最近火爆的“元宇宙”概念，向人們勾勒了數(shù)字世界的未來發(fā)展形態(tài)。如果說物理世界是由物體及背后的分子,、原子等組成，那么組成數(shù)字世界的基礎(chǔ)就是成千上萬的軟件,，以及背后由研發(fā)人員精心設(shè)計(jì)和編寫的一行行代碼,。而數(shù)字世界的安全風(fēng)險(xiǎn)，就隱藏在這些代碼中。

　　如今,，隨著軟件產(chǎn)業(yè)的快速發(fā)展,，軟件供應(yīng)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問題,，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來越大,。從2020年12月SolarWinds遭遇國家級(jí)APT團(tuán)伙供應(yīng)鏈攻擊，到今年2月,，微軟,、蘋果、PayPal,、特斯拉,、優(yōu)步等35家國際大型科技公司內(nèi)網(wǎng)被軟件供應(yīng)鏈攻擊成功入侵，針對(duì)軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長態(tài)勢,，造成的危害也越來越嚴(yán)重,。作為保障軟件供應(yīng)鏈安全的重要手段，軟件開發(fā)安全相關(guān)技術(shù)和產(chǎn)品受到越來越多的關(guān)注,。

　　為了幫助企業(yè)在源頭解決軟件開發(fā)安全問題,，當(dāng)前開發(fā)安全廠商的主流做法是，向企業(yè)用戶提供包括SAST靜態(tài)應(yīng)用程序安全測試,、DAST動(dòng)態(tài)應(yīng)用程序安全測試,、IAST交互式應(yīng)用程序安全測試、SCA軟件成分分析以及Fuzzing模糊測試等不同安全工具,，在軟件開發(fā)流程中的不同階段介入安全手段,，以幫助企業(yè)降低軟件可能存在的安全風(fēng)險(xiǎn)。

　　在此前對(duì)多家開發(fā)安全領(lǐng)域廠商的拜訪中,，許多行業(yè)資深人士談到,，奇安信「代碼安全實(shí)驗(yàn)室」在SAST和SCA兩大工具方面建樹頗高。于是,，帶著一探究竟的想法,，安全419來到奇安信，并有幸拜訪了代碼安全事業(yè)部總經(jīng)理,、代碼安全實(shí)驗(yàn)室主任黃永剛,，邀請(qǐng)他為我們分享了自身對(duì)開發(fā)安全領(lǐng)域的認(rèn)知和洞察。

　　黃永剛向我們介紹,，奇安信代碼安全實(shí)驗(yàn)室成立于2011年,，在彼時(shí)那個(gè)大環(huán)境下，國內(nèi)主流的安全廠商基本都在做運(yùn)行防護(hù)類的安全產(chǎn)品,，比如防火墻,、IDS/IPS等等。在黃永剛看來，防護(hù)設(shè)備都是在軟件部署運(yùn)行之后發(fā)生作用的,，去做漏洞掃描,、補(bǔ)丁修復(fù)以及防止外部攻擊等行為，但安全事件很多都是因?yàn)檐浖┒匆鸬?，因此解決軟件自身的安全問題才是根本之道,。因此，團(tuán)隊(duì)選擇了軟件開發(fā)安全的技術(shù)方向,，從軟件漏洞研究開始著手,，試圖回歸安全的本質(zhì)，從源頭尋找一條更有效的安全解決方案,。

　　黃永剛表示,，軟件開發(fā)安全產(chǎn)品的技術(shù)門檻很高，當(dāng)時(shí)從事相關(guān)研究的人也很少,，而自己和團(tuán)隊(duì)已經(jīng)在這個(gè)領(lǐng)域里探索了超過十年,，看著軟件開發(fā)安全從一個(gè)技術(shù)大冷門走向熱門風(fēng)口，相關(guān)領(lǐng)域的廠商也大量涌入,，才感覺大家的堅(jiān)守得到了回報(bào),，“畢竟一路走來也很寂寞，中間也曾經(jīng)動(dòng)搖過,，但幸好一直堅(jiān)持了下來,。”他笑著說道,。

　　之所以代碼安全實(shí)驗(yàn)室能始終堅(jiān)持這條研究路線,，也是建立在一個(gè)基礎(chǔ)的認(rèn)知和根本的思考之上：軟件是構(gòu)建數(shù)字世界的“虛擬人”，各種軟件在數(shù)字世界里各司其職,，就如同人在物理世界中從事不同的工作一樣,。隨著數(shù)字時(shí)代的到來，軟件已經(jīng)成為支撐社會(huì)正常運(yùn)轉(zhuǎn)的最基本元素之一,，地位越來越重要,，在很多領(lǐng)域軟件已經(jīng)代替了人，軟件自身的安全性問題正在成為社會(huì)的根本性,、基礎(chǔ)性問題,。

　　黃永剛舉了一個(gè)形象的例子：我們可以想象一下，假使一個(gè)人即將進(jìn)入一個(gè)重要單位工作,，那么他通常會(huì)面臨嚴(yán)格的背景調(diào)查,，對(duì)其個(gè)人的思想品德、作風(fēng)紀(jì)律,、家庭背景、犯罪記錄等等進(jìn)行調(diào)查訪問，通過了背景調(diào)查,，他才能被錄用,。

　　在他看來，與人相比,，軟件在進(jìn)入重要單位時(shí),，獲得的權(quán)限比員工甚至更高，一些核心的業(yè)務(wù)系統(tǒng)會(huì)存儲(chǔ)和處理這個(gè)單位最敏感的核心數(shù)據(jù),，但卻很少有人關(guān)注到軟件的“背景調(diào)查”工作,。企業(yè)采購了一個(gè)軟件后，或許會(huì)知道它是哪家廠商提供的,，但它是誰開發(fā)的,？開發(fā)時(shí)是否使用了開源組件？是否使用了第三方組件,？是否由外包團(tuán)隊(duì)開發(fā),？軟件是否存在安全漏洞？是否存在未聲明的維護(hù)后門,？這一切都是被忽視的隱秘角落,，存在著巨大的安全隱患。

　　黃永剛表示,，原來大家所談的軟件安全,，更多是軟件本身的安全、代碼的安全,。但現(xiàn)在軟件安全的內(nèi)涵已經(jīng)將軟件供應(yīng)鏈囊括在內(nèi),，“如果此前定義軟件的實(shí)體是一個(gè)圈，那么現(xiàn)在在這個(gè)圈的周圍,，還散布著由軟件供應(yīng)鏈組成的與之相連接的許多個(gè)圈,。我們現(xiàn)在談軟件安全，應(yīng)該是指軟件及其供應(yīng)鏈安全,，其內(nèi)涵已經(jīng)發(fā)生了變化,。”

　　國內(nèi)SAST主流市場被外企占據(jù)背景下

　　代碼衛(wèi)士產(chǎn)品應(yīng)運(yùn)而生

　　據(jù)安全419此前了解,，奇安信代碼安全實(shí)驗(yàn)室目前只推出了代碼衛(wèi)士（SAST）和開源衛(wèi)士（SCA）兩大產(chǎn)品,，為何是這兩個(gè)工具？而非IAST等其他方向,？這背后是否有著怎樣的技術(shù)思考,？

　　針對(duì)這一疑問，黃永剛告訴我們,，一方面SAST產(chǎn)品先天有著技術(shù)方面的優(yōu)勢,，它適用性強(qiáng),，只要是編程語言方面能夠支持，無論是什么形態(tài)的軟件都能夠適用,，可以較好的滿足企業(yè)的安全需求,；另一方面，在代碼安全實(shí)驗(yàn)室成立之時(shí),，國內(nèi)的SAST產(chǎn)品市場基本上被國外安全廠商所把控,，金融、能源等重要的關(guān)鍵信息基礎(chǔ)設(shè)施單位也不例外,。因此,，代碼安全實(shí)驗(yàn)室當(dāng)時(shí)的理想和主要攻關(guān)任務(wù)就是研發(fā)出一款中國安全企業(yè)自研的SAST產(chǎn)品，以替代國外廠商,，這也是代碼衛(wèi)士產(chǎn)品的由來,。據(jù)他介紹，代碼衛(wèi)士是軟件開發(fā)安全領(lǐng)域第一款由國內(nèi)團(tuán)隊(duì)完全自主研發(fā)的商用產(chǎn)品,，也是這個(gè)領(lǐng)域第一個(gè)獲得公安部頒發(fā)的銷售許可證的產(chǎn)品,。

　　開源衛(wèi)士這款產(chǎn)品則是隨著軟件開發(fā)模式的發(fā)展變化和安全攻防形勢的演進(jìn)，由客戶痛點(diǎn)催生而來,。根據(jù)代碼安全實(shí)驗(yàn)室6月份發(fā)布的《2021年中國軟件供應(yīng)鏈安全分析報(bào)告》顯示,，國內(nèi)企業(yè)軟件項(xiàng)目100％使用開源軟件，超8成軟件項(xiàng)目存在已知高危開源軟件漏洞,。為了應(yīng)對(duì)迅速增長的開源軟件安全風(fēng)險(xiǎn),，代碼安全實(shí)驗(yàn)室打造了開源衛(wèi)士產(chǎn)品。它是一套集開源軟件識(shí)別與安全管控于一體的軟件成分風(fēng)險(xiǎn)分析系統(tǒng),，通過智能化數(shù)據(jù)收集引擎在全球范圍內(nèi)廣泛獲取開源軟件信息和安全風(fēng)險(xiǎn)信息,，幫助客戶掌握開源軟件資產(chǎn)狀況， 及時(shí)獲取開源軟件威脅情報(bào),，消減由于使用開源軟件帶來的安全風(fēng)險(xiǎn),。

　　黃永剛回憶道，2015年時(shí),，代碼安全實(shí)驗(yàn)室團(tuán)隊(duì)曾經(jīng)畫過一張藍(lán)圖,，將實(shí)驗(yàn)室要做的開發(fā)安全產(chǎn)品的類別、支持的平臺(tái),、支持的軟件形態(tài),、主持的編程語言、技術(shù)實(shí)現(xiàn)路線,、要實(shí)現(xiàn)的業(yè)務(wù)功能,，以及產(chǎn)品對(duì)標(biāo)的對(duì)象等清晰的繪制出來，“如今再回頭去看這張藍(lán)圖,，我們依然在圍繞著此前繪制的方向穩(wěn)步發(fā)展,，未來我們會(huì)擴(kuò)展更多的產(chǎn)品品類,，為用戶打造更完整的，面向軟件供應(yīng)鏈全鏈條的安全解決方案,?！?/p>

　　他同時(shí)表示，代碼安全實(shí)驗(yàn)室強(qiáng)調(diào)的第一原則是在一個(gè)技術(shù)方向,、一個(gè)產(chǎn)品上首先要做深做精，在客戶的應(yīng)用場景上要能實(shí)現(xiàn)價(jià)值閉環(huán),，要能幫助客戶真正解決實(shí)際的問題,，然后在此基礎(chǔ)之上再不斷的擴(kuò)展。

　　“攻擊左移”帶來了安全左移

　　開發(fā)安全領(lǐng)域已經(jīng)開始直面攻防一線

　　“在開發(fā)安全領(lǐng)域,，大家會(huì)經(jīng)常提到的一個(gè)詞是‘安全左移’,，那么為什么安全會(huì)左移？其實(shí)回答這個(gè)問題不難,，因?yàn)楣粽谧笠?。?/p>

　　他談到,，此前開發(fā)安全領(lǐng)域里的產(chǎn)品廠商,，通常不需要直面黑客攻擊的壓力，安全事件發(fā)生時(shí),，往往是傳統(tǒng)安全產(chǎn)品廠商第一時(shí)間站出來做應(yīng)急響應(yīng),。但隨著攻擊不斷的左移到軟件開發(fā)環(huán)節(jié)，這一情況正在迅速的發(fā)生變化,。

　　軟件供應(yīng)鏈可以大致分為開發(fā),、交付、運(yùn)行三個(gè)環(huán)節(jié),，每個(gè)環(huán)節(jié)都可能會(huì)引入軟件供應(yīng)鏈安全風(fēng)險(xiǎn)從而遭受攻擊,。軟件開發(fā)環(huán)節(jié)的安全防護(hù)相對(duì)來說比較薄弱，而且作為軟件供應(yīng)鏈的上游環(huán)節(jié),，軟件開發(fā)環(huán)節(jié)的安全問題會(huì)傳導(dǎo)到下游環(huán)節(jié)并被放大,。而攻擊者歷來追逐性價(jià)比最高的攻擊方式，所以攻擊左移是攻擊者的自然選擇,。攻擊左移對(duì)開發(fā)安全領(lǐng)域的公司和產(chǎn)品提出了更高的要求,，攻擊就發(fā)生在眼前，開發(fā)安全類產(chǎn)品需要針對(duì)攻防動(dòng)態(tài)的變化不斷的更新能力,，更新知識(shí)庫,，與時(shí)間賽跑，與黑客賽跑,，并要做到持續(xù)運(yùn)營,。

　　“開發(fā)安全已經(jīng)身處攻防場景之中了,，比如在某一開源組件爆發(fā)安全漏洞后，廠商是否能第一時(shí)間獲取漏洞情報(bào),，安全產(chǎn)品是否能快速形成檢測能力并交付到客戶手中,，這是非常關(guān)鍵的，這需要非常強(qiáng)的產(chǎn)品安全運(yùn)營能力,，這對(duì)于傳統(tǒng)做開發(fā)安全的公司挑戰(zhàn)是很大的,，而奇安信的漏洞研究能力、威脅情報(bào)能力,、安全運(yùn)營體系的優(yōu)勢就凸顯出來,。”

　　強(qiáng)大漏洞研究能力+豐富的應(yīng)用場景打磨

　　構(gòu)成奇安信代碼安全產(chǎn)品的先天優(yōu)勢

　　黃永剛談到,，打造一款好的開發(fā)安全產(chǎn)品需要兩大因素,。

　　其一是需要強(qiáng)大的漏洞研究能力，軟件開發(fā)安全領(lǐng)域最終要為客戶解決軟件的安全問題,，而想要發(fā)現(xiàn)軟件自身的安全缺陷,、發(fā)現(xiàn)漏洞，就意味著必須擁有核心的漏洞研究能力,?？蛻粼谶x擇開發(fā)安全類產(chǎn)品時(shí)，廠商的漏洞研究能力常常會(huì)被忽視,，但事實(shí)上,，不懂漏洞和攻防，就很難有足夠的技術(shù)積淀和經(jīng)驗(yàn)積累,，這樣做出的安全產(chǎn)品自然也很難在漏洞檢測時(shí)發(fā)揮出應(yīng)有的作用,。

　　他告訴我們，奇安信代碼安全實(shí)驗(yàn)室一直在支撐國家級(jí)漏洞平臺(tái)的技術(shù)工作,，多次向國家信息安全漏洞庫 （CNNVD）和國家信息安全漏洞共享平臺(tái) （CNVD）報(bào)送原創(chuàng)通用型漏洞信息并獲得表彰,。實(shí)驗(yàn)室還幫助微軟、谷歌,、蘋果,、Cisco、Red Hat,、Ubuntu,、Oracle、Adobe,、VMware,、阿里云、華為等大型廠商和機(jī)構(gòu)的商用產(chǎn)品或開源項(xiàng)目發(fā)現(xiàn)了數(shù)百個(gè)安全缺陷和漏洞,，并獲得公開致謝,。

　　其二是擁有豐富的用戶場景,，對(duì)產(chǎn)品進(jìn)行不斷的錘煉。To B安全產(chǎn)品走完從產(chǎn)品做出來,，到與客戶場景磨合,，再到客戶反饋不足進(jìn)行修改完善這個(gè)大的閉環(huán)，通常需要一個(gè)相對(duì)較長的周期,。

　　這恰恰是奇安信相較于其他開發(fā)安全廠商擁有的最大優(yōu)勢：開發(fā)安全廠商普遍體量不大,，安全產(chǎn)品天生就是做給別人用的，而奇安信則有較大的不同,，由于集團(tuán)自身擁有數(shù)十條產(chǎn)品線,、數(shù)千名研發(fā)人員，從硬件到軟件再到云,，覆蓋了大多數(shù)的應(yīng)用場景品類，可以說先天就是一個(gè)非常豐富的試驗(yàn)場,。因此代碼安全實(shí)驗(yàn)室的產(chǎn)品或新功能會(huì)首先提供給內(nèi)部使用,，在內(nèi)部先打磨，最后再放到客戶的場景里落地,。

　　“目前奇安信代碼安全產(chǎn)品在國內(nèi)已經(jīng)擁有400多家大型客戶,，覆蓋了政府、軍隊(duì),、金融,、能源、運(yùn)營商,、醫(yī)療衛(wèi)生,、教育、汽車,、航空,、互聯(lián)網(wǎng)等行業(yè)領(lǐng)域，產(chǎn)品在客戶側(cè)經(jīng)過了各種應(yīng)用場景的考驗(yàn),，已經(jīng)比較成熟,。同時(shí)作為一個(gè)綜合性安全廠商，奇安信的安全能力是一個(gè)有機(jī)的整體,，我們龐大的安全能力中心,、完善的威脅情報(bào)體系、安全運(yùn)營和服務(wù)體系會(huì)給我們的產(chǎn)品提供非常多的支撐,，這些因素共 同構(gòu)成了奇安信代碼安全產(chǎn)品最大的優(yōu)勢和門檻,。”

　　珍惜行業(yè)發(fā)展的土壤

　　一花獨(dú)放不是春,，百花齊放春滿園

　　最后,，談到當(dāng)前國內(nèi)開發(fā)安全市場的競爭格局時(shí),，黃永剛表示，雖然國內(nèi)開發(fā)安全市場整體起步較晚,，但目前國外廠商提供的安全產(chǎn)品正在被逐步替代,，國內(nèi)產(chǎn)品必將成為這個(gè)領(lǐng)域的主流。而就國內(nèi)友商來說,，現(xiàn)在談競爭還為時(shí)尚早,。

　　他認(rèn)為，如果大家想要真正的在軟件開發(fā)安全的領(lǐng)域中長期發(fā)展,，應(yīng)該把關(guān)注點(diǎn)放在產(chǎn)品的能力提升和產(chǎn)品化程度的提高上面,，加大產(chǎn)品的研發(fā)投入，在客戶的場景里完成價(jià)值的閉環(huán),，不斷的迭代能力,。

　　“在軟件開發(fā)安全領(lǐng)域很少有廠商能夠真正的完全覆蓋所有品類，做好每一款產(chǎn)品都需要持續(xù)不間斷的投入和運(yùn)營,。開發(fā)安全產(chǎn)品是用戶價(jià)值驅(qū)動(dòng)的,，只有把產(chǎn)品做好，讓用戶來說話才是硬道理,。我們每個(gè)人都要珍惜來之不易的土壤和環(huán)境,，做真正對(duì)行業(yè)和用戶有價(jià)值的事情。百花齊放才真正象征行業(yè)春天的到來,?！秉S永剛最后說道。