引言

随着云原生技术的迅猛发展、应用开源的快速普及和DevSecOps实践的规模化落地，网络安全正在经历从边界安全到端点安全、再到应用安全的发展演进。AI原生安全治理已成为下一代应用安全的核心方向，其技术重心聚焦于运行时情境感知与主动免疫，打破传统安全防护的被动局限。

本文从技术实践与产业落地视角，分享DevSecOps敏捷安全体系的构建思路，以及AI原生安全治理理念在软件供应链安全中的具体实践。

本轮跟投方GGV纪源资本管理合伙人李宏玮表示：“随着数字化和智能化的深入，软件迭代周期加快，敏捷开发和开源应用日益广泛。在软件的生命周期中，修复漏洞的成本随着发现阶段的进程呈几何级增长，目前行业内亟需能在代码开发阶段和上线前实现高效检测的解决方案。悬镜安全的相关产品针对性解决这一痛点，且已在头部客户场景中积累了实践经验，我们将长期关注并支持其发展。”

PreA轮独家领投方红杉中国董事总经理翟佳认为：“将安全嵌入DevOps流程形成DevSecOps，符合当前的敏捷开发需求趋势，使得安全可以‘左移’和‘右移’。DevSecOps渗透至研发到运营整个软件生命周期，与软件供应链安全息息相关，可帮助企业在软件开发阶段实现数字化应用漏洞的自动化检测与修复，进而大幅降低业务安全成本和风险，这是网络安全的新兴重要发展方向。悬镜安全在该领域持续深耕，形成了完善的技术体系，业务进展稳步推进，积累了多个行业标杆应用案例。”

悬镜安全聚焦DevSecOps软件供应链持续威胁一体化检测防御，深度融合AI原生安全治理理念，其自研的DevSecOps智适应威胁管理体系，覆盖威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节，提供开发运营一体化敏捷安全产品及软件供应链安全服务，助力企业构筑适配自身业务发展、面向敏捷交付的内生积极防御体系。目前，该体系已在多行业落地应用，涉及金融、能源、制造、电信、互联网等领域，应用机构包括中国人民银行、中国银联、中国银行、中国工商银行、浦发银行、重庆银行、广州农商银行、苏州农商银行、浙商银行、SHEIN、中国平安、中信建投证券、上海证券交易所、中国石化、中国石油、中国电信研究院、中国移动研究院、中国联通研究院、中体彩、人民网、国家电网、北京大学、中兴通讯、中国工程物理研究院、小鹏汽车、东风日产、长安汽车、中国汽车研究院、南方航空等。

一、开发源头的敏捷安全治理：漏洞修复成本差数百倍

根据第三方权威调查数据，接近92%的已知安全漏洞发生在软件应用程序中，且应用中每1000行代码至少出现一个业务逻辑缺陷。此外，78%-90%的现代应用融入了开源组件，平均每个应用包含147个开源组件，且67%的应用采用了带有已知漏洞的开源组件。

当前，企业应用漏洞的发现多依赖内部自测、外部第三方安全研究人员或安全厂商。而软件开发生命周期中，研发测试阶段与线上运营阶段的漏洞修复成本差距可达数百倍。因此，前置安全防护、消除漏洞风险及开源威胁、防止应用带病上线，成为保障软件供应链安全的关键。

实践方案：灰盒安全测试平台

在DevSecOps体系中，上线前测试环节的应用风险发现是关键节点。依托全场景实时数据流情景分析技术（含运行时应用插桩、动态污点追踪、交互式缺陷定位、终端流量代理、旁路流量镜像、主机流量嗅探、启发式爬虫、Web日志实时分析等）及AI启发渗透测试技术，可在研发、测试、QA等人员完成应用功能测试的同时，透明实现深度业务安全测试，运行时动态监测开源风险，精准覆盖95%以上中高危漏洞。

二、智能攻防视角下的安全有效性度量

攻防对抗是网络安全建设的核心主题，也是检验安全防御能力的直接方式。持续安全众测、不定期攻防演练及配套检测响应手段，是提升安全防护水平的关键。

《孙子兵法》中“用兵之法，无恃其不来，恃吾有以待也；无恃其不攻，恃吾有所不可攻也”的理念，同样适用于网络安全防御建设。

实践方案：自动化威胁模拟平台

在DevSecOps体系的运营环节，自动化威胁模拟与安全验证工具实现了“AI+威胁模拟”的智能攻防演练模式。其核心思路是将安全专家渗透测试实战经验转化为机器可处理的结构化经验，借助人工智能算法实现逻辑推理与自我优化，以贴近专家渗透测试的流程，完成信息收集、扫描探测、漏洞发现、漏洞利用、后渗透到持续验证的全流程入侵模拟，从实战视角动态评估安全态势。

三、AI智能代码疫苗：业务安全免疫的核心理念

悬镜安全创始人兼CEO子芽在接受采访时表示：

“安全的本质是风险和信任的动态平衡。相比过往传统的原生软件应用，未来绝大多数被发布出来的数字化应用将是安全可信的，它可以借助代码疫苗技术的赋能，实现应用自身缺陷和风险的自发现和外部未知威胁的出厂免疫。”

代码疫苗技术的核心设计思路包含两个方向：

• 安全左移：在开发源头降低中高危风险

• 敏捷右移：结合云原生与业务演进趋势，构建内生积极防御体系

该技术通过在应用服务内部实现流量解析与业务上下文感知，可同时完成内部漏洞诊断与外部威胁防御，实现自主检测与响应。其包含的单探针插桩IAST与RASP技术，多年来持续被Gartner列入重点安全技术方向。

基于该技术体系，相关安全平台采用“单探针”架构，一次部署即可同时具备IAST与RASP双重能力，在开发部署阶段实现对Log4j2.x等重大漏洞与未知威胁的前置免疫。

悬镜第三代DevSecOps智适应威胁管理体系

它作为DevSecOps全流程敏捷安全赋能平台，从构筑之初就注重技术落地的柔和低侵入性，从驱动DevSecOps CI/CD管道持续运转的几大关键实践点入手，通过对威胁建模、开源治理、风险发现、威胁模拟及检测响应等关键技术创新赋能企业组织现有人员，帮助用户逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。

悬镜安全创始人兼CEO子芽在接受采访时表示：“安全的本质是风险和信任的动态平衡，悬镜这些年一直在做的一件事就是如何帮助甲方用户更好地拥抱变化，更快速地适应云原生技术普及，做好内生敏捷安全。相比过往传统的原生软件应用，我们可以看到一个很明显的技术趋势，未来绝大多数被发布出来的数字化应用将是安全可信的，它可以借助代码疫苗技术的赋能，实现应用自身缺陷和风险的自发现和外部未知威胁的出厂免疫。”DevSecOps敏捷安全工具金字塔v３.0

四、第三代DevSecOps智适应威胁管理体系

结合多年的敏捷安全落地实践经验和软件供应链安全研究成果，行业内逐步形成了一套基于 “敏捷流程平台 + 关键技术工具链 + 组件化软件供应链安全服务” 的第三代DevSecOps智适应威胁管理体系。

该体系作为DevSecOps全流程敏捷安全赋能平台，从构筑之初就注重技术落地的低侵入性，从驱动DevSecOps CI/CD管道持续运转的关键实践点入手，通过对威胁建模、开源治理、风险发现、威胁模拟及检测响应等关键技术创新赋能企业现有人员，帮助用户构筑一套适应自身业务弹性发展、面向敏捷业务交付的内生积极防御体系。

体系核心构成

能力域	定位	核心技术方向
灰盒安全测试	上线前测试环节	代码核酸检测技术
自适应威胁免疫	运营环节检测响应	代码疫苗技术
开源威胁管控	开源治理环节	多模态软件成分分析
自动化威胁模拟	威胁模拟与验证	AI+威胁模拟
全开发赋能平台	全流程开发赋能	流程编排与自动化
软件供应链安全服务	服务化交付	组件化安全能力

---

五、多模态SCA：开源供应链风险审查能力演进

在开源治理环节，SCA（软件成分分析）作为基础技术手段，在国产化替代、关基保护、合规审计等场景中广泛应用。随着AI开发、鸿蒙生态、嵌入式设备与云原生架构的普及，传统SCA面临新挑战，多模态SCA技术持续迭代。

近期技术进展

1. 二进制分析能力扩展

• 支持鸿蒙移动应用（.hap）二进制成分识别，支撑鸿蒙生态SBOM管理与合规审计

• 新增OpenWrt、UF2、FIT Images等固件格式支持，适用于路由器、医疗设备、工业控制器等场景

• 恶意文件与编译选项检测，可在CI/CD流程中发现潜在供应链攻击行为

2. 源码分析能力增强

• 扩展D、Fortran、Julia、Elm、Haxe等语言覆盖，减少风险遗漏

• 加密算法与敏感函数检测，助力《密码法》《数据出境安全评估办法》合规

• 私有仓库增量检测，提升DevSecOps自动化管控效率

3. 同源分析统一溯源

• 支持84种开发语言（C、C++、Java、Go、Python、Rust、Julia等）

• 新增Apache、OpenHarmony、Gitee、GitHub等30余种数据源

4. 风险治理优化

• 许可证深度扫描与代码溯源

• 漏洞情报新增CVSS4.x、EPSS、CPE等信息

• 国产组件识别与国产化率统计

• 漏洞可达性分析：区分“外部可达”与“可达”漏洞，优先处置高危风险

---

六、产业落地与行业实践

上述技术体系已在多个行业真实环境中落地验证，覆盖金融、能源、制造、电信、互联网等领域。典型应用机构包括：

• 金融：中国人民银行、中国银联、中国银行、中国工商银行、浦发银行、重庆银行、广州农商银行、苏州农商银行、浙商银行、中国平安、中信建投证券、上海证券交易所

• 能源与制造：中国石化、中国石油、国家电网、小鹏汽车、东风日产、长安汽车、中国汽车研究院

• 通信与互联网：中国电信研究院、中国移动研究院、中国联通研究院、人民网、SHEIN

• 科研与政企：北京大学、中兴通讯、中国工程物理研究院、中体彩、南方航空

据中国信息通信研究院相关报告显示，相关IAST技术在行业内具备较高的应用普及率。

---

七、DevSecOps敏捷安全工具金字塔

作为持续更新的深度研究实践成果，DevSecOps敏捷安全工具金字塔前瞻性地预测了未来DevSecOps关键技术演进的路线，为业内组织后续的体系化安全建设提供了参考方向。

该金字塔涵盖从需求设计、开发构建、测试验证、发布部署到运营监控的全流程安全能力，强调在不同阶段引入适配的安全工具与自动化检测手段，实现安全与敏捷开发的深度融合。

---

八、行业认可与持续投入

在第三方机构发布的《2021年度中国数字安全能力图谱》中，相关技术方案入选DevSecOps领域代表厂商，同时在软件成分分析、代码检测与审计、安全开发生命周期、云原生安全等方向获得行业收录。

2022年3月，相关团队完成B轮融资，由源码资本领投，GGV纪源资本跟投，红杉中国继续加持。本轮融资主要用于软件供应链安全技术创新研发、上下游产业生态布局及多区域产品服务交付能力升级。

源码资本合伙人黄云刚表示：“DevSecOps是云原生大背景下安全敏捷化的必然趋势，必将成为企业数字基础设施的重要组成部分。”

GGV纪源资本管理合伙人李宏玮指出：“目前行业内亟需能在代码开发阶段和上线前实现高效检测的解决方案。”

红杉中国董事总经理翟佳认为：“将安全嵌入DevOps流程形成DevSecOps，符合当前的敏捷开发需求趋势，使得安全可以‘左移’和‘右移’。”

---

九、结语：迈向AI原生安全治理

从DevSecOps到AI原生安全治理，软件供应链安全技术正经历从被动防护到主动免疫的演进。通过融合源码、二进制、镜像、运行时与情报能力的多模态SCA，结合代码疫苗与代码核酸检测技术，构建面向AI原生时代的一体化安全审查体系，是应对日益复杂的开源风险与合规挑战的有效路径。

未来，随着AI开发范式的深入落地，供应链安全治理将更加强调自动化、上下文感知与风险优先级判定——这正是AI原生安全治理的核心方向。