近日，中信建投证券股份有限公司（以下简称“中信建投”）成功签约悬镜安全，通过悬镜灵脉IAST灰盒安全测试平台（以下简称“灵脉IAST”），对上线前的目标系统进行安全检测，帮助开发和测试部门在项目早期检测和修复漏洞，实现对应用风险的有效管控。

中信建投证券注册资本76.46亿元，在全国30个省、市、自治区设有327家营业网点，自2010年起连续十年被中国证监会评为目前行业最高级别的A类AA级证券公司。2016年中信建投证券在香港联交所上市，股票代码6066.HK。并于2018年在上交所A股主板上市，股票代码601066.SH。

金融行业应用面临的风险

l  攻击技术越发先进智能，攻击手段在潜伏性、隐蔽性、定向性、自主性、融合性等方面能力日益增强，智能分析使得快速绕过多重防御手段成为可能。

l  网络武器研发和利用提速，基于已知和未知漏洞的自动化攻击利用不断涌现，攻击门槛大幅度降低，敏感数据泄露等安全事件频频发生。

l  软件开源大行其道，基于信任的软件供应链攻击（Software Supply Chain Attack）事件频发，攻击对象范围广、攻击方式隐蔽，给金融用户业务安全防御带来了极大的挑战。

客户需求

客户希望通过引入灰盒应用安全测试平台，在业务系统的开发和测试阶段及时发现安全漏洞并修复，使得安全能力在整个业务生命周期中左置前移。测试平台要能够支持数十个并发任务同时测试，实施中要和中信建投相关系统进行对接，以便各开发人员查看相关的漏洞信息。

客户选择

应用安全测试领域高手林立，尤其在金融行业更是不缺竞擂者。灵脉IAST之所以能从中脱颖而出，凭借的是领先的技术能力及场景落地化的产品形态。中信建投结合自身需求，从系统架构、流量采集模式、检测能力、漏洞管理、系统管理等多个维度进行综合性评价，最终选择了灵脉IAST作为开发阶段的应用安全测试解决方案。

灵脉IAST全场景流量采集技术

悬镜IAST--灰盒安全测试最佳实践

灵脉IAST作为悬镜DevSecOps智适应威胁管理体系中CI/CD管道中的威胁发现平台，通过全场景流量分析技术，如运行时应用插桩（含主动及被动）、启发式爬虫、代理/VPN及流量管家等和原创AI渗透启发技术赋能传统IT从业人员，在政企用户的组织内部快速建立安全众测模式，使传统安全小白（研发、测试、QA等）完成应用功能测试的同时即可透明实现深度业务安全测试，有效覆盖90%以上中高危漏洞，防止应用带病上线。

灵脉IAST运行时应用缺陷检测技术

通过主动IAST插桩算法，灵脉IAST不仅解决了传统DAST无法精确定位漏洞位置的问题，还有着比传统SAST技术低得多的误报率。此外，在脏数据处理上也有着优秀的表现，并且可以针对应用测试结果进行全方位复现和验证测试。在非复杂数据包加密、内部测试流量管控等特殊场景下，它更加符合敏捷开发和DevOps模式下软件产品快速迭代、快速交付的要求。

关于悬镜

产品

悬镜灵脉IAST灰盒安全测试平台

灵脉PTE AI智慧渗透测试平台

悬镜夫子安全开发赋能平台

悬镜云卫士

典型客户

中国银行丨中信建投丨国家电网丨中国石化

 国家信息中心丨中央人民广播电台丨阿里云

北京大学丨中体彩科技丨人民网丨中邮证券

阿里云丨紫光云丨卫士通丨乐有家丨中国普天