36氪首发 | 「悬镜安全」完成A轮战略融资，腾讯产业生态投资领投，红杉中国继续加持

36氪获悉，DevSecOps敏捷安全厂商「悬镜安全」正式宣布完成数千万元人民币的A轮融资，本轮融资由腾讯产业生态投资领投，红杉中国继续加持。

悬镜安全是36氪持续关注的一家公司，专注DevSecOps软件供应链持续威胁一体化检测防御。其旗下原创悬镜DevSecOps智适应威胁管理体系主要覆盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的政企安全服务，帮助政企组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并向未来IT架构演进的内生安全开发运营体系。

从开发源头做敏捷安全治理

谈及行业驱动因素，公司介绍，从开发源头做敏捷安全治理已经成为愈发多企业保障软件供应链安全的刚需。

具体展开，根据第三方权威调查，接近92%的已知安全漏洞都发生在软件应用程序中，且应用中每1000行代码至少出现一个业务逻辑缺陷。此外，78%-90%的现代应用融入了开源组件，平均每个应用包含147个开源组件，且67%的应用采用了带有已知漏洞的开源组件。目前绝大多数政企用户对业务应用漏洞的发现除了内部自测以外，多半源自外部第三方安全研究人员或安全厂商。整个软件开发生命周期中，不同阶段修复安全漏洞的成本差距显著，研发测试阶段与线上运营阶段的修复成本甚至能够相差数百倍。因此，如何前置安全工作，把漏洞风险及开源威胁消灭在萌芽状态，防止应用带病上线，保障软件供应链安全十分迫切且必要。

而悬镜安全旗下的主打产品之一灵脉IAST灰盒安全测试平台，作为悬镜DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台，通过新一代全场景实时数据流情景分析技术，如运行时应用插桩（含动态污点追踪及交互式缺陷定位）、终端流量代理、旁路流量镜像、主机流量嗅探、启发式爬虫、Web日志实时分析等和原创AI启发渗透测试技术帮助传统IT从业人员，在甲方用户的组织内部快速建立安全众测模式，使传统安全小白（如研发、测试、QA等）完成应用功能测试的同时即可透明实现深度业务安全测试，运行时动态监测开源风险，精准覆盖95%以上中高危漏洞，有效防止应用带病上线。

用持续攻防对抗来把控安全脉搏

攻防对抗是网络安全建设过程中永恒的主题，是检验现有安全体系防御应对未知威胁成效能力最为直接的方式，如RSAC 2018中黄金管道涉及的漏洞悬赏，本质也是鼓励主动建立攻防对抗体系。再如持续的安全众测、不定期进行攻防演练并辅以配套的检测响应手段等，目的也在于此。

公司介绍，悬镜安全旗下另外一款主打产品灵脉PTe智慧渗透测试平台，作为悬镜DevSecOps智适应威胁管理体系中运营环节的威胁模拟平台，在国内率先实现“AI+威胁模拟”的智能攻防演练机器人系统，将安全专家在大量渗透测试过程中积累的实战经验转化为机器可存储、识别、处理的结构化经验，并且在自动化测试过程中借助人工智能算法不断进行“自我思考”和逻辑推理决策，以贴近实际专家渗透测试的方式，对给定目标进行从信息收集、扫描探测、漏洞发现、漏洞利用到后渗透的整个完整渗透测试过程，全方位检验甲方用户现有安全防御措施的有效性，从“真实黑客”视角持续动态评估目标组织的安全态势，并大幅度弥补安全人员水平参差不齐和效率低下的问题。

保护业务运行时的动态安全

公司认为，随着云原生技术的发展和DevSecOps实践的日渐普及，网络安全正在经历从边界安全到主机安全、再到应用安全的发展演进，可以预判下一代应用安全重心将是运行时动态安全。

结合上文的IAST产品，这类产品目的在让软件得以在上线前发现可能的安全风险，达成安全前置的目的。而运行时动态安全，是在软件上线后实时保证软件安全。

悬镜安全最新发布的主动护网防御产品-云鲨RASP自适应威胁免疫平台，作为悬镜DevSecOps智适应威胁管理体系中运营环节的检测响应平台，通过专利级Webshell深度AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术，实现RASP与IAST融合，将主动防御能力“注入”到业务应用中，借助强大的应用上下文情景分析能力，可捕捉并防御各种绕过流量检测的攻击方式（如分段传输、编码变形），提供兼具业务透视和功能解耦的内生主动安全免疫能力，为业务应用出厂默认安全免疫迎来革新发展。

悬镜DevSecOps研究最新实践成果

公司创始人子芽介绍，结合多年的敏捷安全落地实践经验，悬镜安全探索出了一套基于原创专利级“敏捷流程平台+关键技术工具链+组件化安全服务” 的DevSecOps智适应威胁管理体系。它作为DevSecOps全流程AI安全赋能平台，从构筑之初就注重技术落地的柔和低侵入性，从驱动DevSecOps CI/CD管道持续运转的几大关键实践点入手，通过对威胁建模、开源治理、风险发现、威胁模拟及检测响应等关键技术创新赋能政企组织现有人员，帮助甲方组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生安全开发运营体系。

图1：悬镜DevSecOps智适应威胁管理体系

子芽认为，“安全的本质是风险和信任的平衡，悬镜这些年一直在做的一件事就是如何帮助甲方用户更好地拥抱变化，更快速地适应云原生技术普及，做好内生敏捷安全”。

图2：DevSecOps敏捷安全工具金字塔

当前，落地实践悬镜敏捷安全解决方案的企业机构包括中国银联、中国银行、中国工商银行、中国平安、中信建投证券、中国石化、中国石油、中国电信研究院、中体彩、人民网、国家电网、北京大学、中兴通讯、中国工程物理研究院等行业头部客户。

据了解，在本轮融资之后，悬镜安全将进一步深化和腾讯产业投资生态的战略协同，凭借下一代敏捷安全体系，在公有云、私有云及产业侧整体敏捷安全解决方案上形成更深度整合，持续扩大在华北、华东、华南、华中、西南等地区的规模化产品服务交付能力，加速覆盖金融电商、能源电力、智能制造、电信运营商及互联网头部厂商等企业级安全市场。

投资人观点：

本轮领投方腾讯产业生态投资表示，在安全左移、敏捷开发和信创的大背景下，国内DevSecOps迎来巨大增长空间。悬镜安全的产品已广泛服务于金融、能源电力、运营商和头部互联网厂商，产品和技术实力处于领先地位。腾讯将与悬镜安全进一步加深合作与战略协同，共同为行业构筑下一代敏捷安全体系。

上轮独家领投方红杉中国董事总经理翟佳表示：将安全嵌入 DevOps 流程形成 DevSecOps，符合当前的敏捷开发需求趋势，使得安全可以“左移”和“右移”。DevSecOps渗透至研发到运营整个软件生命周期，帮助企业在软件开发阶段就可以检测和修复漏洞，降低成本和风险，这是网络安全的新兴重要发展方向。在这一领域不断深耕的悬镜具有领先优势，构筑了较深的行业壁垒，并且业务进展迅速，拓展了多个行业的标杆客户，发展前景长期看好。

————————

相关阅读
软件开发既要敏捷又要安全？来看看DevSecOps吧 ｜年度行业研究