最近火爆的“元宇宙”概念，向人們勾勒了數(shù)字世界的未來發(fā)展形態(tài)。如果說物理世界是由物體及背后的分子、原子等組成，那么組成數(shù)字世界的基礎(chǔ)就是成千上萬的軟件，以及背后由研發(fā)人員精心設(shè)計(jì)和編寫的一行行代碼。而數(shù)字世界的安全風(fēng)險，就隱藏在這些代碼中。

　　如今，隨著軟件產(chǎn)業(yè)的快速發(fā)展，軟件供應(yīng)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件供應(yīng)鏈會引入一系列的安全問題，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來越大。從2020年12月SolarWinds遭遇國家級APT團(tuán)伙供應(yīng)鏈攻擊，到今年2月，微軟、蘋果、PayPal、特斯拉、優(yōu)步等35家國際大型科技公司內(nèi)網(wǎng)被軟件供應(yīng)鏈攻擊成功入侵，針對軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長態(tài)勢，造成的危害也越來越嚴(yán)重。作為保障軟件供應(yīng)鏈安全的重要手段，軟件開發(fā)安全相關(guān)技術(shù)和產(chǎn)品受到越來越多的關(guān)注。

　　為了幫助企業(yè)在源頭解決軟件開發(fā)安全問題，當(dāng)前開發(fā)安全廠商的主流做法是，向企業(yè)用戶提供包括SAST靜態(tài)應(yīng)用程序安全測試、DAST動態(tài)應(yīng)用程序安全測試、IAST交互式應(yīng)用程序安全測試、SCA軟件成分分析以及Fuzzing模糊測試等不同安全工具，在軟件開發(fā)流程中的不同階段介入安全手段，以幫助企業(yè)降低軟件可能存在的安全風(fēng)險。

　　在此前對多家開發(fā)安全領(lǐng)域廠商的拜訪中，許多行業(yè)資深人士談到，奇安信「代碼安全實(shí)驗(yàn)室」在SAST和SCA兩大工具方面建樹頗高。于是，帶著一探究竟的想法，安全419來到奇安信，并有幸拜訪了代碼安全事業(yè)部總經(jīng)理、代碼安全實(shí)驗(yàn)室主任黃永剛，邀請他為我們分享了自身對開發(fā)安全領(lǐng)域的認(rèn)知和洞察。

　　黃永剛向我們介紹，奇安信代碼安全實(shí)驗(yàn)室成立于2011年，在彼時那個大環(huán)境下，國內(nèi)主流的安全廠商基本都在做運(yùn)行防護(hù)類的安全產(chǎn)品，比如防火墻、IDS/IPS等等。在黃永剛看來，防護(hù)設(shè)備都是在軟件部署運(yùn)行之后發(fā)生作用的，去做漏洞掃描、補(bǔ)丁修復(fù)以及防止外部攻擊等行為，但安全事件很多都是因?yàn)檐浖┒匆鸬?，因此解決軟件自身的安全問題才是根本之道。因此，團(tuán)隊(duì)選擇了軟件開發(fā)安全的技術(shù)方向，從軟件漏洞研究開始著手，試圖回歸安全的本質(zhì)，從源頭尋找一條更有效的安全解決方案。

　　黃永剛表示，軟件開發(fā)安全產(chǎn)品的技術(shù)門檻很高，當(dāng)時從事相關(guān)研究的人也很少，而自己和團(tuán)隊(duì)已經(jīng)在這個領(lǐng)域里探索了超過十年，看著軟件開發(fā)安全從一個技術(shù)大冷門走向熱門風(fēng)口，相關(guān)領(lǐng)域的廠商也大量涌入，才感覺大家的堅(jiān)守得到了回報，“畢竟一路走來也很寂寞，中間也曾經(jīng)動搖過，但幸好一直堅(jiān)持了下來?！彼χf道。

　　之所以代碼安全實(shí)驗(yàn)室能始終堅(jiān)持這條研究路線，也是建立在一個基礎(chǔ)的認(rèn)知和根本的思考之上：軟件是構(gòu)建數(shù)字世界的“虛擬人”，各種軟件在數(shù)字世界里各司其職，就如同人在物理世界中從事不同的工作一樣。隨著數(shù)字時代的到來，軟件已經(jīng)成為支撐社會正常運(yùn)轉(zhuǎn)的最基本元素之一，地位越來越重要，在很多領(lǐng)域軟件已經(jīng)代替了人，軟件自身的安全性問題正在成為社會的根本性、基礎(chǔ)性問題。

　　黃永剛舉了一個形象的例子：我們可以想象一下，假使一個人即將進(jìn)入一個重要單位工作，那么他通常會面臨嚴(yán)格的背景調(diào)查，對其個人的思想品德、作風(fēng)紀(jì)律、家庭背景、犯罪記錄等等進(jìn)行調(diào)查訪問，通過了背景調(diào)查，他才能被錄用。

　　在他看來，與人相比，軟件在進(jìn)入重要單位時，獲得的權(quán)限比員工甚至更高，一些核心的業(yè)務(wù)系統(tǒng)會存儲和處理這個單位最敏感的核心數(shù)據(jù)，但卻很少有人關(guān)注到軟件的“背景調(diào)查”工作。企業(yè)采購了一個軟件后，或許會知道它是哪家廠商提供的，但它是誰開發(fā)的？開發(fā)時是否使用了開源組件？是否使用了第三方組件？是否由外包團(tuán)隊(duì)開發(fā)？軟件是否存在安全漏洞？是否存在未聲明的維護(hù)后門？這一切都是被忽視的隱秘角落，存在著巨大的安全隱患。

　　黃永剛表示，原來大家所談的軟件安全，更多是軟件本身的安全、代碼的安全。但現(xiàn)在軟件安全的內(nèi)涵已經(jīng)將軟件供應(yīng)鏈囊括在內(nèi)，“如果此前定義軟件的實(shí)體是一個圈，那么現(xiàn)在在這個圈的周圍，還散布著由軟件供應(yīng)鏈組成的與之相連接的許多個圈。我們現(xiàn)在談軟件安全，應(yīng)該是指軟件及其供應(yīng)鏈安全，其內(nèi)涵已經(jīng)發(fā)生了變化?！?/p>

　　國內(nèi)SAST主流市場被外企占據(jù)背景下

　　代碼衛(wèi)士產(chǎn)品應(yīng)運(yùn)而生

　　據(jù)安全419此前了解，奇安信代碼安全實(shí)驗(yàn)室目前只推出了代碼衛(wèi)士（SAST）和開源衛(wèi)士（SCA）兩大產(chǎn)品，為何是這兩個工具？而非IAST等其他方向？這背后是否有著怎樣的技術(shù)思考？

　　針對這一疑問，黃永剛告訴我們，一方面SAST產(chǎn)品先天有著技術(shù)方面的優(yōu)勢，它適用性強(qiáng)，只要是編程語言方面能夠支持，無論是什么形態(tài)的軟件都能夠適用，可以較好的滿足企業(yè)的安全需求；另一方面，在代碼安全實(shí)驗(yàn)室成立之時，國內(nèi)的SAST產(chǎn)品市場基本上被國外安全廠商所把控，金融、能源等重要的關(guān)鍵信息基礎(chǔ)設(shè)施單位也不例外。因此，代碼安全實(shí)驗(yàn)室當(dāng)時的理想和主要攻關(guān)任務(wù)就是研發(fā)出一款中國安全企業(yè)自研的SAST產(chǎn)品，以替代國外廠商，這也是代碼衛(wèi)士產(chǎn)品的由來。據(jù)他介紹，代碼衛(wèi)士是軟件開發(fā)安全領(lǐng)域第一款由國內(nèi)團(tuán)隊(duì)完全自主研發(fā)的商用產(chǎn)品，也是這個領(lǐng)域第一個獲得公安部頒發(fā)的銷售許可證的產(chǎn)品。

　　開源衛(wèi)士這款產(chǎn)品則是隨著軟件開發(fā)模式的發(fā)展變化和安全攻防形勢的演進(jìn)，由客戶痛點(diǎn)催生而來。根據(jù)代碼安全實(shí)驗(yàn)室6月份發(fā)布的《2021年中國軟件供應(yīng)鏈安全分析報告》顯示，國內(nèi)企業(yè)軟件項(xiàng)目100％使用開源軟件，超8成軟件項(xiàng)目存在已知高危開源軟件漏洞。為了應(yīng)對迅速增長的開源軟件安全風(fēng)險，代碼安全實(shí)驗(yàn)室打造了開源衛(wèi)士產(chǎn)品。它是一套集開源軟件識別與安全管控于一體的軟件成分風(fēng)險分析系統(tǒng)，通過智能化數(shù)據(jù)收集引擎在全球范圍內(nèi)廣泛獲取開源軟件信息和安全風(fēng)險信息，幫助客戶掌握開源軟件資產(chǎn)狀況， 及時獲取開源軟件威脅情報，消減由于使用開源軟件帶來的安全風(fēng)險。

　　黃永剛回憶道，2015年時，代碼安全實(shí)驗(yàn)室團(tuán)隊(duì)曾經(jīng)畫過一張藍(lán)圖，將實(shí)驗(yàn)室要做的開發(fā)安全產(chǎn)品的類別、支持的平臺、支持的軟件形態(tài)、主持的編程語言、技術(shù)實(shí)現(xiàn)路線、要實(shí)現(xiàn)的業(yè)務(wù)功能，以及產(chǎn)品對標(biāo)的對象等清晰的繪制出來，“如今再回頭去看這張藍(lán)圖，我們依然在圍繞著此前繪制的方向穩(wěn)步發(fā)展，未來我們會擴(kuò)展更多的產(chǎn)品品類，為用戶打造更完整的，面向軟件供應(yīng)鏈全鏈條的安全解決方案。”

　　他同時表示，代碼安全實(shí)驗(yàn)室強(qiáng)調(diào)的第一原則是在一個技術(shù)方向、一個產(chǎn)品上首先要做深做精，在客戶的應(yīng)用場景上要能實(shí)現(xiàn)價值閉環(huán)，要能幫助客戶真正解決實(shí)際的問題，然后在此基礎(chǔ)之上再不斷的擴(kuò)展。

　　“攻擊左移”帶來了安全左移

　　開發(fā)安全領(lǐng)域已經(jīng)開始直面攻防一線

　　“在開發(fā)安全領(lǐng)域，大家會經(jīng)常提到的一個詞是‘安全左移’，那么為什么安全會左移？其實(shí)回答這個問題不難，因?yàn)楣粽谧笠啤！?/p>

　　他談到，此前開發(fā)安全領(lǐng)域里的產(chǎn)品廠商，通常不需要直面黑客攻擊的壓力，安全事件發(fā)生時，往往是傳統(tǒng)安全產(chǎn)品廠商第一時間站出來做應(yīng)急響應(yīng)。但隨著攻擊不斷的左移到軟件開發(fā)環(huán)節(jié)，這一情況正在迅速的發(fā)生變化。

　　軟件供應(yīng)鏈可以大致分為開發(fā)、交付、運(yùn)行三個環(huán)節(jié)，每個環(huán)節(jié)都可能會引入軟件供應(yīng)鏈安全風(fēng)險從而遭受攻擊。軟件開發(fā)環(huán)節(jié)的安全防護(hù)相對來說比較薄弱，而且作為軟件供應(yīng)鏈的上游環(huán)節(jié)，軟件開發(fā)環(huán)節(jié)的安全問題會傳導(dǎo)到下游環(huán)節(jié)并被放大。而攻擊者歷來追逐性價比最高的攻擊方式，所以攻擊左移是攻擊者的自然選擇。攻擊左移對開發(fā)安全領(lǐng)域的公司和產(chǎn)品提出了更高的要求，攻擊就發(fā)生在眼前，開發(fā)安全類產(chǎn)品需要針對攻防動態(tài)的變化不斷的更新能力，更新知識庫，與時間賽跑，與黑客賽跑，并要做到持續(xù)運(yùn)營。

　　“開發(fā)安全已經(jīng)身處攻防場景之中了，比如在某一開源組件爆發(fā)安全漏洞后，廠商是否能第一時間獲取漏洞情報，安全產(chǎn)品是否能快速形成檢測能力并交付到客戶手中，這是非常關(guān)鍵的，這需要非常強(qiáng)的產(chǎn)品安全運(yùn)營能力，這對于傳統(tǒng)做開發(fā)安全的公司挑戰(zhàn)是很大的，而奇安信的漏洞研究能力、威脅情報能力、安全運(yùn)營體系的優(yōu)勢就凸顯出來?！?/p>

　　強(qiáng)大漏洞研究能力+豐富的應(yīng)用場景打磨

　　構(gòu)成奇安信代碼安全產(chǎn)品的先天優(yōu)勢

　　黃永剛談到，打造一款好的開發(fā)安全產(chǎn)品需要兩大因素。

　　其一是需要強(qiáng)大的漏洞研究能力，軟件開發(fā)安全領(lǐng)域最終要為客戶解決軟件的安全問題，而想要發(fā)現(xiàn)軟件自身的安全缺陷、發(fā)現(xiàn)漏洞，就意味著必須擁有核心的漏洞研究能力?？蛻粼谶x擇開發(fā)安全類產(chǎn)品時，廠商的漏洞研究能力常常會被忽視，但事實(shí)上，不懂漏洞和攻防，就很難有足夠的技術(shù)積淀和經(jīng)驗(yàn)積累，這樣做出的安全產(chǎn)品自然也很難在漏洞檢測時發(fā)揮出應(yīng)有的作用。

　　他告訴我們，奇安信代碼安全實(shí)驗(yàn)室一直在支撐國家級漏洞平臺的技術(shù)工作，多次向國家信息安全漏洞庫 （CNNVD）和國家信息安全漏洞共享平臺 （CNVD）報送原創(chuàng)通用型漏洞信息并獲得表彰。實(shí)驗(yàn)室還幫助微軟、谷歌、蘋果、Cisco、Red Hat、Ubuntu、Oracle、Adobe、VMware、阿里云、華為等大型廠商和機(jī)構(gòu)的商用產(chǎn)品或開源項(xiàng)目發(fā)現(xiàn)了數(shù)百個安全缺陷和漏洞，并獲得公開致謝。

　　其二是擁有豐富的用戶場景，對產(chǎn)品進(jìn)行不斷的錘煉。To B安全產(chǎn)品走完從產(chǎn)品做出來，到與客戶場景磨合，再到客戶反饋不足進(jìn)行修改完善這個大的閉環(huán)，通常需要一個相對較長的周期。

　　這恰恰是奇安信相較于其他開發(fā)安全廠商擁有的最大優(yōu)勢：開發(fā)安全廠商普遍體量不大，安全產(chǎn)品天生就是做給別人用的，而奇安信則有較大的不同，由于集團(tuán)自身擁有數(shù)十條產(chǎn)品線、數(shù)千名研發(fā)人員，從硬件到軟件再到云，覆蓋了大多數(shù)的應(yīng)用場景品類，可以說先天就是一個非常豐富的試驗(yàn)場。因此代碼安全實(shí)驗(yàn)室的產(chǎn)品或新功能會首先提供給內(nèi)部使用，在內(nèi)部先打磨，最后再放到客戶的場景里落地。

　　“目前奇安信代碼安全產(chǎn)品在國內(nèi)已經(jīng)擁有400多家大型客戶，覆蓋了政府、軍隊(duì)、金融、能源、運(yùn)營商、醫(yī)療衛(wèi)生、教育、汽車、航空、互聯(lián)網(wǎng)等行業(yè)領(lǐng)域，產(chǎn)品在客戶側(cè)經(jīng)過了各種應(yīng)用場景的考驗(yàn)，已經(jīng)比較成熟。同時作為一個綜合性安全廠商，奇安信的安全能力是一個有機(jī)的整體，我們龐大的安全能力中心、完善的威脅情報體系、安全運(yùn)營和服務(wù)體系會給我們的產(chǎn)品提供非常多的支撐，這些因素共 同構(gòu)成了奇安信代碼安全產(chǎn)品最大的優(yōu)勢和門檻?！?/p>

　　珍惜行業(yè)發(fā)展的土壤

　　一花獨(dú)放不是春，百花齊放春滿園

　　最后，談到當(dāng)前國內(nèi)開發(fā)安全市場的競爭格局時，黃永剛表示，雖然國內(nèi)開發(fā)安全市場整體起步較晚，但目前國外廠商提供的安全產(chǎn)品正在被逐步替代，國內(nèi)產(chǎn)品必將成為這個領(lǐng)域的主流。而就國內(nèi)友商來說，現(xiàn)在談競爭還為時尚早。

　　他認(rèn)為，如果大家想要真正的在軟件開發(fā)安全的領(lǐng)域中長期發(fā)展，應(yīng)該把關(guān)注點(diǎn)放在產(chǎn)品的能力提升和產(chǎn)品化程度的提高上面，加大產(chǎn)品的研發(fā)投入，在客戶的場景里完成價值的閉環(huán)，不斷的迭代能力。

　　“在軟件開發(fā)安全領(lǐng)域很少有廠商能夠真正的完全覆蓋所有品類，做好每一款產(chǎn)品都需要持續(xù)不間斷的投入和運(yùn)營。開發(fā)安全產(chǎn)品是用戶價值驅(qū)動的，只有把產(chǎn)品做好，讓用戶來說話才是硬道理。我們每個人都要珍惜來之不易的土壤和環(huán)境，做真正對行業(yè)和用戶有價值的事情。百花齊放才真正象征行業(yè)春天的到來。”黃永剛最后說道。