悬镜夫子

Xfuse ASOC Agile Security Platform

DevSecOps/SDL全流程智适应安全开发赋能平台

添加小镜
为您答疑解惑

以终为始，以始为终

Begin with the End in Mind

夫子（Xfuse）作为悬镜DevSecOps智适应威胁管理体系的全流程管理平台，不仅聚焦开发早期需求分析、架构设计阶段的威胁建模，还重点解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点问题。它的核心定位是从开发源头开始将专家团队的安全能力持续赋能给传统IT项目人员，使安全思想注入DevSecOps/SDL全生命周期，帮助企业组织流程化、自动化、持续化地保障业务安全。

研发不易，安全无力

Inadequate Security in SDL

严峻的应用漏洞形势，让企业不得不开始注重自身的应用安全。而来自Whitehat Security机构的最新报告显示，虽然绝大多数开发人员都已认识到应用安全的重要性，但75%的开发人员对自己开发应用程序的安全性感到担忧。安全性造成的压力感和无力感让开发人员普遍感到筋疲力竭，但无计可施。

0

20

40

60

80

100
安全重要

安全不重要

85%
15%
胸有成竹

感到担忧

25%
75%
安全优先

进度优先

57%
43%
安全培训

未受培训

30%
70%
来源：Whitehat Security

轻量级威胁建模

Light-Weight Threat Modeling

威胁建模是一种结构化方法，用来识别、量化并应对威胁，利用抽象的方法来帮助思考风险。夫子AI威胁建模引擎将用户的调查问卷作为学习样本，通过机器学习技术对STRIDE六大威胁实施解析、映射与赋值，用攻击树建模的方法，自动生成相应维度的安全模型，作为人员后续安全实施处置的参考与指导。

全对象安全赋能

Security Empowerment for All Characters

针对传统的安全保障方法与应用的发布效率相悖的情况，夫子重点将质量管理的三要素：人、工具、方法进行整合与赋能，让项目相关人员方便地掌握实现应用安全的方法，并高效地使用保障应用安全的工具。

全管道工具链接入

API for All Third-Party Tools

通过插件化API接口，可灵活调用并获取各类型安全检测工具的实时漏洞检测结果，并通过可调控的评级规则，解决由于应用阶段、检测技术、定级规范的不同，导致检测出的漏洞难以统一评估管理、分析的问题，并将各阶段收集的检测数据统一分析，总体关联。

全流程脆弱管理

Vulnerability Management for Full Process

悬镜夫子将安全元素注入应用软件开发生命周期全流程中，覆盖需求、设计、开发、测试以及发布运营等阶段之上，并持续改进，全面管理软件风险，实现安全开发周期的完整闭环。

多维度容器镜像检测

Multidimensional Docker Image Vul-Detection

在Docker官方镜像中有超过30%的镜像有高危漏洞，平均每一个镜像有127个中危漏洞，几乎没有镜像能免于漏洞侵袭。悬镜夫子内置智能容器镜像检测引擎，可以扫描容器仓库内的镜像，发现相关镜像的威胁漏洞、安装的Package、敏感信息、Malware等，使用户及时全面地获知容器镜像中的不安全因素并及时排除，防患于未然。

安全的本质是风险和信任的平衡

Security is Balance of Risk and Trust

木桶原理在应用安全上体现得尤其突出，应用的安全性不取决于防御最强的地方，也与应用的平均防御能力无关，而取决于应用中最薄弱的环节。若想保障安全，首先就要了解攻击者的方法，进一步地，将攻击者的方法逐一做分解与反制。因此，通过悬镜白帽黑客多年的网络攻防与红蓝对抗经验，我们提炼出了九大应用安全设计原则，并将其完整融合于夫子之中，尽可能地使应用的脆弱性降到最低。