悬镜安全创始人兼CEO 子芽
为何会选择DevSecOps?
众所周知,网络安全行业中的细分领域相当多,据不完全统计已经超过了150种,面对这样一个行业,为何偏偏就会选择DevSecOps作为自己的主方向呢?
面对这个问题,子芽给我们的答案是——持续探索。
悬镜安全的创始团队早期在实验室做研究的时候,主要的研究方向就是自动化漏洞挖掘和威胁模拟算法研究。“在这个过程中,我们发现一些有趣的问题,那就是在手工安全测试时永远会面临着人手不够及效率低下的情况。”子芽谈到,“如果我们能够通过算法的训练,把白帽子的安全能力固化到一个平台上,有着稳定的输出并得到一个相对高效的结果,将会很大程度上去缓解安全人才紧缺及安全测试效率低下的问题。就此,我们以自动化威胁模拟这样技术作为早期的研究点,并在不断探索的过程中,逐步形成了DevSecOps智适应威胁管理体系的技术沉淀。”
曾经,一个应用程序发布一次更新往往会相隔数周甚至数月之久,研发和运营相对独立,也有相对足够多的时间来做好安全测试以保证产品质量。
但是随着互联网云化的冲击,容器、微服务等模型兴起并普及,业务交付模式变了,整体式的应用程序开始分解为独立较小的部分,快速迭代,持续集成、交付、部署。在这样的场景下,DevOps 模式对业务需求的满足方面展现了其优势,但随之而来的则是安全性往往无法跟上代码的生产和发布的速度,如何切入安全能力并有效保障业务的安全成为难点。
“通过DevSecOps,可以把开发和运营两个团队在一定程度连接起来,并借助安全的柔和嵌入,可以解决很多云原生和敏捷开发场景下的痛点需求。因此,我们认为它(DevSecOps)是一个非常好的理论框架,并且去高度的推崇它。”谈到这里时,子芽也表示,悬镜安全也是在国内最早专注DevSecOps并大规模去推广它的厂商。
在理念落地方面,悬镜安全通过不断的探索和实践,沉淀出丰硕的成果——偏重于开发时安全层面的灵脉IAST(基于深度学习技术的交互式应用安全测试平台)以及偏重于运行时安全层面的灵脉PTE(AI智慧渗透测试平台)。
说到这里,在本次融资的信息披露中,关于融资的使用方向中有一点提及了“持续扩大在华北、华东、华南、华中、西南等地区的规模化产品服务交付能力。”这是否意味着当前悬镜安全的DevSecOps相关产品已经大面积的获得用户的肯定?针对这个问题,子芽给出了肯定的答案。“到了今年,DevSecOps的需求表现非常旺盛,而相应的市场也呈现出爆发式的增长,相信在未来一段时间,这种热潮仍将会得到持续,同时,还会有更多相关的新产品会陆续受到用户的认可,进而迸发出新的增长点。”
推出DevSecOps金字塔 为行业树立信心
在子芽看来,现在整个行业里面,特别是对甲方用户而言,安全左移已经不是一个新概念了,实际上早在很多年以前国内外对安全左移已经有了一些研究。时至今日,我们开始更多讨论DevSecOps中的另一个话题——安全右移,但实际上,无论是安全左移还是右移,或者说无所不移,其本质上都说明了一点,我们正在迎接和拥抱敏捷安全的时代,敏捷安全是伴随着云原生技术的发展而快速发展的,因此,敏捷安全的工作更多的是在适配云原生安全技术。
可是,子芽坦言:当前环境下,无论是媒体还是市场,对这方面的讨论以及接受程度都是有一定的滞后性。这种情况下,作为国内最早参与和教育市场的DevSecOps厂商,悬镜安全联合国内的第三方机构FREEBUF共同出品了《2020 DevSecOps行业洞察报告》,并在其中发布了其最新研究实践成果——DevSecOps敏捷安全工具金字塔。用子芽的话说,“我们其实是希望给这个行业树立信心。”
DevSecOps敏捷安全工具金字塔
在这里面,悬镜安全不仅分享了自己对整个DevSecOps行业的认知和理解,还对未来DevSecOps关键技术演进的路线做了前瞻性地预测,并为业内组织后续的体系化安全建设指明了方向。
子芽谈到,在DevSecOps敏捷安全工具金字塔中的最底层,是当前传统安全基础建设的现状,在它之上就是敏捷安全的工具层,包括OSS、SCA、IAST、EDR以及自动化渗透测试工具等,企业通过使用这些工具已经能够适配短期的敏捷开发环境下的安全建设能力,行业中已经有大量这样的产品和应用。对于悬镜,当前将会更多投身于对金字塔的第二层和第三层中关于Fuzz模糊测试技术和RASP技术层面的研究。
之所以有这样的决定,是因为在悬镜的团队看来,企业应该适应数字化时代下新的软件生命周期、软件架构、软件部署和云技术的技术变化与安全形势变化,推动安全建设从左移到右移。悬镜希望帮助行业持续的规划、评估和建设运行时安全体系,建设兼具业务透视和功能解耦场景下的出厂免疫能力,这将是悬镜未来重点投入做的事情。
在子芽看来,DevSecOps行业再向后发展,还会沉淀出像AST的自动化编排以及SaaS化按需交付类的产品,从技术上看,行业需要如白盒、灰盒和黑盒在不同阶段下的算法上的联动,来解决和覆盖企业常见的一些业务逻辑漏洞,或者是更复杂的业务漏洞检测的工作。同时,安全的能力应该是普惠的,通过SaaS的交付形式让更多的中小型用户也能匹配自身的安全建设需求。
在这个金字塔的顶层,是Gartner在早些年曾经提出来过一个叫做CARTA的风险与信任的动态平衡模型,这种模型认为安全是风险与信任的平衡,这也和悬镜一直在倡导的安全理念十分契合。子芽告诉我们,“敏捷安全未来的目标是做到软件的出厂免疫和内生安全,逐渐完善基于情境感知的这种动态的风险平衡,而这也是悬镜发布DevSecOps敏捷安全工具金字塔的初衷,希望能够对未来DevSecOps关键技术的演进做出自己的一些贡献。”
技术支撑产品能力 无惧海外同行竞争
在当前市场上,做DevSecOps的相关厂商并不算太少,所以悬镜安全不可避免地要面对一个问题——竞争。
在这个问题上,子芽表示:“充分的市场竞争无论是对这个行业的甲方安全体系建设还是安全厂商的技术创新都存在着明显的积极推动意义。悬镜一直欢迎更多的行业力量投入到DevSecOps建设中来,把盘子做大做精。 ”
此外,在某些行业或领域的一些大客户中,并不存在优先支持信创这一惯常做法,因此他们往往会优先考虑海外同行的产品,只有在需求仍无法满足的情况下,才会寻求国内厂商来解决。因此,对于国内厂商而言,必不可少的要面对更多的来自于海外同行的竞争,那么如何打破这种“海外厂商吃肉,国产厂商喝汤”的局面呢?我们想起一句话——玉瓷之石,金刚试之。
在业界同行的竞品中,子芽以IAST举例,将其分为三类:
1、以开源的主动交互式缺陷定位为主体技术的代表。
2、以纯被动的基于动态污点追踪的被动插桩的代表。
3、同时支持主动和被动,能够应对一些无法支持插桩的场景的纵深流量学习技术的代表。
在他看来,打铁还需自身硬,悬镜就是上述的第3种。这一种对于应用场景的支持复杂度要求较高,一方面需要在具备应用插桩的场景下,能够有比较高的检出率,帮助研发测试人员快速修复业务漏洞;另一方面,对一些复杂的小众语言场景,或者不具备插桩场景的,能够做到比较低的侵入性,同时还能够找出漏洞风险。
综合而言,悬镜安全的产品在应用场景支持的深度以及使用体验方面均占有一定的优势,再加上他们以及国内本土厂商所具备的共性优势——本地化服务支撑能力,令旗下的产品在同国际友商的市场竞争充满信心。
“其实在很多案例中,一些客户在认知上还存在一定的惯性思维,认为国外厂商的产品在能力上似乎天然就是高于国内厂商的,而我们对此并不在意,最好的方法就是在对比测试阶段通过实打实的PK来解决这个问题,事实上我们通过这样的方式赢得了不少客户。”子芽谈到。
实力源于付出,悬镜安全发展至今已有接近百余人的团队,其中技术和研发人员的占比高达90%以上,这种专注于技术及相关产品研发的投入,也必然会体现在产品能力上,更是他们可以不断为行业赋能、为客户创造价值的核心竞争力。
融资将利于进一步完善产品体系及覆盖更多应用场景
在融资的使用方面,子芽同我们描述了一些更具体的场景。
在产品方面,在保持原有步调的基础上,将会更偏重于悬镜RASP产品——云鲨RASP自适应威胁免疫平台的迭代和市场拓展。通过这一方向,结合悬镜安全此前的灵脉IAST灰盒安全测试平台、灵脉PTE智慧渗透测试平台以及源鉴OSS开源威胁管控平台,将会形成四款主力产品为主的一整套DevSecOps智适应威胁管理体系。
在市场层面,除了加速覆盖更多企业级安全市场之外,还会重点解决当前悬镜自身的一个痛点——规模化交付能力。子芽在这里补充到,“目前客户需求层面的增速较高,我们迫切需要在不同的分支机构快速的把规模化产品、服务交付能力大幅提高,以满足悬镜安全当前条件下的扩张速度。”
在场景覆盖能力上,悬镜将会推动自己的解决方案触及更多行业云平台,让悬镜的DevSecOps能力赋能到公有云、私有云等场景,通过云原生服务的方式提供给更多用户。
通过这次的对话可以看出,悬镜安全依靠在技术方面的长期沉淀能力,对DevSecOps理念的推崇,不断的深入实践,打磨出了一系列可以满足用户安全痛点需求且帮助客户创造价值的敏捷安全产品,更难能可贵之处还在于其产品、服务能够快速地得到用户与市场的肯定,这足以让他们在业内拥有足够的吸引力。近期间隔仅半年的两次融资,相信会成为悬镜安全在发展道路上的一次契机,借助这一力量,相信定能让子芽和他的团队在技术、产品能力以及市场拓展层面都取得更优秀的成绩。
按下加速键的悬镜安全,值得我们期待。
京公网安备 11010802033237号
