最近火爆的“元宇宙”概念,向人們勾勒了數(shù)字世界的未來發(fā)展形態(tài),。如果說物理世界是由物體及背后的分子,、原子等組成,那么組成數(shù)字世界的基礎(chǔ)就是成千上萬的軟件,,以及背后由研發(fā)人員精心設(shè)計和編寫的一行行代碼,。而數(shù)字世界的安全風(fēng)險,就隱藏在這些代碼中,。
如今,,隨著軟件產(chǎn)業(yè)的快速發(fā)展,軟件供應(yīng)鏈也越發(fā)復(fù)雜多元,,復(fù)雜的軟件供應(yīng)鏈會引入一系列的安全問題,,導(dǎo)致信息系統(tǒng)的整體安全防護難度越來越大。從2020年12月SolarWinds遭遇國家級APT團伙供應(yīng)鏈攻擊,,到今年2月,,微軟、蘋果,、PayPal,、特斯拉、優(yōu)步等35家國際大型科技公司內(nèi)網(wǎng)被軟件供應(yīng)鏈攻擊成功入侵,,針對軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長態(tài)勢,,造成的危害也越來越嚴重。作為保障軟件供應(yīng)鏈安全的重要手段,,軟件開發(fā)安全相關(guān)技術(shù)和產(chǎn)品受到越來越多的關(guān)注,。
為了幫助企業(yè)在源頭解決軟件開發(fā)安全問題,當(dāng)前開發(fā)安全廠商的主流做法是,,向企業(yè)用戶提供包括SAST靜態(tài)應(yīng)用程序安全測試,、DAST動態(tài)應(yīng)用程序安全測試、IAST交互式應(yīng)用程序安全測試,、SCA軟件成分分析以及Fuzzing模糊測試等不同安全工具,,在軟件開發(fā)流程中的不同階段介入安全手段,,以幫助企業(yè)降低軟件可能存在的安全風(fēng)險。
在此前對多家開發(fā)安全領(lǐng)域廠商的拜訪中,,許多行業(yè)資深人士談到,,奇安信「代碼安全實驗室」在SAST和SCA兩大工具方面建樹頗高。于是,,帶著一探究竟的想法,,安全419來到奇安信,并有幸拜訪了代碼安全事業(yè)部總經(jīng)理,、代碼安全實驗室主任黃永剛,,邀請他為我們分享了自身對開發(fā)安全領(lǐng)域的認知和洞察。
黃永剛向我們介紹,,奇安信代碼安全實驗室成立于2011年,,在彼時那個大環(huán)境下,國內(nèi)主流的安全廠商基本都在做運行防護類的安全產(chǎn)品,,比如防火墻,、IDS/IPS等等,。在黃永剛看來,,防護設(shè)備都是在軟件部署運行之后發(fā)生作用的,去做漏洞掃描,、補丁修復(fù)以及防止外部攻擊等行為,,但安全事件很多都是因為軟件漏洞引起的,因此解決軟件自身的安全問題才是根本之道,。因此,,團隊選擇了軟件開發(fā)安全的技術(shù)方向,從軟件漏洞研究開始著手,,試圖回歸安全的本質(zhì),,從源頭尋找一條更有效的安全解決方案。
黃永剛表示,,軟件開發(fā)安全產(chǎn)品的技術(shù)門檻很高,,當(dāng)時從事相關(guān)研究的人也很少,而自己和團隊已經(jīng)在這個領(lǐng)域里探索了超過十年,,看著軟件開發(fā)安全從一個技術(shù)大冷門走向熱門風(fēng)口,,相關(guān)領(lǐng)域的廠商也大量涌入,才感覺大家的堅守得到了回報,,“畢竟一路走來也很寂寞,,中間也曾經(jīng)動搖過,但幸好一直堅持了下來,?!彼χf道,。
之所以代碼安全實驗室能始終堅持這條研究路線,也是建立在一個基礎(chǔ)的認知和根本的思考之上:軟件是構(gòu)建數(shù)字世界的“虛擬人”,,各種軟件在數(shù)字世界里各司其職,,就如同人在物理世界中從事不同的工作一樣。隨著數(shù)字時代的到來,,軟件已經(jīng)成為支撐社會正常運轉(zhuǎn)的最基本元素之一,,地位越來越重要,在很多領(lǐng)域軟件已經(jīng)代替了人,,軟件自身的安全性問題正在成為社會的根本性,、基礎(chǔ)性問題。
黃永剛舉了一個形象的例子:我們可以想象一下,,假使一個人即將進入一個重要單位工作,,那么他通常會面臨嚴格的背景調(diào)查,對其個人的思想品德,、作風(fēng)紀(jì)律,、家庭背景、犯罪記錄等等進行調(diào)查訪問,,通過了背景調(diào)查,,他才能被錄用。
在他看來,,與人相比,,軟件在進入重要單位時,獲得的權(quán)限比員工甚至更高,,一些核心的業(yè)務(wù)系統(tǒng)會存儲和處理這個單位最敏感的核心數(shù)據(jù),,但卻很少有人關(guān)注到軟件的“背景調(diào)查”工作。企業(yè)采購了一個軟件后,,或許會知道它是哪家廠商提供的,,但它是誰開發(fā)的?開發(fā)時是否使用了開源組件,?是否使用了第三方組件,?是否由外包團隊開發(fā)?軟件是否存在安全漏洞,?是否存在未聲明的維護后門,?這一切都是被忽視的隱秘角落,存在著巨大的安全隱患,。
黃永剛表示,,原來大家所談的軟件安全,更多是軟件本身的安全,、代碼的安全,。但現(xiàn)在軟件安全的內(nèi)涵已經(jīng)將軟件供應(yīng)鏈囊括在內(nèi),,“如果此前定義軟件的實體是一個圈,那么現(xiàn)在在這個圈的周圍,,還散布著由軟件供應(yīng)鏈組成的與之相連接的許多個圈,。我們現(xiàn)在談軟件安全,應(yīng)該是指軟件及其供應(yīng)鏈安全,,其內(nèi)涵已經(jīng)發(fā)生了變化,。”
國內(nèi)SAST主流市場被外企占據(jù)背景下
代碼衛(wèi)士產(chǎn)品應(yīng)運而生
據(jù)安全419此前了解,,奇安信代碼安全實驗室目前只推出了代碼衛(wèi)士(SAST)和開源衛(wèi)士(SCA)兩大產(chǎn)品,,為何是這兩個工具?而非IAST等其他方向,?這背后是否有著怎樣的技術(shù)思考,?
針對這一疑問,黃永剛告訴我們,,一方面SAST產(chǎn)品先天有著技術(shù)方面的優(yōu)勢,,它適用性強,只要是編程語言方面能夠支持,,無論是什么形態(tài)的軟件都能夠適用,,可以較好的滿足企業(yè)的安全需求;另一方面,,在代碼安全實驗室成立之時,,國內(nèi)的SAST產(chǎn)品市場基本上被國外安全廠商所把控,金融,、能源等重要的關(guān)鍵信息基礎(chǔ)設(shè)施單位也不例外。因此,,代碼安全實驗室當(dāng)時的理想和主要攻關(guān)任務(wù)就是研發(fā)出一款中國安全企業(yè)自研的SAST產(chǎn)品,,以替代國外廠商,這也是代碼衛(wèi)士產(chǎn)品的由來,。據(jù)他介紹,,代碼衛(wèi)士是軟件開發(fā)安全領(lǐng)域第一款由國內(nèi)團隊完全自主研發(fā)的商用產(chǎn)品,也是這個領(lǐng)域第一個獲得公安部頒發(fā)的銷售許可證的產(chǎn)品,。
開源衛(wèi)士這款產(chǎn)品則是隨著軟件開發(fā)模式的發(fā)展變化和安全攻防形勢的演進,,由客戶痛點催生而來。根據(jù)代碼安全實驗室6月份發(fā)布的《2021年中國軟件供應(yīng)鏈安全分析報告》顯示,,國內(nèi)企業(yè)軟件項目100%使用開源軟件,,超8成軟件項目存在已知高危開源軟件漏洞。為了應(yīng)對迅速增長的開源軟件安全風(fēng)險,,代碼安全實驗室打造了開源衛(wèi)士產(chǎn)品,。它是一套集開源軟件識別與安全管控于一體的軟件成分風(fēng)險分析系統(tǒng),,通過智能化數(shù)據(jù)收集引擎在全球范圍內(nèi)廣泛獲取開源軟件信息和安全風(fēng)險信息,幫助客戶掌握開源軟件資產(chǎn)狀況,, 及時獲取開源軟件威脅情報,,消減由于使用開源軟件帶來的安全風(fēng)險。
黃永剛回憶道,,2015年時,,代碼安全實驗室團隊曾經(jīng)畫過一張藍圖,將實驗室要做的開發(fā)安全產(chǎn)品的類別,、支持的平臺,、支持的軟件形態(tài)、主持的編程語言,、技術(shù)實現(xiàn)路線,、要實現(xiàn)的業(yè)務(wù)功能,以及產(chǎn)品對標(biāo)的對象等清晰的繪制出來,,“如今再回頭去看這張藍圖,,我們依然在圍繞著此前繪制的方向穩(wěn)步發(fā)展,未來我們會擴展更多的產(chǎn)品品類,,為用戶打造更完整的,,面向軟件供應(yīng)鏈全鏈條的安全解決方案?!?/p>
他同時表示,,代碼安全實驗室強調(diào)的第一原則是在一個技術(shù)方向、一個產(chǎn)品上首先要做深做精,,在客戶的應(yīng)用場景上要能實現(xiàn)價值閉環(huán),,要能幫助客戶真正解決實際的問題,然后在此基礎(chǔ)之上再不斷的擴展,。
“攻擊左移”帶來了安全左移
開發(fā)安全領(lǐng)域已經(jīng)開始直面攻防一線
“在開發(fā)安全領(lǐng)域,,大家會經(jīng)常提到的一個詞是‘安全左移’,那么為什么安全會左移,?其實回答這個問題不難,,因為攻擊正在左移?!?/p>
他談到,,此前開發(fā)安全領(lǐng)域里的產(chǎn)品廠商,通常不需要直面黑客攻擊的壓力,,安全事件發(fā)生時,,往往是傳統(tǒng)安全產(chǎn)品廠商第一時間站出來做應(yīng)急響應(yīng)。但隨著攻擊不斷的左移到軟件開發(fā)環(huán)節(jié),,這一情況正在迅速的發(fā)生變化,。
軟件供應(yīng)鏈可以大致分為開發(fā),、交付、運行三個環(huán)節(jié),,每個環(huán)節(jié)都可能會引入軟件供應(yīng)鏈安全風(fēng)險從而遭受攻擊,。軟件開發(fā)環(huán)節(jié)的安全防護相對來說比較薄弱,而且作為軟件供應(yīng)鏈的上游環(huán)節(jié),,軟件開發(fā)環(huán)節(jié)的安全問題會傳導(dǎo)到下游環(huán)節(jié)并被放大,。而攻擊者歷來追逐性價比最高的攻擊方式,所以攻擊左移是攻擊者的自然選擇,。攻擊左移對開發(fā)安全領(lǐng)域的公司和產(chǎn)品提出了更高的要求,,攻擊就發(fā)生在眼前,開發(fā)安全類產(chǎn)品需要針對攻防動態(tài)的變化不斷的更新能力,,更新知識庫,,與時間賽跑,與黑客賽跑,,并要做到持續(xù)運營,。
“開發(fā)安全已經(jīng)身處攻防場景之中了,比如在某一開源組件爆發(fā)安全漏洞后,,廠商是否能第一時間獲取漏洞情報,,安全產(chǎn)品是否能快速形成檢測能力并交付到客戶手中,這是非常關(guān)鍵的,,這需要非常強的產(chǎn)品安全運營能力,,這對于傳統(tǒng)做開發(fā)安全的公司挑戰(zhàn)是很大的,而奇安信的漏洞研究能力,、威脅情報能力,、安全運營體系的優(yōu)勢就凸顯出來?!?/p>
強大漏洞研究能力+豐富的應(yīng)用場景打磨
構(gòu)成奇安信代碼安全產(chǎn)品的先天優(yōu)勢
黃永剛談到,,打造一款好的開發(fā)安全產(chǎn)品需要兩大因素。
其一是需要強大的漏洞研究能力,,軟件開發(fā)安全領(lǐng)域最終要為客戶解決軟件的安全問題,而想要發(fā)現(xiàn)軟件自身的安全缺陷,、發(fā)現(xiàn)漏洞,,就意味著必須擁有核心的漏洞研究能力??蛻粼谶x擇開發(fā)安全類產(chǎn)品時,,廠商的漏洞研究能力常常會被忽視,但事實上,,不懂漏洞和攻防,,就很難有足夠的技術(shù)積淀和經(jīng)驗積累,,這樣做出的安全產(chǎn)品自然也很難在漏洞檢測時發(fā)揮出應(yīng)有的作用。
他告訴我們,,奇安信代碼安全實驗室一直在支撐國家級漏洞平臺的技術(shù)工作,,多次向國家信息安全漏洞庫 (CNNVD)和國家信息安全漏洞共享平臺 (CNVD)報送原創(chuàng)通用型漏洞信息并獲得表彰。實驗室還幫助微軟,、谷歌,、蘋果、Cisco,、Red Hat,、Ubuntu、Oracle,、Adobe,、VMware、阿里云,、華為等大型廠商和機構(gòu)的商用產(chǎn)品或開源項目發(fā)現(xiàn)了數(shù)百個安全缺陷和漏洞,,并獲得公開致謝。
其二是擁有豐富的用戶場景,,對產(chǎn)品進行不斷的錘煉,。To B安全產(chǎn)品走完從產(chǎn)品做出來,到與客戶場景磨合,,再到客戶反饋不足進行修改完善這個大的閉環(huán),,通常需要一個相對較長的周期。
這恰恰是奇安信相較于其他開發(fā)安全廠商擁有的最大優(yōu)勢:開發(fā)安全廠商普遍體量不大,,安全產(chǎn)品天生就是做給別人用的,,而奇安信則有較大的不同,由于集團自身擁有數(shù)十條產(chǎn)品線,、數(shù)千名研發(fā)人員,,從硬件到軟件再到云,覆蓋了大多數(shù)的應(yīng)用場景品類,,可以說先天就是一個非常豐富的試驗場,。因此代碼安全實驗室的產(chǎn)品或新功能會首先提供給內(nèi)部使用,在內(nèi)部先打磨,,最后再放到客戶的場景里落地,。
“目前奇安信代碼安全產(chǎn)品在國內(nèi)已經(jīng)擁有400多家大型客戶,覆蓋了政府,、軍隊,、金融、能源、運營商,、醫(yī)療衛(wèi)生,、教育、汽車,、航空,、互聯(lián)網(wǎng)等行業(yè)領(lǐng)域,產(chǎn)品在客戶側(cè)經(jīng)過了各種應(yīng)用場景的考驗,,已經(jīng)比較成熟,。同時作為一個綜合性安全廠商,奇安信的安全能力是一個有機的整體,,我們龐大的安全能力中心,、完善的威脅情報體系、安全運營和服務(wù)體系會給我們的產(chǎn)品提供非常多的支撐,,這些因素共 同構(gòu)成了奇安信代碼安全產(chǎn)品最大的優(yōu)勢和門檻,。”
珍惜行業(yè)發(fā)展的土壤
一花獨放不是春,,百花齊放春滿園
最后,,談到當(dāng)前國內(nèi)開發(fā)安全市場的競爭格局時,黃永剛表示,,雖然國內(nèi)開發(fā)安全市場整體起步較晚,,但目前國外廠商提供的安全產(chǎn)品正在被逐步替代,國內(nèi)產(chǎn)品必將成為這個領(lǐng)域的主流,。而就國內(nèi)友商來說,,現(xiàn)在談競爭還為時尚早。
他認為,,如果大家想要真正的在軟件開發(fā)安全的領(lǐng)域中長期發(fā)展,,應(yīng)該把關(guān)注點放在產(chǎn)品的能力提升和產(chǎn)品化程度的提高上面,加大產(chǎn)品的研發(fā)投入,,在客戶的場景里完成價值的閉環(huán),,不斷的迭代能力。
“在軟件開發(fā)安全領(lǐng)域很少有廠商能夠真正的完全覆蓋所有品類,,做好每一款產(chǎn)品都需要持續(xù)不間斷的投入和運營,。開發(fā)安全產(chǎn)品是用戶價值驅(qū)動的,只有把產(chǎn)品做好,,讓用戶來說話才是硬道理,。我們每個人都要珍惜來之不易的土壤和環(huán)境,做真正對行業(yè)和用戶有價值的事情,。百花齊放才真正象征行業(yè)春天的到來。”黃永剛最后說道,。