及开源风险评估与治理技术实验室共同举办了“开源安全与AI供应链治理分论坛”。会上,国家工业信息安全发展研究中心(下文简称:中心)首批通过“T/CQAE 19004-2025 软件物料清单构成和要求”标准(简称:SBOM标准)符合性测评的企业名单公布。

SBOM标准由中心牵头制定,涵盖文档构成、数据字段、工具能力要求、管理和应用要求四部分,旨在规范软件开发过程中物料清单(SBOM)的构成及要求,提升软件产品的质量和可维护性。

为进一步推动SBOM工具产品技术创新,加速工具产品在重点行业的广泛应用,中心启动SBOM标准符合性测评,对申请参与的各款工具产品从数据生成、数据分析、应用管理等方面进行了综合评价。最终,悬镜安全凭借其在数字供应链安全领域的深厚技术积累与前瞻性产品布局,率先通过测评。

此次悬镜安全率先通过“T/CSEI 19004-2025”标准认证,不仅是对其技术实力与产品标准化水平的国家级认可,更标志着我国软件供应链安全治理迈入了标准化、规范化的新阶段。未来,悬镜安全将继续秉持“标准先行”的理念,积极推动该标准在千行百业的落地应用,携手生态伙伴共同构建透明、可信、安全的软件供应链新生态,为夯实国家数字基础设施安全底座贡献核心力量。

部分标杆客户

悬镜安全
关注
博客
“Vibe Coding”时代的安全边界:悬镜问境AIST如何护航Agent开发全流程?
04-20 476
一个典型的场景是:开发者说“帮我写一个调用GPT API的脚本”,AI生成了几十行代码,其中包含了API密钥的硬编码、不安全的错误处理、以及直接将用户输入拼接到Prompt中的写法。它描述了一种新的编程状态:开发者用自然语言描述意图,AI辅助工具(如Cursor、Copilot、WindSurf)自动生成代码,开发者主要承担“审查”而非“编写”的角色。安全工具最大的敌人不是“攻击者”,而是“开发者不买账”。:告警信息不仅描述“有什么问题”,还解释“为什么这是问题”和“怎么修”,降低开发者的认知负担。
博客
“Vibe Coding”时代的安全边界:悬镜问境AIST如何护航Agent开发全流程?
04-20 401
从代码生成时的实时检测,到模型引入时的自动评估,再到上线前的智能红队测试,问境AIST覆盖了AI应用安全的全生命周期。这种“全流程内嵌”的设计,使得安全不再是开发流程之外的“额外负担”,而是内生于开发流程的“基础设施”。安全不是阻碍创新的枷锁,而是护航创新的基石。问境AIST的AI代码安全护栏,与传统SAST工具最大的区别在于:它不是基于规则匹配,而是基于大模型对“上下文”的语义理解。在这样的系统架构下,安全不再是“某个函数有没有漏洞”的微观问题,而是“整个Agent系统的行为是否符合预期”的宏观问题。
博客
Gartner警告:2026 AI供应链攻击激增200%!除了“以AI对抗AI”,我们别无选择
04-20 302
Gartner最新发布的报告给出了一个令人警醒的数字:软件供应链攻击造成的经济损失将从2023年的460亿美元激增至2031年的1380亿美元,增幅超过200%。但在AI时代,攻击是实时的、自动化的、可大规模扩展的。从Agentic AI的自主决策,到Vibe Coding带来的开发范式革命,AI正在以前所未有的速度重塑软件工程的全貌。大模型的输出无法被穷举,提示词注入的攻击变体可以无限衍生,模型权重的后门无法通过简单的哈希校验发现。:针对AI供应链的攻击不再是偶发事件,而是每天都在发生的“日常”。
博客
问境AIST首发|以AI治理AI,悬镜原创多模态AIST新品发布
03-11 436
以AI 治理AI !直击Agentic AI全生命周期过程中的原生安全风险!
博客
案例分享:风险情报驱动的数字供应链安全治理实践
03-02 613
平台积累了海量的资产、漏洞、修复过程数据,但目前主要应用于风险处置和基础报表,在预测性分析、安全效能度量方面还有巨大潜力可挖。下一阶段将利用机器学习模型,自动分析漏洞趋势,预测特定技术栈的风险热点,实现精准改进。
博客
AI赋能安全 | 悬镜安全荣登《ISC.AI 2025创新性案例报告》
02-28 638
近日,备受关注的《ISC.AI 2025创新性案例报告》正式发布。作为数字安全与AI融合领域最具影响力的年度评选之一,本届ISC.AI创新百强评选以 “安全智变,AI赋能新力场” 为主题,聚焦数字安全与人工智能的深度融合,旨在回应智能时代数字安全发展的核心命题:安全已不再是单一防御问题,而正逐步演进为支撑智能系统可信运转、推动新质生产力释放的核心能力;AI也正从提升效率的生产力工具,转变为新一代安全体系的动力引擎与战略支撑点。
博客
供应链情报 | 2025开源供应链投毒分析技术报告
02-13 932
攻以守本,唯快不破!2025开源供应链投毒攻击暴涨58%,Agentic AI生态成攻防新焦点
博客
影响力!悬镜引领泰尔实验室《数字安全护航技术能力全景图》多个关键领域
02-02 421
本次全景图评选由国内权威第三方检测机构泰尔实验室牵头,基于严格的技术测评、方案验证与实践调研,系统梳理数字安全产业核心能力图谱,已成为行业技术选型与能力建设的重要参考。近日,中国信息通信研究院(以下简称“中国信通院”) 泰尔实验室正式发布《数字安全护航技术能力全景图》(以下简称“全景图”),旨在梳理数字安全领域关键技术能力,为产业数字化转型提供安全指引。凭借领先的技术创新实力与成熟的产品解决方案,悬镜安全在本次全景图评选中脱颖而出,,充分彰显了公司在数字安全护航领域的综合技术领导力与市场标杆地位。
博客
灵脉AI 4.4 | 解锁AI越权检测,代码安全智能体再进化!
01-23 717
通过理解函数调用链、控制流、角色校验逻辑与资源访问、数据库访问等关系,智能发现水平越权与垂直越权漏洞,弥补传统规则匹配或符号执行在复杂授权逻辑场景中的检测盲区。支持新建代码检测(包含敏感数据检测、IaC检测)、AI越权、后门查杀任务。:针对Python任务,能够自动识别项目中的第三方服务(如供应商、API端点、模型名称),并精准定位至具体代码片段,提升供应链安全可见性。支持批量新建源代码任务/应用,无需逐一操作,一次性启动多个源码扫描,大幅节省重复工作量,让研发团队聚焦核心业务,提升安全测试效率。
博客
AI原生安全治理:从机械式扫描到动态风险量化的演进实践
01-15 613
#AI Inside !#灵脉IAST 5.4 重磅升级 #智能AI漏洞治理风向标!
博客
风险情报驱动的数字供应链安全治理实践
12-31 655
资产清单具备全生命周期管理能力,覆盖引入、开发、测试、构建后、上线后各阶段的SBOM生产,并通过专门平台实现SBOM的生产、消费、转换全流程管理——之所以需要各阶段都生成SBOM,是因为不同阶段的SBOM各有特点:开发阶段的Source SBOM信息丰富但冗余度高,运营阶段的Runtime SBOM精准度高但覆盖范围有限,只有多阶段协同才能形成完整的资产视图;风险情报是供应链安全治理的核心动力,这也是我们本次演讲主题的核心——没有精准、及时的情报,供应链安全就如同"盲人摸象"。
博客
一文了解中国推出的智能体安全产品—问境AIST
12-26 719
在 AI 安全编码方面,问境 AIST 凭借业界领先的 SAST 和 SCA 技术,为用户提供针对性的 AI 框架漏洞分析、AI 应用代码安全审计以及只能化的安全编码助手,从源头保障 AI 应用的开发过程的安全。悬镜原创问境AI安全卫士平台(简称:问境 AIST),英文全称为“Seer Al Security Guard“,是一款覆盖 AI 应用全生命周期的智能体安全重磅级产品,其秉持“安全左移”和“敏捷右移”的核心理念,打造了一个覆盖AI应用从开发、测试到部署、运行全生命周期的安全检测与监控审计平台。
博客
供应链投毒预警 | 恶意Py包开展Windows木马远程植入攻击
11-24 991
悬镜安全近日在python仓库捕获1起利用开源组件perfviewer进行远程木马植入的投毒攻击事件,请速排查。
博客
喜报|悬镜安全联合北京大学创新研究成果获评2024年度北京市科学技术奖
11-14 341
数字供应链安全防御利器!智能代码疫苗技术获评“2024年度北京市科学技术进步奖”!
博客
悬镜安全斩获多项信通院“2025年度OSCAR开源”殊荣
11-11 422
悬镜安全-全球数字供应链安全领航者!
博客
影响力!悬镜安全入选《中国网络安全年鉴2025》引领数字供应链安全产业发展
10-24 591
国内率先实现一站式实现AI实时分析检测-AI智能审计验证-一键修复缺陷的智能体化闭环流程的AI安全智能体,不仅能够自动进行全面缺陷检测,还提供详细修复方案和建议,检测精度接近零误报、复杂检测场景进一步覆盖、检测效率更为强大,并依托悬镜供应链监测能力和AI安全大数据云端分析能力,实时动态监测风险情报,全面高效的帮助开发人员消除代码中漏洞风险,为软件信息安全保驾护航。作为首部以宏观经济为背景、以资本与科技为线索,系统记录中国网络安全产业全貌的年鉴,本书不仅是行业资料的汇编,更是一份历史记录。
博客
国家级!悬镜安全入选两项“网络安全国家标准应用实践案例”
10-21 621
在对于安全与稳定要求极为严苛的金融领域,中信建投证券与悬镜安全聚焦于GB/T 43848-2024的开源代码安全评价。在电信领域,面对规模庞大、组件来源复杂的数字供应链,中国电信上海研究院联合悬镜安全,以GB/T 43698为规划蓝图,将悬镜先进的供应链安全治理体系与平台工具深度集成,构建起覆盖软件成分分析、第三方组件风险管理、安全准入验证的端到端防护框架。作为数字供应链安全领域的先行者,悬镜安全不仅将自身的技术产品与国家标准紧密对齐,更在某种程度上,通过一线的成功实践反哺和验证了标准的科学性与前瞻性。
博客
国家级!悬镜安全入选两项“网络安全国家标准应用实践案例”
10-20 594
悬镜安全将继续作为关键信息基础设施安全建设坚定领航者,通过持续技术突破与深耕,将标准转化为实践,将合规转化为价值,助力更多行业客户在高质量发展的道路上行稳致远。
博客
数字供应链安全代表厂商︱悬镜安全领衔安全牛《数字供应链安全技术应用指南(2025版)》
06-13 1240
身为全球数字供应链安全开拓者与引领者,悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新,通过“AI智能代码疫苗”技术深度赋能基于“多模态SCA+DevSecOps+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系,积极发挥领导者的产业生态影响力,加强行业生态协同,助力企业用户数智化转型升级和高质量发展,真正实现数字供应链安全能力质的飞跃,守护全球数字供应链安全。据安全牛观察,当前关注数字供应链安全的厂商以开发安全和软件供应链安全厂商为主,厂商范围相比往年变化不大。
博客
重大SBOM风险预警 | 总下载量超百万次开源NPM组件被投毒
03-31 848
近日(2025.03.25),悬镜供应链安全情报中心在NPM官方仓库(www.npmjs.com)中捕获1起针对全球知名薪酬数据统计平台 PayScale 旗下开源NPM组件 country-currency-map的供应链投毒事件。工具将受影响的组件包按如下示例保存为db.json文件,直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒包影响。依赖country-currency-map组件的开源项目。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值