应用安全中有两个假设：一是程序员每写一千行代码，就会出现一个逻辑性缺陷。每个逻辑性的缺陷，或者若干个逻辑性缺陷，最终导致一个漏洞；“缺陷是天生的，漏洞是必然的”。

二是近四分之一的数据泄露，是由于组织内部人员造成的，“违规”和“内鬼”等威胁成为数据泄露的主要原因之一，供应链、外包商、员工等随时都可能变成“内部威胁” 。

通常来说，政企应用的开发流程往往强调“业务先上线，安全问题后补救”，但是随着应用业务的不断增多，安全很容易出现资源不足和脱节的情况，无法有效覆盖核心业务，安全修复成本更是不断提升。

传统观点认为，安全会减慢业务发展，就像刹车会减缓汽车的速度一样。但创新的观点则认为，正是刹车赋予了司机勇气和信息，才能让他们跑得尽可能快，而不用担心停不下来。

基于DevSecOps模式的最佳实践IAST，悬镜安全推出了“悬镜IAST多核监测方案”，通过悬镜灵脉多核检测引擎，全面支持App与Web应用安全测试。

“悬镜IAST多核监测方案”可以对复杂业务模型、Web API、隐藏后台等无法被爬虫覆盖的业务进行检测，并且支持主动爬取和被动流量采集，实现零成本完成业务安全渗透测试。

而通过“灵脉AI-IAST渗透测试平台”，则还可以快速建立企业内部安全众测模式，在不增加测试工作量的基础上，零门槛透明完成项目安全测试。

除此以外，“悬镜IAST多核监测方案”还包括漏洞及项目管理平台，动态跟踪整个开发过程中的漏洞爆发及修复情况，智能分析各开发部门漏洞收敛进度；针对供应链威胁，提供审查引擎，主动分析上线部署环节的各类应用安装包，深度挖掘潜藏的各类第三方组件缺陷及后门威胁。

最后，关联资产发现平台，主动梳理企业海量应用资产，持续评估业务安全风险，防止跳板攻击。

专家观点

专家：这套系统可扩展主要是哪方面的支持？

子芽：分几个维度。第一个是检测能力，我们的产品分低中高版本，当检测能力并发能力不够的时候，通过扩容予以支持；第二个是我们开放了API接口，可以接入一些平台；第三个就是自定义规则，甲方往往希望建立符合他自己场景的安全能力，这样就可以在规则允许范围内做一些自定义的东西，让安全与业务的贴合越来越紧密。