权威认可

日前，由中国信息通信研究院主办的2024 XOps产业创新发展论坛在北京召开，大会以“研精极「智」，运筹千里”为主题，开展2024 XOps“领新”优秀案例征集活动，悬镜安全携手中国地震局第二监测中心，其DevSecOps敏捷安全治理实践从众多案例脱颖而出，成功获评“研运安全（DevSecOps）卓越保障案例”。

XOps“领新”优秀案例评选活动旨在通过总结和推广XOps产业发展的优秀成果，推动企业IT运营转型，促进XOps技术、产品及相关产业创新。本届评选活动覆盖XOps领域内的十余个细分方向，经过权威专家团评审及线上答辩，最终评选出拥有自主知识产权、技术水平领先、质量稳定可靠、具有较强研发运营效果与效率提升影响的优秀案例实践，其中研运安全（DevSecOps）方向仅有4个。

悬镜敏捷工具链创新助力

落实地震行业网络安全新形势新要求

近年来网络安全事件频发，中国地震局党组高度重视网络安全，强调要准确把握新形势新任务新要求，全面推进地震系统网络安全和信息化工作。中国地震局第二监测中心（以下简称“中心”）肩负着国家地震监测数据质量监控、地震灾害风险防治、防震减灾公共等服务的信息化支撑，承担地震预测预报预警技术软件中试平台建设运维、行业云平台建设运维、中心门户网站技术保障等重大任务。中心引入大数据、云计算等全新技术架构，应用升级迭代频率较高、开发模式复杂、覆盖范围广、时效性要求高，如何将安全无缝融入现有研发运营体系、保障敏感的地震数据资产和业务应用系统不受威胁成为中心亟需解决的痛点。

中心在结合人员管理体系、制度流程的基础上，引入悬镜敏捷安全工具链，包括源鉴SCA开源威胁管控平台、灵脉IAST灰盒安全测试平台、灵脉SAST白盒代码审计平台、云鲨RASP自适应云防御平台等，无缝集成现有研发运营平台，落实源码安全管控、开源风险治理、敏感数据防泄漏、运行时应用自防护等安全能力建设，有效构建覆盖软件应用服务全生命周期的研运安全一体化实践治理体系：

地震业务系统通常涉及国家机密、科研成果以及敏感公众信息，数据安全性和保密性关乎国家和社会的安全稳定。中心基于运行时插桩在业务应用内置敏感数据监测机制，明确各业务场景采集的敏感数据清单，并对敏感数据分类分级方式管理、追溯敏感信息从输入至输出的完整调用链路，从而防止敏感信息泄露或被恶意篡改，保障地震监测预警工作的正常进行。

中国地震局第二监测中心基于悬镜敏捷安全工具链的DevSecOps敏捷安全治理实践，充分贯彻落实了DevSecOps安全左移、敏捷右移理念，在软件应用服务开发源头便引入安全能力，并完整覆盖开发需求分析阶段、设计阶段、研发阶段、验证阶段、发布阶段、运营阶段的软件应用服务全生命周期，在实际项目中针对代码质量、系统漏洞数、漏洞修复率、漏洞修复时间等多个指标进行自动化风险治理，确保业务应用系统和敏感数据资产的“可视、可管、安全、可信”，在赋能数字应用原生安全的同时大幅降低安全成本，并在常态化安全运营、确保业务应用运行稳定的场景下，实现安全技术、安全策略覆盖关键基础设施和应用，构筑内生积极防御体系从而拦截日趋复杂的攻击入侵威胁，为行业树立了DevSecOps研运安全典范标杆。

截至目前，悬镜安全“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系已创新赋能于金融、车联网、能源、通信、政企、智能制造和泛互联网等数千家行业用户，全栈产品连续四年市场应用率第一。悬镜安全将持续聚焦DevSecOps数字供应链安全领域，敏捷迭代、实践创新，帮助用户构建安全、高效、智能的企业数字应用，守护中国数字供应链安全。