渗透测试:所有发现已解决
我们很高兴地宣布,JieGou 的 SOC 2 渗透测试已完成,测试期间发现的所有 10 项问题现已全部解决。这是我们迈向 SOC 2 Type I 认证的重要里程碑。
渗透测试是由独立安全专业人员执行的授权模拟网络攻击。它探测平台中自动扫描工具可能遗漏的漏洞,测试身份验证机制、API 安全性、基础设施强化和应用层防御。
测试范围
渗透测试涵盖了 JieGou 的完整攻击面:
- 基础设施安全 — VPC 配置、网络隔离、TLS 强制执行和云资源访问控制
- 应用程序安全 — API 端点授权、输入验证、会话管理和跨站脚本防护
- 身份验证与访问控制 — Firebase Auth 集成、RBAC 强制执行、会话 Cookie 处理和权限提升测试
- 数据保护 — BYOK 加密实现、API 密钥存储、PII 处理和数据驻留控制
- 依赖项安全 — 第三方库漏洞、供应链完整性和容器镜像扫描
对企业客户的意义
已完成的渗透测试提供了独立验证,证明 JieGou 的安全控制能承受真实世界的攻击场景。结合我们现有的安全基础设施,企业客户可以对以下方面充满信心:
- 每晚执行 24,000+ 项自动化测试,覆盖率达 99.18%
- 10 层治理框架,包含 RBAC、审计日志和审批门控
- 所有 LLM API 密钥的 BYOK 加密(AES-256-GCM)
- 通过 Vanta 进行持续监控,涵盖 412 项策略和 17 个合规领域
- 适用于数据敏感工作负载的 VPC 部署选项
前进之路
随着渗透测试的完成,我们的 SOC 2 时间线如下:
| 里程碑 | 状态 |
|---|---|
| Vanta 持续监控 | 进行中 |
| 渗透测试 | 完成 — 所有发现已解决 |
| SOC 2 Type I 报告 | 进行中 |
| SOC 2 Type II 观察 | Type I 之后(6-12 个月) |
SOC 2 Type I 验证我们的安全控制设计是否正确。Type II 在 6-12 个月的观察期后,验证这些控制是否长期有效运作。
从第一天起就具备企业级安全性
安全性不是我们事后追加的功能,而是从第一天起就是 JieGou 架构的基础。从加密密钥存储、部门范围访问控制到不可篡改的审计轨迹和合规框架预设(HIPAA、SOX、GDPR、PCI-DSS、FedRAMP),每一层都旨在满足受监管行业的要求。
如果您正在为组织评估 AI 代理平台,我们欢迎有机会详细讨论我们的安全架构。联系我们 安排安全审查。