創新技術引領軟件供應鏈安全，助力數字中國建設

編者按

隨著數字化轉型的加速，針對軟件供應鏈的攻擊事件呈快速增長態勢，目前已成為網絡空間安全的焦點。如何將安全嵌入到軟件開發到運營的全流程，實現防護技術的自動化、一體化、智能化，成為技術領域追逐的熱點。

懸鏡安全作為DevSecOps敏捷安全先行者，致力于以AI技術賦能敏捷安全，專注于DevSecOps軟件供應鏈持續威脅一體化檢測防御，在軟件供應鏈防護領域不斷思考和勇于實踐。日前，懸鏡安全創始人兼CEO子芽先生接受本刊記者專訪，就軟件供應鏈安全防護問題發表觀點。

懸鏡安全創始人兼首席執行官子芽

人物簡介

子芽，懸鏡安全創始人兼首席執行官，DevSecOps敏捷安全專家，懸鏡首席產品經理，具有多年深度學習及網絡攻防研究及實踐經驗。他原創了“懸鏡DevSecOps智適應威脅管理體系”，在產業界影響頗深。其個人曾獲多項原創發明專利，并先后獲得2016年度中國信息安全領域領軍人物獎、2017年度北京大學年度人物、2018年度中國軟件和信息服務業新銳人物、2019年度全國大學生優秀創業代表等多項榮譽和稱號

Q1　請您簡單介紹一下公司成立的背景，取名“懸鏡”有何寓意？以及公司為何選擇DevSecOps作為自己的主打方向？

子芽：懸鏡安全最初由北京大學網絡安全技術研究團隊“XMIRROR”發起創立。在當時的大環境下，作為安全行業的從業者和研究者，我們能明確感知到傳統網絡安全技術正在面臨嚴峻的技術變革挑戰。與此同時，作為白帽黑客，我們致力于挖掘安全的本質，探尋下一代安全技術的未來，在自由創新、執著勇敢的理念驅動下，核心創始團隊一拍即合，“XMIRROR”懸鏡安全應運而生。

網絡安全就像是現實世界和虛擬世界的碰撞，虛擬世界就像現實世界的鏡像，“Mirror”是“鏡像”的意思，“X”代表著未知，探索未知是一件既酷又很有挑戰的事情，所以命名為“XMIRROR”。后來我們的品牌取名“懸鏡”，寓意“明鏡高懸，止黑守白”。

XMIRROR團隊一直專注漏洞的研究和挖掘。在這個過程中，如何將白帽黑客的能力固化到平臺上去，如何實現攻防技術自動化，使之成為一種自動又穩定的輸出，是我們一直在研究的問題。DevSecOps的核心思想之一就是“安全左移”，即在應用上線前找到它存在的風險，而上線后更加關注現有防御措施的有效性。這與我們攻防自動化的思想不謀而合，用所學技術來實現攻防自動化也是團隊的一個初衷。

早期在實驗室期間，我們參與了多項國家級縱向學術課題，沉淀了許多利用二進制插樁技術進行運行時情境感知的經驗，為后來DevSecOps核心技術IAST產品的推出打下了堅實的基礎。雖然當時DevSecOps概念還沒有普及起來，但我們已經開始摸索如何建立一套相對完善的DevSecOps智適應威脅管理框架。

Q2　DevSecOps的核心理念是什么？它與傳統的軟件開發有何不同？在落地方面，懸鏡安全做了哪些實踐？取得了哪些成效？

子芽：以往軟件上線之后如果出現了安全事故，安全團隊的角色往往是“背鍋俠”，所有責任都聚集在安全部門。但DevSecOps的核心理念是將安全柔和地嵌入到從開發到運營的每一個環節，幫助企業在軟件開發階段就可以檢測和修復漏洞，降低整體成本和風險。基于DevSecOps實現研發安全運營一體化，強調安全是整個團隊所有人的責任。相比傳統的開發，DevSecOps理念依托于DevOps的敏捷研運一體化平臺來統一調度、運轉，讓整個流程更順暢，并且對自動化和智能化的要求更高。

即使在全球范圍內，懸鏡應該是較早開始對DevSecOps理念進行實踐的廠商，我們擁有一套高度自研的核心技術體系，比如IAST交互式應用安全測試、SCA開源威脅治理技術等。在2017年懸鏡重磅發布了DevSecOps智適應威脅管理體系1.0版本，并在2020年發布了其2.0版本。懸鏡在DevSecOps領域不斷深耕，構筑了較高的行業壁壘，除了在技術上的沉淀和對行業應用的預測、引導以外，業務發展也十分迅速，規模化拓展了多個行業的標桿客戶。這主要得益于我們長期以來對前沿技術的深耕研究，也是配合實際應用場景，對落地過程中遇到的難題不斷去思考和實踐的結果。

Q3　目前我國軟件供應鏈的安全現狀如何？有哪些主要的安全挑戰？

子芽：軟件供應鏈有三個發展趨勢。第一是開源盛行，開源軟件已經成為現在軟件開發最基礎的原材料，混源模式已經成為軟件開發的主要模式。據統計，軟件產品中78%~85%的成分是開源組件，而我們很難清楚地知道開源組件里存在的未知風險，因為它是封裝好的，我們只能看到自研代碼的部分。所以需要有一項新技術去分析開源里面到底有什么。

第二是自動化惡意攻擊技術不斷迭代升級，包括AI技術引進后的智能攻擊，針對整個軟件供應鏈的投毒攻擊等，這里包括一些邏輯炸彈、后門、異常行為代碼，對于整個供應鏈的影響非常大。

第三是國家的監管不斷加強。供應鏈安全已經開始影響我國的基礎設施安全，相關主管部門已注意到軟件供應鏈安全的重要性和急迫性，并出臺了相關規定。2017年，我國已發布實施了《網絡產品和服務安全審查辦法》，將軟件產品測試、交付、技術支持過程中的供應鏈安全風險作為重點審查內容，并推動開展了云計算服務網絡安全審查。近期《關鍵信息基礎設施安全保護條例》、《網絡產品安全漏洞管理規定》等相繼施行，為安全行業的合規性做出規范。保障關鍵信息基礎設施安全，一個很重要的方面是確保關鍵信息基礎設施使用的網絡產品和服務的供應鏈安全。軟件供應鏈作為信息技術供應鏈中的重要一環，對于我國營造安全可控的網絡空間環境具有重要作用。

Q4　剛剛我們提到DevSecOps是把安全的理念融入到從開發到運營的軟件全生命周期中，您認為DevSecOps現在國內的應用情況怎樣？以及它未來的發展趨勢會如何？

子芽：國際上2017年開始宣貫和推行DevSecOps技術，國內從興起到落地要相對滯后一些。在國內，從2017年到2019年是DevSecOps概念的普及期，自2020年開始，大量的甲方企業開始建設DevSecOps，明顯感受到市場需求的快速攀升。比如，在2019年和2020年，懸鏡的用戶更多聚焦在金融行業，但今年車企、酒店、電商、能源、交通，還有泛互聯網，各個行業都在啟動DevSecOps建設。當用戶需求來源于各行各業的時候，意味著大家開始形成共識，即需要從源頭做威脅治理，做DevSecOps敏捷安全開發。

去年以來，新冠疫情的常態化管理促使企業業務紛紛上云，云原生帶來微服務和容器安全等新技術的興起，DevSecOps作為關鍵技術之一被大范圍地應用。在后疫情時代，甲方企業對于廠商支撐的需求有所變化，要求廠商具備本地化支撐能力，對軟件供應鏈安全提出了更高的要求，也促進了DevSecOps的應用與發展。

在被譽為“安全界的奧斯卡”的RSA峰會上，我們可以發現，近幾年DevSecOps技術頻頻出現，其中入圍創新沙盒競賽的應用安全廠商中接近一半都在做DevSecOps，今年更是由以色列DevSecOps廠商Apiiro獲得了全球總冠軍。由此可以看出未來10年網絡安全的風向標。

Q5　在DSO 2021大會上，您預測RASP將會在未來大放異彩，是基于什么做出的判斷？RASP在軟件供應鏈防護中起到什么作用？

子芽：2014年Gartner就提出了RASP（運行時應用自防護）技術，但業界更多是把它當作WAF（防火墻）來用。我們可以看到，網絡安全的技術演進規律是從網絡邊界的過濾分析，比如說WAF，演進到主機環境檢測響應，一些EDR解決方案開始在國內逐步普及。主要是因為在邊界做應用包過濾的時候，我們無法看到更精細的高級攻擊，而在主機上部署EDR檢測響應設備可以檢測更細粒度的高級威脅，和更精細的入侵行為。

從邊界到主機，技術進化的下一個方向是下一代應用安全，叫做“運行時情境感知”。無論外界通信過程中流量是否加密，在內存里一定會解析成明文，在內存中可以很清晰地看到解析后的流量，感知業務運行過程的上下文，具體定位其中的漏洞和威脅。懸鏡靈脈IAST和RASP技術里統一的探針和agent（代理）軟件不一樣，它相當于把疫苗注入到應用內部，也就是我們說的運行時情境感知技術。

RASP主要應用在軟件供應鏈防護中。首先，它可以對發現的已知漏洞及時打上熱補丁，阻斷攻擊者利用已知漏洞進行入侵的行為；其次，對于一些未知的0Day漏洞進行預免疫，阻斷攻擊進入到應用內部提權，或者進行其他敏感操作；第三，它具備業務透視和實時監測能力，可以從內存里感知到業務上下文。

Q6　針對開源治理防護方面，您有什么建議？

子芽：軟件供應鏈在企業層面的落地過程中，對開源的應用主要存在三個問題。第一是“看不清”，企業不知道自己用了多少開源軟件，開源軟件里面又有多少成分是開源組件，組件里面漏洞的影響力有多大；第二是“跟不上”，每天都有新報的漏洞，新漏洞持續產生增量影響，但團隊響應跟不上；第三是“難落地”，大部分企業沒有一整套相對完善的開源風險評估體系，其文化和現有的技術儲備不能實現對開源軟件的有效治理。

開源治理防護首先是要統一入口、控制源頭。從國家層面，建立可信的開源社區，在開源托管平臺上對代碼做定期治理，確保大家引入使用的都是可信、安全的組件或代碼庫。從企業層面來說，需要建立私有的制品庫，在對經常用到的開源組件進行清點之后，統一控制互聯網下載組件的使用。

控制了源頭，第二點就是左移治理。從源頭上掌控版本庫、組件庫、漏洞庫有哪些，如果二級單位或者開發部門在研發、測試、部署的過程中有不規范行為，就可以被監測到。然后對這些不規范行為進行干預、處置，保障開發過程按既定策略或治理體系來進行，在制度和技術層面進行開源治理。

第三點是全生命周期的監測和管理，也就是持續的優化治理。對軟件的整個生命周期，包括上線使用過程中的風險預警和監測的增量問題做持續優化。

Q7　軟件產品具有數量繁多、涉及領域廣泛、與用戶信息接觸最為直接的特性，建設防御理論完備、技術手段長久有效的軟件供應鏈防護體系至關重要。針對軟件供應鏈安全防護體系建設您有何建議？

子芽：軟件供應鏈安全管理是一個系統工程，需要從國家、行業、機構、企業各個層面去考慮，建立軟件供應鏈安全風險的發現能力、分析能力、處置能力、防護能力，整體提升軟件供應鏈安全管理水平。

首先，要嚴格管控上游，建立安全可信的代碼托管社區。通過代碼托管平臺對開源應用建立集中化、定期化的開源治理，保證平臺上的代碼的可信。在整個傳播鏈中，通過區塊鏈等可信技術保證對傳播的溯源。

第二，建立國家級/行業級軟件供應鏈安全監測與管控平臺，要具備系統化、規模化的軟件源代碼缺陷及異常行為代碼分析、軟件漏洞分析、開源軟件成分及風險分析等關鍵能力，為關鍵基礎設施、重要信息系統用戶提供日常的自查服務，及時發現和處置軟件供應鏈安全風險。

第三，要開展整個軟件供應鏈的軟件成分動態分析和開源應用的缺陷智能檢測技術研究。要突破高效、高準確度的開源應用安全缺陷動態檢測技術的瓶頸，解決基于全代碼遍歷和代碼片段級克隆技術比對的應用安全檢測難題。要從學術角度去探索、實現這些關鍵技術，進一步完善對全球開源應用的安全檢測，堵住軟件供應鏈安全隱患的源頭。

最后，要建立全球供應鏈的傳播態勢感知和預警機制，攻克軟件來源多態追蹤技術，實現對供應鏈各環節中軟件來源的溯源機制。通過軟件來源多態追蹤技術，監控開源應用的使用傳播和分布部署態勢，全面把握有缺陷的開源應用傳播和使用渠道，實現對全球開源應用及其安全缺陷的預測、預警。