喜报 | 悬镜安全中标国有政策性银行IAST交互式应用安全测试项目

中标喜报

近日，悬镜安全成功中标国有政策性银行“IAST交互式应用安全测试”项目，中标产品为灵脉IAST灰盒安全测试平台。

该用户是由国家出资设立、直属国务院领导、具有独立法人地位的国有政策性银行，在对外经贸发展和跨境投资、“一带一路”建设、国际产能和装备制造合作、实施“走出去”战略和开放型经济建设等方面发挥重要作用。截至2023年底，该用户在国内设有32家营业性分支机构和香港代表处，资产总额突破6万亿元，营业收入达到两百亿元。

金融数字化转型

应用安全成主战场

当前金融数字化转型持续深入推进，一方面，云环境、微服务、API、DevOps等新技术模式的大量应用，推动数字业务应用快速增长；另一方面，随着业务互联网化和金融科技发展，应用安全已成为攻防双方主战场，NIST数据显示，超过92%的黑客安全事故都发生在软件应用本身，应用安全漏洞的利用和防御成为主要焦点。

传统的漏洞检测主要包括SAST、DAST等漏洞扫描工具和安全专家人工渗透测试，安全专家成本高、水平参差不齐，漏扫工具则难以适应金融行业新技术架构和新业务环境，同时还存在高误报率、无法提供代码细节的局限性。

IAST（交互式应用程序安全测试，Interactive Application Security Testing）解决了复杂业务场景下的精准应用安全测试问题，相比于其他技术，具备显著优势：

1

IAST运行时插桩技术基于请求、代码、数据流、控制流综合分析判断漏洞，漏洞测试准确性高，误报率极低；

2

IAST可获取更多的应用程序信息，安全漏洞既可定位到代码行，还可以得到完整的请求和响应信息，完整的数据流和堆栈信息，便于定位、修复和验证安全漏洞；

3

IAST可以在完成应用程序功能测试的同时完成安全测试，不受软件复杂度的影响，适用于各种复杂度的软件产品。

因此，为进一步完善应用系统安全测试体系，强化应用系统安全检测能力，有效提升应用系统漏洞检测效率及准确率、降低漏洞修复成本及误报率，全面提升行内应用系统安全性、可靠性与稳定性，该用户决定引入IAST交互式应用安全测试平台。

守卫金融安全

灵脉IAST构筑自动化安全防线

灵脉IAST灰盒安全测试平台是全球首个代码疫苗内核驱动的新一代交互式应用安全测试平台，也是国内语言支持数量和测试覆盖场景类型数量均第一、具备探针技术领先和实践成熟度的IAST产品，率先具备API接口安全检测及敏感数据链路追踪能力，透明集成于现有IT流程，自动化完成业务代码上线前安全测试，重点覆盖90%以上中高危漏洞，防止应用带病上线，保障数字供应链开发环节的安全运行。

全面的应用漏洞检测

1

灵脉IAST独具六大检测模式，动态污点追踪模式（被动插桩）、交互式缺陷定位模式(主动插桩)、流量代理/VPN模式、主机流量嗅探和旁路流量镜像模式、Web日志分析模式，能够全面覆盖漏洞场景，多角度深入挖掘其他测试工具难以发现的安全缺陷及漏洞。

2

灵脉IAST不仅可以检测出传统OWASP TOP10中的主流Web应用漏洞，还能检测出一些和业务设计缺陷息息相关的业务逻辑漏洞，如水平越权、垂直越权、批量注册、验证码绕过及短信轰炸等。

3

除了全面的检测范围，灵脉IAST在检测时提供具体的定位信息，帮助开发人员迅速定位并修复问题，减少修复的时间和成本；同时可轻松集成到 CI/CD 流程中，并将漏洞结果同步至 Jira、禅道等缺陷跟踪平台，实现完善的漏洞全生命周期闭环跟踪管理。

深入的供应链风险治理

1

基于悬镜独有的代码疫苗专利技术，灵脉IAST可通过单探针精准检测应用实际运行过程中动态加载的第三方组件及依赖，识别引入的开源组件安全漏洞及开源许可证风险，并对漏洞的利用难度、许可证的兼容性给出可靠建议；

2

支持导入导出SBOM清单，快速建立供应链资产数据库；

3

全面接入XSBOM数字供应链安全情报，实现自动化获取情报-检测漏洞-验证漏洞-漏洞防护的过程。

兼具API安全和数据安全

1

传统基于流量、日志分析的API安全难以适用微服务、云原生等新型场景，灵脉IAST基于探针技术深入应用内部，可针对API风险进行代码级的分析。

2

灵脉IAST可检测敏感信息泄露威胁，如手机号、身份证、银行卡号等，追踪敏感数据在应用间产生-处理-流转-输出-存储-销毁的全生命周期，获取包含敏感信息接口的调用时间、调用来源、请求与响应等详细信息。

3

支持灵活定义敏感数据检测规则，并支持分类分级的数据安全治理，结合链路拓扑图，可视化展示敏感数据和漏洞风险的传递路径。

领先的强大性能与兼容性

1

基于悬镜百万级的插桩应用实践经验，灵脉IAST的探针CPU占用均值<5%、内存影响<5%、QPS影响率<5%，性能遥遥领先。

2

基于悬镜自研的XSensor主机级Agent安装助手，灵脉IAST可对普通进程、容器内进程批量安装、升级、卸载Agent，Java Agent还支持在不重启应用和容器的情况下安装或卸载 Agent，有效简化Agent插桩安装流程、提升管理效率。

3

此外，为应对应用系统自身配置较低或高并发的极端情况，灵脉IAST提供了探针自动恢复和熔断机制，包括CPU、内存、GC熔断和QPS高频限流熔断，用户可以结合自身业务情况自定义熔断阈值，确保业务优先；在低于熔断阈值并稳定保持一段时间后，探针会自动恢复正常运行。

作为悬镜第三代DevSecOps数字供应链安全管理体系中上线前测试环节的应用风险发现平台，灵脉IAST连续三年市场应用率第一，并在国内首批通过中国信通院开展的《交互式应用程序测试工具》评测和CWE兼容性认证。截至目前，灵脉IAST探针累计插桩应用达300万+，广泛实践于金融、泛互联网、政企、通信、能源等行业头部用户，帮助用户构建起安全、高效、智能的企业数字应用，夯实数字经济创新发展的技术底座，持续守护中国数字供应链安全。

＋

**推荐阅读
**

关于“悬镜安全”

悬镜安全，起源于北京大学网络安全技术研究团队”XMIRROR”，创始人子芽。作为数字供应链安全开拓者和DevSecOps敏捷安全领导者，始终专注于以“代码疫苗”技术为内核，凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系，创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，持续守护中国数字供应链安全。