悬镜安全:用开源的方式做开源风险治理
随着数字化应用的高速发展,软件已被各行各业广泛应用,成为必不可少的一部分。近年来,全球范围内有关软件供应链安全的攻击事件层出不断,对个人、企业,甚至国家安全都造成了严重威胁。近期曝出的Apache log4j2漏洞的严重性、广泛性已经在各个领域显现,波及面非常大,更是让业界意识到做好开源软件安全治理已是迫在眉睫。
2014年成立的悬镜安全是一家致力以 AI 技术赋能敏捷安全,专注于 DevSecOps 软件供应链持续威胁一体化检测防御的安全公司,在悬镜安全创始人兼CEO子芽看来,“随着数字化转型的推进,软件供应链安全的市场潜力巨大。我们的初心就是要持续专注于技术创新应用,守护中国软件供应链安全。我们也希望通过努力在这一技术领域实现不断突破。”
悬镜安全创始人兼CEO子芽
山河无恙,历史从不辜负先驱者
悬镜安全成立于2014年,当时正处于网络安全行业高速发展的初期,现在看来,许多优秀的创新型企业都是在那个阶段成立。据子芽回忆,“悬镜安全创业初期的团队是来自于北京大学信息安全实验室,当时在学校做了很多相关技术的研究课题,主要方向是自动化漏洞挖掘和威胁模拟算法研究。其中,有一项涉及到运行时的动态插桩技术,其优势是能实现更高的检测精度和更低的误报率。基于这些课题和技术研究的沉淀,再加上当时国家成立了专门的网络安全领导小组以及‘斯诺登’事件等因素,让我们感觉到网络安全产业发展的时代到来了,于是就和实验室的师兄师弟们一起出来创业,成立了悬镜安全。”
从目前来看,悬镜安全当时的选择是正确的。
近些年,我国网络安全产业高速发展,无论从行业自身的活力,还是国家给予的战略政策引导和支持来看,网络安全产业都如旭日朝阳一般。要想在一个行业扎根立足,尤其是科技型企业,没有过硬的技术实力是走不长远的。从创业初期进入市场,子芽带领团队足足用了5年的时间来进行产品技术的打磨,期间拿到的投资都用于产品和技术的研发。子芽感慨道,“现在回想起来,像我们这样的技术型创业者,从象牙塔走出来多少都带有一些学院派的风格,会更在乎产品技术是否达到了要求。比如说一款产品,如果精确度、兼容性没有达标的话,我们是不会把它推向市场进行商业化。”由此不难看出,悬镜安全能做到其开发应用安全细分赛道的领先地位,正是靠着自始至终对技术的重视与执着。
一群朝气蓬勃的年轻人,从一门心思搞研究的实验室转战竞争激烈的商场,其中一定会经历不少坎坷,面对自身的优势与劣势,子芽谈道,“劣势可能就是我们会花更长的时间去研发产品,对于市场的敏感度没有那么高。比如,当市场需要某个产品的时候,一些技术经验成熟的公司能很快做出来,而我们需要更长时间进行产品技术的打磨和研发。不过在我看来,劣势其实也是优势。正是由于对产品技术研发的高要求,才能拿出过硬、经得起市场检验的高质量产品。经过长期的技术沉淀,也为今后更好更快地发展铺平道路。”
创业并不是一帆风顺,这需要有非常的强的决心和毅力,悬镜安全亦是如此。尤其是在创业初期技术沉淀的时候,团队也遇到过资金短缺、成员想要放弃的时候,面对这些问题,子芽说道,“学院派的人对技术都是有情怀的,如果不是因为内心的执着与热爱,我想我们可能也会撑不下来。面对技术难关我们要想办法攻克,面对成员的情绪我们要做好安抚。最终拿出来成熟的产品,要对得起市场和客户。经过跟一些头部客户进行合作,在客户那形成的好口碑,我们一下子就在行业里树立起了品牌,证明了我们自己。”“以用户需求为驱动,用心做好产品做好交付”这是悬镜安全这么多年的经验总结,也证明了以客户为主、做好产品打磨,满足市场需求是更好的选择,因为是金子总会发光。
7年对于一个新兴领域的企业来说,发展时间也不算短,回看这些年的发展,子芽认为,“创业就是一个把书读厚再读薄的过程,其中不免会踩一些坑,支撑着我们一路走下去的一定是因为热爱。创业会面临很多诱惑,一定要处理好产品、技术和解决方案三者之间的关系。不能因为追求热门产品而忽视了自身擅长的核心技术,而我们正是一直围绕着我们的核心技术在打磨产品和解决方案,才能在行业内有所突围,这也是受益于我们的聚焦战略。”正是如此,精于某项技术才能在赛道中处于领先,才会形成好的品牌认知。同时,子芽还认为,“基于核心技术形成产品和解决方案的闭环很重要,这有利于公司的长期发展,也有利于逐步强化公司在细分赛道的绝对优势。”
共享时代红利,弯道超车不再做观望者
2021年,国家出台了《关键信息基础设施安全保护条例》(以下简称《条例》),其中,《条例》第 19 条和 20 条,对运营者采购网络产品和服务提出了具体要求,对应对关键信息基础设施的供应链安全风险意义重大。关键信息基础设施承载了大量的个人信息和国家重要数据,其安全与否对于社会稳定及国家安全的重要程度不言而喻。子芽表示,“开源组件在关键信息基础设施领域的应用程度是很高的,做好这个领域的供应链安全工作至关重要。《条例》的出台非常及时且必要,当前,全球软件供应链安全风险激增,关键信息基础设施领域的软件运用了大量的开源组件。同时,当下国与国之间竞争日趋激烈,谁能更好的应对供应链安全风险,就能在竞争中取得主动权。”
在去年发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中,开源首次被明确列入。2021年7月工信部发布的《网络产品安全漏洞管理规定》中,对漏洞的发现、收集、发布行为也有了明确规定。我们可以看到,从国家层面是越来越重视软件供应链安全和开源风险治理。“Apache log4j2漏洞事件的爆发其实是有助于推动开源领域风险治理工作,让行业乃至国家更进一步认识到了问题的严重性。《网络产品安全漏洞管理规定》的出台,对于将行业规范化,更有效地防范网络安全重大风险,保障国家网络安全意义重大。”子芽说道。
这是一个网络安全产业发展的好时代,无论是市场的实际需求,还是国家相关政策法规的驱动,网络安全产业将迎来更加高速发展的时期。“悬镜安全非常幸运的赶上了这个时期,同时,我们也做好了相应的准备,能跟上产业发展的脚步。以我们的‘代码疫苗’技术为例,以高门槛的产品技术,让行业得以简单的应用,并解决复杂的安全问题,这是我们一以贯之的技术信念。也非常欣喜的看到,在数字经济发展的大背景下,不仅是金融业、互联网,包括轨道交通、畜牧业等传统行业的数字化进程也在逐步加快,软件应用率大幅度提升,这就意味着我们会有更为广阔的市场前景,行业发展未来可期。”子芽表示。
“代码疫苗”技术,开启软件供应链安全新引擎
Apache log4j2漏洞能有如此的影响程度和范围,也正是因为当前开源组件的广泛应用。“开源”是指源代码、文档等设计内容开放的开发模式,是群智协同、开放共享、持续创新的理念和生产方式,也是当下软件开发者乐于并广泛运用的开发方式。一旦某个被广泛应用的开源组件发生安全问题,后果不堪设想。因此,认识和了解开源安全风险情况并做好治理工作至关重要。子芽认为,“首先,安全企业自身的软件产品必须保证其代码的安全性,需要有一套安全的开发流程和体系;其次,企业应该具备自我诊断和积极防御的能力,这个就是悬镜安全提出的的‘代码疫苗’技术。我们一直专注于以AI人工智能技术为核心的DevSecOps软件供应链持续威胁一体化检测防御,自动化的威胁检测和积极防御可以大大提升工作效率。我们的源鉴OSS开源威胁管控平台也能有效应对开源风险问题。”
与传统SCA产品相比,源鉴OSS依靠独有的 IAST 技术引擎,拥有运行时分析能力,以准确识别应用程序是否实际使用了易受攻击的组件并验证漏洞有效性,使开发人员避免面对数量巨大的误报和无法利用的漏洞。同时,源鉴OSS可以与DevOps流程无缝结合,在流水线上自动发现应用程序中的开源组件,提供版本控制信息,通过第三方平台实时推送,从而实现及时的反馈和快速行动。
2021年12月3日,悬镜安全正式官宣全球首款企业级OpenSCA技术即将开源,并提出“用开源的方式做开源风险治理”。12月30日,OpenSCA开源发布会在京圆满举行,悬镜安全创始人兼CEO子芽发表《用开源的方式做开源风险治理》的主题演讲,子芽表示,希望通过“用开源的方式做开源风险治理,和大家一起,守护中国软件供应链安全!”
相信未来,悬镜安全将继续发挥其技术核心优势,乘着“十四五”期间产业发展的东风,更好地为国家数字经济发展和数字化转型保驾护航!
作者:中国信息安全记者 邱辰杰
悬镜安全:用开源的方式做开源风险治理相关推荐
- OpenSCA用开源的方式做开源风险治理:Why? What? How?
随着容器.微服务等新技术的快速迭代,开源软件已成为业界主流形态,开源和云原生时代的到来导致软件供应链越来越趋于复杂化和多样化,网络攻击者开始采用软件供应链攻击作为击破关键基础设施的的重要突破口,从而导 ...
- 悬赏计划 | 参与Gitee X OpenMLDB开源项目,做开源才不是「用爱发电」!
你是否也认为参与开源项目仅仅只是为了热爱而无私奉献?你是否也想成为开源项目中众多贡献者中的一员?机会来啦!参与第四范式Gitee X OpenMLDB开源项目,解决issue赢赏金,既能交友,又能&q ...
- 人物 | 悬镜安全宁戈:高山流水遇知音,湖畔筑梦中国心
2022年3月22日,悬镜安全宣布完成B轮融资.三年前,悬镜的CEO子芽,这位未名湖畔的筑梦人,接受了安在的采访,那时的悬镜刚刚完成产品由十年磨一剑的前沿技术研究到商业化落地的打磨实践阶段.作为公司战 ...
- 设定 KPI、OKR 是门槛,大厂做开源的五大痛点!
| 转载自:CSDN | 编辑:周韵诗 根据Gartner及Linux基金会的调查报告显示,企业平均有29%的软件代码来自开源,在"开源吞噬世界"的背景下,国内大厂先后将关注点聚焦 ...
- 悬镜云鲨SaaS三大核心能力 构筑下一代积极防御体系
近年来,随着云计算技术的蓬勃发展,云原生已成为当下的潮流,为企业的IT基础设施.数字化应用架构带来了颠覆性的变革,越来越多的企业将技术和业务全部构建在云上,云原生应用正引领下一个应用时代.从安全的视角 ...
- 悬镜服务器系统,悬镜服务器卫士V3.3.0.3961更新通知
原标题:悬镜服务器卫士V3.3.0.3961更新通知 精油们,大家好,首先悬镜小编先祝大家愚人节快乐.温馨提示:如果遇到别人让你做一件不可思议的事情,先想好是不是真的,毕竟今天是愚人节. 但小编接下来 ...
- 删除悬镜linux安装教程,Linux安全运维之如何活用history命令
作者分离本人多年丰厚的工作实战经历,以简单.浅显易懂方式讲述了如何活用history命令. Linux系统下可通过history命令查看用户所有的历史操作记录,在安全应急响应中起着非常重要的作用,但在 ...
- 漏洞通告 | Atlassian Confluence存在远程代码执行漏洞,悬镜云鲨RASP天然免疫防护...
近日,Atlassian官方发布了一则安全更新,通告了一个严重且已在野利用的远程代码执行漏洞CVE-2022-26134,攻击者利用该漏洞,无需任何条件即可在Confluence中执行任意命令. 该漏 ...
- 悬镜安全与小佑科技达成战略合作,打造DevSecOps云原生安全技术创新生态
日前,DevSecOps敏捷安全领导者悬镜安全与云原生安全公司北京小佑科技达成战略合作,签约仪式在京举行,悬镜安全CEO子芽和小佑科技CEO袁曙光代表双方企业签署了战略合作协议. 悬镜安全CEO子芽( ...
最新文章
- pandas计算特征与所有数值特征的相关性并排序可视化:包含pearson、spearman、kendall
- 漏洞检测,流量和性能监控
- 你解决的问题比你编写的代码更重要!
- playbook 剧本编写
- [html] iOS下页面如何启动加载时显示画面图片?如何设置大小?它有什么好处?
- opengl计算帧率_或许是迄今为止第一篇讲解 fps 计算原理的文章吧
- python模块使用相对路径还是绝对路径、哪种更好_python学习的第十八天模块之包、相对搜索路径和绝对搜索路径...
- 5.3命名socket
- 安装IAR ewarm
- ISO9001\ISO14001\OHSAS18001三体系快速认证申报须知
- 王亮:游戏AI探索之旅——从alphago到moba游戏
- Android keeps stopping
- 免费领百度网盘会员!抓紧!
- HTTP(S) 路由器 fabio
- 简述https的几种加密方式
- c51语言1秒延时程序,KeilC51程序设计中几种精确延时方法
- Java毕业设计_申通物流车辆调度系统设计与实现
- Android变成setContentView()报错空指针异常
- 故障处理 软件 需求_软件的质量模型(二)
- 11-03 成长日记