Xygeni：Adaion 最大限度降低风险优先级评估工作量，阻断零日恶意软件攻击

关于 Adaion

Adaion 是一家互操作性云平台，通过人工智能（AI）技术优化能源电网运营商的数据使用效率，助力分析与决策流程。该公司由数据科学与电力电网领域的专家于2021年创立，专注于打造智能可持续的电网解决方案。其团队由技术专家组成，运用前沿科技引导企业实现高效能源转型。

Adaion平台处理电网运营商的关键数据，网络安全对保护敏感信息、维护电网运行完整性及防范网络威胁至关重要。通过将AI应用于能源电网，Adaion最大化数据价值，助力电网运营商实现精准分析与科学决策。

挑战

Adaion在保障软件开发生命周期（SDLC）安全方面面临重大挑战，主要关切点包括：

·敏感数据潜在泄露风险

·开发流程中的整体安全漏洞

其产品采用Python编写，并使用Azure DevOps作为持续集成/持续交付平台。随着产品成熟，保障SDLC安全日益成为首要任务。Adaion亟需解决方案：检测开源依赖项中的恶意软件、确保源代码不泄露机密信息、并实现对CI/CD基础设施的可视化监控以识别并缓解潜在配置漏洞。

“我们需要确保团队和系统能高效处理所有安全问题，同时不影响日常运营效率。”

Óscar J. García Pérez

Adaion首席信息安全官

解决方案

经过多方案评估，Adaion最终选择Xygeni，因看重其全面的安全覆盖范围与无缝集成能力。Xygeni为软件开发生命周期提供了必要的可视化与管控能力，并完美融入Adaion的持续集成/持续交付（CI/CD）管道。此次集成实现了：

实时恶意软件检测：Xygeni在开源供应链依赖项中实现实时恶意软件检测，为防范零日恶意软件攻击提供强力防护。

持续基础设施评估：Xygeni持续评估CI/CD基础设施的配置漏洞，主动识别并缓解风险。

机密信息泄露防护：Xygeni确保源代码及其他文件中不存在机密信息泄露，保障敏感数据的保密性与完整性。

实施过程简洁高效且干扰最小。通过将Xygeni扫描器接入现有管道，Adaion得以逐步扩大分析的应用程序和代码库范围。这种基于容量与优先级的分阶段实施策略，确保了无缝过渡与即时效益，全程未中断工作流程。

Xygeni支持产品

尽管Adaion测试了全部Xygeni产品以扩大分析覆盖面和问题检测能力，但概念验证阶段的重点验证效益集中于以下产品：

ASPM

提供统一分析与优先级管理界面，确保修复工作最大化聚焦应用程序整体安全，同时避免增加安全团队工作量

开源安全

验证当前应用程序各部分均未泄露机密信息，并在提交至SCM前验证泄露控制措施

机密安全

验证当前应用程序各部分均未泄露机密信息，并在提交至SCM前验证泄露控制措施

实施成果

自采用Xygeni以来，Adaion的安全流程实现了显著提升。Xygeni的核心功能在此转型中发挥了关键作用：

"把优先级管理变得非常轻松。Xygeni优化了Adaion的安全态势。"

全面可视化与零日恶意软件防护

Xygeni助力Adaion实现安全流程的重大改进。其核心价值在于实现开源依赖项的全面可视化管理、漏洞精准识别以及对零日恶意软件攻击的防护。Xygeni能轻松追踪所有直接与间接依赖项，确保即时定位受漏洞及其他风险影响的组件。通过分析每个新发布版本，并在检测到可疑代码时向Adaion发出警报，该系统通过阻断自动CI/CD流程中的恶意代码使用，为安全防护增添了额外屏障。

高效优先级排序流程

基于可按业务流程与标准定义阶段的动态漏斗模型，优先级排序流程效率显著提升，节省数十小时人工操作。除自动计算每个漏洞的上下文信息外，Adaion还可添加自定义优先级标准。

持续评估与资产清点

Adaion现可直观灵活地访问自动持续更新的资产清单，涵盖所有开发交付流程资产。团队能一目了然地查看所有仓库、库文件、自动化工具及云资源及其关联关系。这种持续评估机制可即时识别高风险区域，为安全团队节省大量发现与分析时间，使其能直接聚焦优先级排序与修复策略。

机密保护带来安心保障

Adaion 更因基础设施机密获得完美保护而倍感安心，一旦发生泄露事件，他们花在失效处理和重新巩固安全性方面的时间也将大大缩短。

"部署 Xygeni 彻底改变了我们的安全策略。开源供应链依赖关系的可视化与漏洞实时检测功能价值非凡。其便捷的集成能力与高效的优先级处理流程为我们节省了大量时间。Xygeni对可疑代码的主动分析与预警机制让我们高枕无忧，确保持续集成/持续交付流程的安全性。我强烈推荐Xygeni给所有希望强化软件开发生命周期安全性的组织。"

Óscar J. García Pérez

Adaion首席信息安全官