转载首发 | 「悬镜安全」完成A轮战略融资，腾讯产业生态投资领投，红杉中国继续加持

转载获悉，DevSecOps敏捷安全厂商「悬镜安全」正式宣布完成数千其元人民币嘅A轮融资，本轮融资由腾讯产业生态投资领投，红杉中国继续加持。

悬镜安全是转载持续关注嘅一家公司，专注DevSecOps软件供应链持续威胁一体化检测防御。其旗下原创悬镜DevSecOps智适应威胁管理体系主要覆盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节嘅开发运营一体化敏捷安全产品及以实战攻防对抗为特色嘅政企安全服务，帮助政企组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并向未嚟IT架构演进嘅内生安全开发运营体系。

从开发源头做敏捷安全治理

谈及行业驱动因素，公司介绍，从开发源头做敏捷安全治理已经成为愈发多企业保障软件供应链安全嘅刚需。

具体展开，根据第三方权威调查，接近92%嘅已知安全漏洞都发生在软件应用程序度，且应用中每1000行代码至少出现一个业务逻辑缺陷。此外，78%-90%嘅现代应用融入‌开源组件，平均每个应用包含147个开源组件，且67%嘅应用采用‌带有已知漏洞嘅开源组件。目前绝大多数政企用户对业务应用漏洞嘅发现除咗内部自测以外，多半源自外部第三方安全研究人员或安全厂商。成个软件开发生命周期度，不同阶段修复安全漏洞嘅成本差距显著，研发测试阶段同线上运营阶段嘅修复成本甚至能够相差数百倍。因此，点样前置安全工作，将漏洞风险及开源威胁消灭在萌芽状态，防止应用带病上线，保障软件供应链安全十分迫切且必要。

而悬镜安全旗下嘅主打产品之一灵脉IAST灰盒安全测试平台，作为悬镜DevSecOps智适应威胁管理体系中上线前测试环节嘅应用风险发现平台，通过新一代全场景实时数据流情景分析技术，如运行时应用插桩（含动态污点追踪及交互式缺陷定位）、终端流量代理、旁路流量镜像、主机流量嗅探、启发式爬虫、Web日志实时分析等同原创AI启发渗透测试技术帮助传统IT从业人员，喺甲方用户嘅组织内部快速建立安全众测模式，使传统安全小白（如研发、测试、QA等）完成应用功能测试嘅同时即可透明实现深度业务安全测试，运行时动态监测开源风险，精准覆盖95%以上中高危漏洞，有效防止应用带病上线。

用持续攻防对抗嚟将控安全脉搏

攻防对抗是网络安全建设过程中永恒嘅主题，是检验现有安全体系防御应对未知威胁成效能力最为直接嘅方式，如RSAC 2018中黄金管道涉及嘅漏洞悬赏，本质都是鼓励主动建立攻防对抗体系。再如持续嘅安全众测、不定期进行攻防演练并辅以配套嘅检测响应手段等，目嘅都在于此。

公司介绍，悬镜安全旗下另外一款主打产品灵脉PTe智慧渗透测试平台，作为悬镜DevSecOps智适应威胁管理体系中运营环节嘅威胁模拟平台，喺国内率先实现“AI+威胁模拟”嘅智能攻防演练机器人系统，将安全专家在大量渗透测试过程中积累嘅实战经验转化为机器可存储、识别、处理嘅结构化经验，并且在自动化测试过程中借助人工智能算法不断进行“自我思考”同逻辑推理决策，以贴近实际专家渗透测试嘅方式，对畀定目标进行从信息收集、扫描探测、漏洞发现、漏洞利用到后渗透嘅成个完整渗透测试过程，全方位检验甲方用户现有安全防御措施嘅有效性，从“真实黑客”视角持续动态评估目标组织嘅安全态势，并大幅度弥补安全人员水平参差不齐同效率低下嘅问题。

保护业务运行时嘅动态安全

公司认为，随住云原生技术嘅发展同DevSecOps实践嘅日渐普及，网络安全正喺度经历从边界安全到主机安全、再到应用安全嘅发展演进，但系以预判下一代应用安全重心将是运行时动态安全。

结合上文嘅IAST产品，呢类产品目嘅在等软件得以在上线前发现可能嘅安全风险，达成安全前置嘅目嘅。而运行时动态安全，是在软件上线后实时保证软件安全。

悬镜安全最新发布嘅主动护网防御产品-云鲨RASP自适应威胁免疫平台，作为悬镜DevSecOps智适应威胁管理体系中运营环节嘅检测响应平台，通过专利级Webshell深度AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术，实现RASP同IAST融合，将主动防御能力“注入”到业务应用度，借助强大嘅应用上下文情景分析能力，但系捕捉并防御各种绕过流量检测嘅攻击方式（如分段传输、编码变形），提供兼具业务透视同功能解耦嘅内生主动安全免疫能力，为业务应用出厂默认安全免疫迎嚟革新发展。

悬镜DevSecOps研究最新实践成果

公司创始人子芽介绍，结合多年嘅敏捷安全落地实践经验，悬镜安全探索出‌一套基于原创专利级“敏捷流程平台+关键技术工具链+组件化安全服务” 嘅DevSecOps智适应威胁管理体系。佢作为DevSecOps全流程AI安全赋能平台，从构筑之初就注重技术落地嘅柔同低侵入性，从驱动DevSecOps CI/CD管道持续运转嘅几大关键实践点入手，通过对威胁建模、开源治理、风险发现、威胁模拟及检测响应等关键技术创新赋能政企组织现有人员，帮助甲方组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未嚟架构演进嘅内生安全开发运营体系。

图1：悬镜DevSecOps智适应威胁管理体系

子芽认为，“安全嘅本质是风险同信任嘅平衡，悬镜呢啲年一直在做嘅一件事就系点样帮助甲方用户更好地拥抱变化，更快速地适应云原生技术普及，做好内生敏捷安全”。

图2：DevSecOps敏捷安全工具金字塔

家阵时，落地实践悬镜敏捷安全解决方案嘅企业机构包括中国银联、中国银行、中国工商银行、中国平安、中信建投证券、中国石化、中国石油、中国电信研究院、中体彩、人民网、国家电网、北京大学、中兴通讯、中国工程物理研究院等行业头部客户。

据认识，喺本轮融资之后，悬镜安全将进一步深化同腾讯产业投资生态嘅战略协同，凭借下一代敏捷安全体系，喺公有云、私有云及产业侧整体敏捷安全解决方案上形成更深度整合，持续扩大在华北、华东、华南、华中、西南等地区嘅规模化产品服务交付能力，加速覆盖金融电商、能源电力、智能制造、电信运营商及互联网头部厂商等企业级安全市场。

投资人观点：

本轮领投方腾讯产业生态投资表示，喺安全左移、敏捷开发同信创嘅大背景下，国内DevSecOps迎嚟巨大增长空间。悬镜安全嘅产品已广泛服务于金融、能源电力、运营商同头部互联网厂商，产品同技术实力处于领先地位。腾讯将同悬镜安全进一步加深合作同战略协同，共同为行业构筑下一代敏捷安全体系。

上轮独家领投方红杉中国董事总经理翟佳表示：将安全嵌入 DevOps 流程形成 DevSecOps，符合家阵时嘅敏捷开发需求趋势，使得安全可以“左移”同“右移”。DevSecOps渗透至研发到运营成个软件生命周期，帮助企业在软件开发阶段就可以检测同修复漏洞，降低成本同风险，这是网络安全嘅新兴重要发展方向。喺呢一领域不断深耕嘅悬镜具有领先优势，构筑‌较深嘅行业壁垒，并且业务进展迅速，拓展‌多个行业嘅标杆客户，发展前景长期睇好。

————————

相关阅读
软件开发既要敏捷又要安全？嚟睇睇DevSecOps吧 ｜年度行业研究