艾體寶案例丨全球身份安全巨頭如何防御 Log4J？

在開源軟件廣泛應用的背景下，軟件安全、漏洞管理和許可證合規(guī)成為技術企業(yè)關注的重中之重。Ping Identity，作為身份與訪問管理領域的領軍企業(yè)，通過引入 Mend SCA 平臺，實現(xiàn)了自動化安全流程的轉型，大幅提升了漏洞響應效率與合規(guī)水平。本文將解析其實踐經驗，為企業(yè)數字化安全轉型提供參考。

公司簡介：Ping Identity 是誰？

Ping Identity 是全球領先的身份與訪問管理（IAM）解決方案提供商，致力于幫助企業(yè)安全管理用戶身份、控制應用和資源的訪問權。作為行業(yè)先驅，Ping Identity 的客戶遍布全球，其產品廣泛應用于金融、醫(yī)療、政府等對安全要求極高的行業(yè)。

然而，作為一家技術驅動型企業(yè)，他們同樣面臨來自軟件供應鏈的安全挑戰(zhàn)，特別是在廣泛采用開源組件的背景下，如何實現(xiàn)自動化安全管理、降低法律風險并保障客戶數據的安全，成為企業(yè)可持續(xù)發(fā)展的關鍵。

挑戰(zhàn)：如何保障應用安全與合規(guī)？

Ping Identity 不僅要確保自有應用程序的安全性，更必須防范自身成為客戶供應鏈攻擊的潛在入口。同時，隨著開源組件的普及，許可證管理變得日益復雜，稍有疏忽就可能引發(fā)知識產權糾紛，影響企業(yè)品牌與投資者信任。

2014 年，Bruno Lavit 加入 Ping Identity 擔任軟件工程與發(fā)布經理。他回憶：“我們當時還在手動掃描漏洞、逐一審核開源許可證，既耗時又容易出錯?！币庾R到這一瓶頸后，Lavit 帶領團隊開始探索更高效的解決方案。

解決方案：Mend SCA 打造全自動安全流程

在評估了多個供應商后，Ping Identity 最終選定 Mend SCA 作為核心安全工具。Mend.io 提供完整的漏洞檢測、容器掃描和自動化許可證合規(guī)檢查，正好契合其云原生產品的需求。

Lavit 表示：“Mend SCA 是唯一能做到完全自動化的平臺。我們在 30 分鐘內就完成了第一個產品的掃描，真正做到了即裝即用，完全無縫接入我們現(xiàn)有開發(fā)流程。”

通過自動化識別漏洞并生成數據驅動的安全報告，Ping Identity 能夠快速響應潛在威脅，同時有效降低因許可證問題帶來的法律風險。

成果：零高危漏洞，交付更快更安全

Mend SCA 的引入極大提升了 Ping Identity 的安全管理能力。Lavit 強調：“自從我們使用 Mend.io 后，發(fā)布的產品中已經不再存在任何高危漏洞（高嚴重性 CVE）?！?/p>

特別是在應對 Log4J 等突發(fā)安全事件時，Mend 的分析與響應機制展現(xiàn)出極大價值?！耙坏┌l(fā)生安全事件，我們能夠第一時間判斷哪些版本受到影響，迅速采取應對措施，保障客戶安全?！?/p>

此外，自動化工作流程也顯著提升了團隊效率，使產品發(fā)布更加敏捷，安全與交付不再互相掣肘。

總結：Mend 助力安全轉型升級

Ping Identity 的實踐表明，借助 Mend SCA，企業(yè)可以在不干擾現(xiàn)有流程的前提下，實現(xiàn)安全自動化、開源合規(guī)及敏捷交付的有機統(tǒng)一。作為面向未來的軟件安全平臺，Mend 不僅提升了企業(yè)的安全韌性，也為 Ping Identity 在市場競爭中贏得了更多信任與優(yōu)勢。