悬镜夫子
Xfuse ASOC Agile Security Platform
DevSecOps/SDL全流程智适应安全开发赋能平台


添加小镜
为您答疑解惑
Begin with the End in Mind
夫子(Xfuse)作为悬镜DevSecOps智适应威胁管理体系的全流程管理平台,不仅聚焦开发早期需求分析、架构设计阶段的威胁建模,还重点解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点问题。它的核心定位是从开发源头开始将专家团队的安全能力持续赋能给传统IT项目人员,使安全思想注入DevSecOps/SDL全生命周期,帮助企业组织流程化、自动化、持续化地保障业务安全。
Inadequate Security in SDL
严峻的应用漏洞形势,让企业不得不开始注重自身的应用安全。而来自Whitehat Security机构的最新报告显示,虽然绝大多数开发人员都已认识到应用安全的重要性,但75%的开发人员对自己开发应用程序的安全性感到担忧。安全性造成的压力感和无力感让开发人员普遍感到筋疲力竭,但无计可施。
Light-Weight Threat Modeling
威胁建模是一种结构化方法,用来识别、量化并应对威胁,利用抽象的方法来帮助思考风险。夫子AI威胁建模引擎将用户的调查问卷作为学习样本,通过机器学习技术对STRIDE六大威胁实施解析、映射与赋值,用攻击树建模的方法,自动生成相应维度的安全模型,作为人员后续安全实施处置的参考与指导。
Security Empowerment for All Characters
针对传统的安全保障方法与应用的发布效率相悖的情况,夫子重点将质量管理的三要素:人、工具、方法进行整合与赋能,让项目相关人员方便地掌握实现应用安全的方法,并高效地使用保障应用安全的工具。
API for All Third-Party Tools
通过插件化API接口,可灵活调用并获取各类型安全检测工具的实时漏洞检测结果,并通过可调控的评级规则,解决由于应用阶段、检测技术、定级规范的不同,导致检测出的漏洞难以统一评估管理、分析的问题,并将各阶段收集的检测数据统一分析,总体关联。
Vulnerability Management for Full Process
悬镜夫子将安全元素注入应用软件开发生命周期全流程中,覆盖需求、设计、开发、测试以及发布运营等阶段之上,并持续改进,全面管理软件风险,实现安全开发周期的完整闭环。
Multidimensional Docker Image Vul-Detection
在Docker官方镜像中有超过30%的镜像有高危漏洞,平均每一个镜像有127个中危漏洞,几乎没有镜像能免于漏洞侵袭。悬镜夫子内置智能容器镜像检测引擎,可以扫描容器仓库内的镜像,发现相关镜像的威胁漏洞、安装的Package、敏感信息、Malware等,使用户及时全面地获知容器镜像中的不安全因素并及时排除,防患于未然。
Security is Balance of Risk and Trust
木桶原理在应用安全上体现得尤其突出,应用的安全性不取决于防御最强的地方,也与应用的平均防御能力无关,而取决于应用中最薄弱的环节。若想保障安全,首先就要了解攻击者的方法,进一步地,将攻击者的方法逐一做分解与反制。因此,通过悬镜白帽黑客多年的网络攻防与红蓝对抗经验,我们提炼出了九大应用安全设计原则, 并将其完整融合于夫子之中,尽可能地使应用的脆弱性降到最低。
结合实际业务需求,场景化轻量级威胁建模,源头管控早期威胁,并可直接指派处置任务,实际跨部门职能协助。
动态跟踪威胁的处理流程,从需求提出、风险发现到安全需求验证,提供全流程闭环管理。
全流程对接各漏洞发现工具,并实现漏洞趋势、部门健康度、产品风险的综合关联分析。
以漏洞管理为核心,插件化组件设计,根据组织架构的特点弹性调整处置流程,不受平台固定架构和流程约束。
Clients
凭借悬镜原创“DevSecOps智适应威胁管理体系”新一代敏捷安全解决方案,不断为金融、能源、电力、运营商及教育等行业用户持续赋能,合力构筑适应甲方业务弹性扩展并面向敏捷业务交付的内生安全开发运营体系。
Partners
携手合作伙伴,开拓百亿级蓝海市场,共同助力企业DevSecOps落地,实现客户业务与安全融合增长。
Comments
Awards
赛可达实验室
年度优秀产品
赛迪顾问
年度创新企业奖
中国软件技术大会
年度最佳产品
中国国际软交会
最佳数字化转型实践
网络安全金帽子
年度优秀安全产品
网络安全(中国)论坛
优秀解决方案奖
赛可达实验室
东方之星安全认证
中国网络安全创新评选
年度创新产品
Certifications
北京市科学技术委员会
国家高新技术企业
中关村科技园区管理委员会
中关村高新技术企业
中国信息安全认证中心
信息安全风险评估服务资质
中国信息安全认证中心
信息安全应急处理服务资质
国际信息安全管理体系
ISO27001
国际信息技术服务管理体系
ISO20000
国际质量管理体系
ISO9001
国家安全信息测评中心
信息安全服务资质
顾问小镜
悬镜安全服务号
悬镜DevSecOps
实践营
在线咨询
CHAT WITH US