《軟件供應(yīng)鏈安全解決方案》系列訪談邀請到一家長期專注于DevSecOps、軟件供應(yīng)鏈安全領(lǐng)域的老牌企業(yè)——杭州孝道科技有限公司（在業(yè)內(nèi)大家更習慣于用另外一個名字去稱呼他們——安全玻璃盒，因此以下內(nèi)容均使用這一名稱進行闡述），接下來，我們就一同了解一下他們在該領(lǐng)域的積累和思考。

　　安全玻璃盒聯(lián)合創(chuàng)始人、CTO徐鋒于訪談中表示，在早期剛開始涉及開發(fā)安全乃至軟件供應(yīng)鏈安全這個領(lǐng)域時，能夠感受到市場層面對其仍缺乏關(guān)注，雖然當前基礎(chǔ)安全建設(shè)已基本完善，但應(yīng)用的內(nèi)生安全仍未能夠獲得足夠的重視。對于國內(nèi)市場，目前仍然處在一個起步階段，無論是DevSecOps還是安全左移的概念，雖已被逐步接受和認可，可在實際落地過程中，客戶群體仍主要是以部分行業(yè)的頭部企業(yè)為主，想要傳導(dǎo)到腰部或尾部的用戶，仍需要一個相對較長的過程。

　　在談到用戶需求時，徐鋒則從以下幾個方面進行了闡述：

　　1、頭部用戶（客戶）。這類用戶的特點是在整體網(wǎng)絡(luò)安全投入的資源以及預(yù)算等方面較為充足，在實踐以及落地方面都有著一定的能力和經(jīng)驗。如部分互聯(lián)網(wǎng)、金融等行業(yè)的大型企業(yè)，對包括開發(fā)安全在內(nèi)的各個方面關(guān)注較早，在SDL體系的落地方面也普遍做得較為到位。對于這類用戶群體，在開發(fā)安全層面更多是需要引入專業(yè)的能力（如IAST、SCA等），隨后他們依靠自身能力去協(xié)同第三方做好整體平臺的集成，形成DevSecOps工具鏈。

　　2、腰部用戶（客戶）。這類用戶的特點是盡管也具有一定規(guī)模，但在網(wǎng)絡(luò)安全資源的投入方面同頭部客戶差距較大，且安全團隊、人員相對要少很多，普遍缺乏相關(guān)安全建設(shè)的能力和經(jīng)驗，但業(yè)務(wù)需求端對產(chǎn)品的上線、迭代速度要求同樣很高，因此，它們所面臨的應(yīng)用安全風險同樣具有較高的風險。相比之下，此類用戶群體對整體解決方案的需求更高，從咨詢、產(chǎn)品再到整個DevSecOps工具鏈建設(shè)的支持都需要專業(yè)力量去協(xié)助和支撐完成。

　　除此之外，他還特別提到了一種類型的用戶群體——無開發(fā)團隊用戶。這類用戶的特點是自身沒有開發(fā)團隊和人員，在軟件產(chǎn)品開發(fā)過程中，他們所參與的只是早期提出需求的階段，剩余所有開發(fā)過程都以外包的方式交予外部軟件供應(yīng)商完成。徐鋒表示，由于各種原因，這類用戶對于供應(yīng)商的安全管理難以到位，因此會面臨的問題更為嚴重，比如在應(yīng)用交付時，涉及安全層面存在很多盲區(qū)——交付時有無進行過安全測試、是否存在漏洞、軟件組成成分是否清晰、API接口情況如何等等，如果這其中任何一個點存有安全隱患，那么后期安全風險就會增大。

　　針對這類用戶群體，他們所需要的其實也是一整套解決方案，這也是接下來我們要介紹到的安全玻璃盒旗下的解決方案之一—新一代數(shù)字化應(yīng)用安全平臺。

　　“All In One”新一代數(shù)字化應(yīng)用安全平臺

　　深度融合三大能力 支撐用戶開發(fā)安全建設(shè)

　　面對不同用戶的不同特點以及需求，安全玻璃盒除了不斷地研發(fā)、迭代自身產(chǎn)品，讓安全能力獲得持續(xù)性提升之外，還有機的將旗下產(chǎn)品進行融合，并以平臺的形式交付給用戶。據(jù)了解，新一代數(shù)字化應(yīng)用安全平臺包含了安全玻璃盒的三大安全原子能力，分別是IAST（交互式應(yīng)用安全測試系統(tǒng)）、開源組件安全檢測與分析系統(tǒng)（SCA）以及RASP（應(yīng)用的自適應(yīng)免疫防護）。

　　需要強調(diào)的是，該平臺并非是簡單將三個產(chǎn)品能力合并在一起，“這三個能力之間都是有深度耦合以及智能協(xié)同的?！毙熹h告訴我們，這個平臺還有一個顯著特點——只需部署一個agent，就可以實現(xiàn)這三個能力?！斑@意味著用戶在做交互式應(yīng)用安全測試時，就可以同時有能力去針對漏洞的可達性、可利用性進行測試，相當于將組件安全和IAST有機的結(jié)合起來。”

　　另外，借助于深度融合的優(yōu)勢，在測試過程中遺留下來的包括應(yīng)用程序的輸入輸出、執(zhí)行指紋等數(shù)據(jù)，可以保留到應(yīng)用的運行階段，為RASP提供更為精準的防御算法。特別值得一提的是，在借助IAST所提供的數(shù)據(jù)進一步提高防護精度的同時，還能實現(xiàn)補強IAST，針對這一點，徐鋒介紹道，RASP是在執(zhí)行點進行風險函數(shù)的插樁，當發(fā)現(xiàn)攻擊行為所利用的是前期IAST沒有覆蓋到的漏洞，相關(guān)數(shù)據(jù)就會并入到IAST中，從而補強IAST的污點分析能力，令平臺對該用戶的安全能力實現(xiàn)有針對性地提升，從而更充分發(fā)揮出其在安全效能上的優(yōu)勢。

　　通過他的簡單介紹可以看出，在新一代數(shù)字化應(yīng)用安全平臺中，是真正實現(xiàn)了三大能力的有機融合，事實上，也正是由于這種融合，令其相比傳統(tǒng)的所謂“縫合怪”類型產(chǎn)品，不僅在能力上還是在易用性上，都有顯著提升，更有效保障用戶的應(yīng)用從開發(fā)到上線整個周期的安全。同時我們還了解到，新一代數(shù)字應(yīng)用安全解決方案也是安全玻璃盒能夠獲得成為IDC Innovators中國DevSecOps技術(shù)創(chuàng)新者的重要技術(shù)點。

　　圖1：安全玻璃盒-新一代數(shù)字化應(yīng)用安全平臺

　　據(jù)我們所接觸到的一個應(yīng)用該解決方案實際案例，其可實現(xiàn)的功能主要有以下幾點：

　　01 實現(xiàn)在線全面精確可視化的動態(tài)代碼檢測、應(yīng)用漏洞檢測，可利用漏洞驗證與溯源和代碼免疫防御能力，同時具備包括漏洞代碼片段、傳播路徑、修復(fù)示例、可利用漏洞的驗證溯源過程以及受攻擊事件過程等定位和分析能力；

　　02 基于運行時開源軟件供應(yīng)鏈安全的漏洞檢測與許可分析、漏洞自動化驗證和自適應(yīng)防護能力；

　　03 具備全量 API 發(fā)現(xiàn)、漏洞檢測和自適應(yīng)防護能力；

　　04 具備敏感信息檢測和應(yīng)用數(shù)據(jù)安全合規(guī)性檢測分析（個人信息保護法、GDPR、 PCI DSS 等）；

　　05 自定義算法引擎和漏洞風險全生命周期管理；

　　06 全面精確可視化的實時風險感知，包括代碼漏洞、應(yīng)用漏洞、開源軟件供應(yīng)鏈漏洞與許可分析、全量 API 發(fā)現(xiàn)和漏洞檢測以及可利用漏洞驗證和受攻擊事件過程。

　　據(jù)介紹，由于其建設(shè)和部署都是基于數(shù)字應(yīng)用核心底層架構(gòu)的特點，對于應(yīng)用的上層業(yè)務(wù)，無論是金融、醫(yī)療、公共服務(wù)和平臺服務(wù)以及數(shù)據(jù)活動都能實現(xiàn)源頭的安全賦能、全生命周期的安全防護。

　　軟件供應(yīng)鏈安全解決方案

　　從源頭助力企業(yè)數(shù)字業(yè)務(wù)安全運轉(zhuǎn)

　　由于軟件供應(yīng)鏈攻擊本身具有低成本、高效率的特點，因此具有極強的擴散性和傳導(dǎo)性，與之相關(guān)的安全事件在近兩年來更是被頻繁爆出，除了軟件開發(fā)者自身損失之外，還會對其供應(yīng)鏈下游的軟件客戶/用戶群體制造威脅，其風險之大已經(jīng)讓軟件供應(yīng)鏈安全成為全球關(guān)注的重點領(lǐng)域之一。

　　依靠自身常年在開發(fā)安全領(lǐng)域積累的經(jīng)驗和能力，安全玻璃盒也適時推出了軟件供應(yīng)鏈安全解決方案。徐鋒告訴我們，軟件供應(yīng)鏈安全融合了整個安全開發(fā)的全生命周期，因此相應(yīng)的解決方案也應(yīng)覆蓋這一周期。

　　軟件供應(yīng)鏈可以大致分為開發(fā)、交付、運行三個環(huán)節(jié)，每個環(huán)節(jié)都可能會引入軟件供應(yīng)鏈安全風險從而遭受攻擊。軟件開發(fā)環(huán)節(jié)的安全防護相對來說比較薄弱，而且作為軟件供應(yīng)鏈的上游環(huán)節(jié)，軟件開發(fā)環(huán)節(jié)的安全問題會傳導(dǎo)到下游環(huán)節(jié)并被放大。而攻擊者歷來追逐性價比最高的攻擊方式，所以攻擊左移是攻擊者的自然選擇，因而這也對開發(fā)安全領(lǐng)域的公司和產(chǎn)品提出了更高的要求，

　　因此，安全必須要盡可能早的融入到軟件開發(fā)流程之中，徐鋒介紹道，安全玻璃盒推出的軟件供應(yīng)鏈安全解決方案會在軟件開發(fā)過程中的設(shè)計階段開始介入，包括框架選型的支持，而且除了提供相應(yīng)的漏洞信息之外，還會加入包括對相關(guān)社區(qū)的成熟度、項目的成熟度、是否有執(zhí)行嚴格的安全策略等多個維度進行評估。如幫助甲方去分析相關(guān)框架、項目的主導(dǎo)公司是否值得信任，包括對過往的記錄、當前的表現(xiàn)以及對其未來的預(yù)期做出分析和判斷，以避免甲方在開發(fā)過程中或是開發(fā)完成后的軟件運營過程中，因該框架、項目的主導(dǎo)公司出現(xiàn)問題而導(dǎo)致自身的軟件在后續(xù)開發(fā)、運營過程中出現(xiàn)問題而導(dǎo)致業(yè)務(wù)受損的情況出現(xiàn)。

　　在我們看來，這種服務(wù)極為重要，畢竟前期盡可能的規(guī)避風險遠比后期彌補風險在成本上更具可控性，無論是上述哪種類型的用戶，都應(yīng)力爭做到這一點。

　　圖2：安全玻璃盒-軟件供應(yīng)鏈安全解決方案總體架構(gòu)

　　應(yīng)用運行時安全也是軟件供應(yīng)鏈安全中極為重要的一個環(huán)節(jié)，徐鋒表示，在應(yīng)用軟件遭遇突發(fā)漏洞影響的情況，當相關(guān)事件爆發(fā)后，作為供應(yīng)鏈中任何一個參與者都會面臨兩個問題，一是需要明確了解哪些項目或軟件是受影響的，二是應(yīng)急響應(yīng)。如果說前者通過供應(yīng)鏈安全解決方案中的SCA可以快速排查出來的話，那么后者則對響應(yīng)時間的要求很高，這個時候就需要依靠RASP的防護能力來保證在沒有補丁的情況下先行防護，這是它最大的優(yōu)勢所在，由于具有應(yīng)用的上下文，它可以對應(yīng)用程序的行為結(jié)合上下文進行持續(xù)分析，一旦發(fā)現(xiàn)攻擊行為便可立刻進行響應(yīng)。

　　事實上，防護的能力對于企業(yè)用戶而言是至關(guān)重要的，在當前這個數(shù)字業(yè)務(wù)的時代，應(yīng)用軟件承載著企業(yè)的業(yè)務(wù)，而修復(fù)安全問題需要時間，有時甚至需要停機處理。徐鋒表示，這種業(yè)務(wù)中斷的損失對于企業(yè)用戶而言是難以接受的，因此通過動態(tài)防御的方式先行防護，幫助用戶爭取更多的時間窗口，在下一個迭代中去徹底地修復(fù)問題組件。當前，這一能力均已融合在上述安全玻璃盒所提供的兩個解決方案之中。

　　整體來看，安全玻璃盒此款解決方案覆蓋了軟件供應(yīng)鏈安全的各個重要環(huán)節(jié)，且依靠長年在技術(shù)研發(fā)、應(yīng)用落地等多方面沉淀的優(yōu)勢，在產(chǎn)品能力、服務(wù)能力雙方面都達到了較高的水準，而且該解決方案的自動化能力較強，易用性表現(xiàn)突出，附議安全玻璃盒安全專家提供的服務(wù)支撐，可有效幫助用戶建立適合自身的軟件供應(yīng)鏈安全體系，保障企業(yè)數(shù)字化轉(zhuǎn)型過程的順利開展。

　　某金融企業(yè)應(yīng)用案例

　　從系統(tǒng)開發(fā)源頭構(gòu)建完整的開源軟件供應(yīng)鏈安全體系

　　在與安全玻璃盒溝通的過程中，我們也了解了他們的部分案例，其中之一為針對某金融企業(yè)客戶，其采用軟件供應(yīng)鏈安全解決方案的目的在于解決規(guī)范開源軟件在其各個數(shù)字業(yè)務(wù)系統(tǒng)生命周期中的安全采集、安全管理及安全使用，從系統(tǒng)開發(fā)源頭構(gòu)建完整的開源軟件供應(yīng)鏈安全體系。從對知悉開源軟件中的漏洞，預(yù)防新漏洞的產(chǎn)生，修復(fù)或消除漏洞三個不同角度來解決開源軟件帶來的安全威脅。確保開源軟件供應(yīng)鏈的完整性、保密性、可用性、可控性。

　　據(jù)了解，該案例的主要任務(wù)是為用戶提供包括軟件成分分析能力（SCA）、開源資產(chǎn)的管理能力、 DevSecOps 集成能力、開源數(shù)據(jù)的收集和分析能力以及對供應(yīng)商的管控能力，從而實現(xiàn)對其使用的開源軟件在整個軟件生命周期的安全管理。

　　在對現(xiàn)有目標數(shù)字業(yè)務(wù)系統(tǒng)的治理方面，安全玻璃盒的解決方案可以實現(xiàn)對不同來源、不同階段項目的開源軟件成分進行全面的溯源、整合及分析。

　　在開源軟件評估及組件選型方面，該解決方案會依據(jù)數(shù)據(jù)模型（圖2），對用戶業(yè)務(wù)系統(tǒng)及引入的開源項目進行各個維度的數(shù)據(jù)采集，最終輸出業(yè)務(wù)系統(tǒng)的綜合評估分數(shù)，協(xié)助開發(fā)和安全人員對開源軟件供應(yīng)鏈產(chǎn)品進行合理的選擇。同時，在開源的知識庫支持下，該解決方案根據(jù)開源軟件信息的歸類，幫助用戶的開發(fā)人員進行架構(gòu)和組件選型，并且對不同組件進行有效評分，進而協(xié)助開發(fā)人員快速選型。

　　圖3：安全玻璃盒-開源項目評估及組件選型數(shù)據(jù)模型

　　在對開源資產(chǎn)進行管理及開源組件漏洞許可識別方面，安全玻璃盒的解決方案除治理該系統(tǒng)本身應(yīng)用中所引入的第三方組件之外，還可通過開源資產(chǎn)的管理功能對整個項目以及引入的第三方成分建立起開源軟件安全有效的跟蹤機制，可及時有效發(fā)現(xiàn)開源組件及相關(guān)集成的開源產(chǎn)品的漏洞，根據(jù)系統(tǒng)體檢的修復(fù)建議，在第一時間采取相關(guān)修復(fù)和防護措施；在漏洞層面，在基于用戶業(yè)務(wù)系統(tǒng)開源軟件成分分析的結(jié)果，根據(jù)獲取的開源組件信息，分析引擎會對比開源知識庫。根據(jù)組件的版本、名稱以及組件特性值，獲取業(yè)務(wù)系統(tǒng)相關(guān)的開源軟件活躍度、技術(shù)支持、更新 頻率等信息，形成有效的檢測報告，協(xié)助用戶的安全部門或研發(fā)部門相關(guān)人員進行合理評估，而且對于存在漏洞的組件，該解決方案也會提供修復(fù)建議和相關(guān)替代版本的推薦。

　　在基于DevSecOps的插件集成方面，該解決方案實現(xiàn)了DevSecOps工具在整個項目開發(fā)過程中的無縫接入，從需求、編碼到實施和運維，進行全生命周期的安全賦能，推進各級業(yè)務(wù)系統(tǒng)的安全串聯(lián)。

　　在供應(yīng)商安全評估管理方面，該解決方案可以在該用戶原有的管理基礎(chǔ)上，提供對用戶的供應(yīng)商安全能力在公司資格、人員能力、服務(wù)能力、產(chǎn)品認證等多個維度進行綜合評估，有效幫助用戶確保產(chǎn)品源頭的安全。

　　在與開發(fā)安全相關(guān)的其他建設(shè)方面，安全玻璃盒通過提供包括以合作的方式協(xié)助用戶構(gòu)建包括供應(yīng)鏈安全管理部門、制定相關(guān)安全策略和管理制度，這些內(nèi)容均覆蓋了包括人員安全、開發(fā)安全、維護安全以及供應(yīng)商管理等多個方面，確保供應(yīng)鏈安全的有效落地。

　　最終成果方面，在運行數(shù)月并經(jīng)過應(yīng)用于各個階段的實際效果驗證后，該用戶認為，安全玻璃盒的軟件供應(yīng)鏈安全解決方案不但對原有項目的開源組件進行了有效的梳理和升級，并且在著名的Log4j 2漏洞爆發(fā)后，幫助其安全人員快速定位有使用該組件的系統(tǒng)并迅速修復(fù)，在很大程度上避免了該漏洞可能導(dǎo)致的安全威脅和經(jīng)濟損失。同時，該用戶還將數(shù)字業(yè)務(wù)系統(tǒng)的安全屬性與之前傳統(tǒng)方式進行的安全成效進行了對比分析，結(jié)果顯示，無論是在時間還是人力的成本上都有了顯著改善。

　　產(chǎn)品及工具只是手段

　　系統(tǒng)性服務(wù)助力用戶實現(xiàn)預(yù)期效果

　　在此前我們與安全企業(yè)以及甲方用戶的交流中，了解到當前有一較大的問題在于安全工具、產(chǎn)品或解決方案本身具備良好能力，但在用戶端落地應(yīng)用過程中，卻并未發(fā)揮出預(yù)期的效果，該問題在開發(fā)安全領(lǐng)域中同樣存在，針對這一情況，徐鋒表示，“安全領(lǐng)域中的工具、產(chǎn)品，都是一種手段，更重要的還是在于人，很多時候，工具和產(chǎn)品主要在于提高效率以降低人的成本。”

　　安全玻璃盒在應(yīng)對這一問題時的思路在于，如想幫助用戶真正用好工具、產(chǎn)品或解決方案，以最終達成預(yù)期中的安全建設(shè)和能力，應(yīng)首先從文化角度去思考。“對于開發(fā)人員，需要始終對其強調(diào)一個核心思想——安全責任的共擔。安全理念、安全意識都是開發(fā)人員應(yīng)具備的素養(yǎng)?！毙熹h強調(diào)道，“安全是整個團隊的事情，而不僅僅是安全部門的事情?！?/p>

　　徐鋒認為，“如果只是將解決方案簡單交付給用戶，在推廣使用的過程中未能將開發(fā)人員包含在其中，那么該解決方案的實施基本上就是失敗的。”談及解決方案推廣實施過程中的阻力這一問題時，他告訴我們，最大阻力主要源自于責任邊界的劃分。“用戶端的安全開發(fā)項目，多數(shù)都是由安全部門發(fā)起，但如果該項目未能和研發(fā)部門之間打通，那么這個項目必然無法達到建設(shè)它的預(yù)期?！泵鎸@一阻力，安全玻璃盒的做法是幫助用戶做好向上管理。作為安全解決方案的提供商，他們也會積極主動的同客戶的安全部門、研發(fā)部門，甚至他們共同的上級部門（如IT部門等）進行溝通和匯報，在整個項目或解決方案交付時，會讓上級管理部門明確了解整個安全開發(fā)的理念，只有在獲取上級管理部門的支持后，安全部門和研發(fā)部門彼此之間的邊界才會被打破，以保證項目順利實施并達到預(yù)期效果。反之，如仍未能打破這層邊界，項目實施難度可想而知，從而很難保證最終的效果。

　　同時，安全玻璃盒也提供了相應(yīng)的系統(tǒng)性服務(wù)，包括安全開發(fā)意識培訓(xùn)、安全開發(fā)技能培訓(xùn)，以幫助甲方用戶提升其開發(fā)團隊成員的安全素養(yǎng)，增強安全意識，有利于降低開發(fā)人員自身問題導(dǎo)致安全風險出現(xiàn)的概率。同時，在工具、產(chǎn)品以及解決方案的交付過程中，安全玻璃盒也會讓其安全顧問去協(xié)助甲方用戶進行推廣和培訓(xùn)，使得其解決方案可以更容易地在開發(fā)人員視角下落地，更好的應(yīng)用在開發(fā)過程之中，以讓用戶真正的用好并解決實際問題。

　　聚焦開發(fā)安全及軟件供應(yīng)鏈安全賽道

　　讓每個用戶都能輕松交付安全、合規(guī)的產(chǎn)品

　　徐鋒在訪談的最后告訴我們， 無論是自身的安全能力還是后續(xù)的產(chǎn)品布局，安全玻璃盒會始終聚焦于開發(fā)安全、軟件供應(yīng)鏈安全領(lǐng)域。據(jù)了解，安全玻璃盒近幾年也在積極地參與安全開發(fā)相關(guān)標準的建設(shè)，包括參與編寫中國聯(lián)合網(wǎng)絡(luò)通信有限公司研究院主導(dǎo)的《CU-DevSecOps實踐白皮書》、浙江省地方標準《基于安全檢測插件的Web應(yīng)用系統(tǒng)安全檢測技術(shù)規(guī)范》、國家工業(yè)信息安全發(fā)展研究中心主導(dǎo)的團隊標準《軟件安全開發(fā)能力要求》以及國家信息安全測評中心主導(dǎo)的國家標準《信息安全技術(shù) 安全開發(fā)能力評估準則》等開發(fā)安全標準。

　　在產(chǎn)品方面，在進一步完善布局，提升能力的同時，會持續(xù)關(guān)注降低用戶的使用成本，進一步增強產(chǎn)品的易用性，降低使用門檻，以一線開發(fā)人員、團隊的視角，幫助他們更好的上手和應(yīng)用，即便在開發(fā)人員欠缺安全經(jīng)驗、無專業(yè)安全人員介入的情況下，也能助力他們開發(fā)出更安全的軟件，“這也是我們長期秉承的服務(wù)宗旨——讓每個用戶都能輕松交付安全、合規(guī)的產(chǎn)品?！?/p>

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<