2004 年,微软提出了软件安全开发生命周期(SDL)的概念,要求从流程和管理的角度入手降低软件安全开发的风险。SDL 将软件开发流程划分为多个阶段,并在各个阶段中引入不同的安全措施,保障软件开发以及最终用户的安全性,旨在将安全集成在软件开发的每一个阶段,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。SDL 更侧重的是软件开发的安全保障过程,旨在开发出更安全的软件应用。
至今,SDL在部分军工、政企等传统行业领域仍然有广泛应用,在这些行业中,通常软件项目的交付周期较为充足,能给开发人员、安全人员足够的时间全面核查攻击面,并在确认全部安全活动均已完成后交付上线,仍然是传统企业处理软件开发安全问题的重要手段之一。
随着云计算被普遍运用,微服务等基础架构的成熟,企业业务高速发展给开发、运维带来了更高的要求,企业开发运维模型也从传统的瀑布模型演变到敏捷模型再到DevOps,而安全模型也随之改变。
随着DevOps敏捷开发框架的出现,软件开发和部署过程变得更快,迭代更加频繁。为了在不牺牲速度和生产力的情况下有效降低风险,DevSecOps应运而生。DevSecOps把安全引入到DevOps中,以解决DevOps中的安全挑战。
DevSecOps是一种全新的安全理念和模式,其核心理念是安全是整个 IT团队每个人的责任,需要贯穿从开发到运营整个业务生命周期每一个环节才能提供有效保障。更敏捷化的DevSecOps让整个软件开发流程及其安全活动变得可度量和可视化的提升。
一家DevSecOps安全厂商告诉我们,在同客户的接触过程中看到,各行业都在拥抱敏捷开发和云原生,此前他们的客户主要聚焦在金融行业,而从2020年开始,包括电商、能源、交通、车联网,甚至畜牧业这样的泛互联网行业,都启动了DevSecOps建设。而在新技术接受度更高的金融行业,“要么大家已经采购了DevSecOps,要么就在做调研的路上。”
随着政策暖风频吹,今年以来,网络安全行业持续受到资本的关注,大额融资事件频频发生,一些热门安全厂商更是一路高歌猛进。在各大细分安全领域中,软件开发安全赛道似乎尤为受到资本的青睐,资本关注度正在逐渐攀升。
如该领域内的明星企业悬镜安全、默安科技、开源网安、海云安等一众专注于开发安全细分领域的头部厂商均在2021年完成了亿元级别的大额融资交易。除了上述这些老牌厂商外,如思客云、水木羽林、蜚语安全、比瓴科技等初露头角的初创开发安全企业也不缺乏各大资本机构的关注,纷纷在年中完成天使轮、Pre-A轮的千万元级别融资。
观察资本市场动向可以发现,大量新玩家的涌入,也侧面说明了软件开发安全领域市场体量远不止当前我们看到的这么大。
作为一个新兴安全市场,当前国内在软件开发安全领域的安全企业总体还不多,约在十余家左右。安全419选取其中了解较为深入的6家厂商(按名称首字母排序),为读者朋友介绍他们在技术、市场方面的优势与特点,企业推荐理由仅作探讨,供读者参考。
推荐厂商一:火线安全厂商介绍:
火线安全(北京安全共识科技有限公司)成立于2020年,定位为安全防护SaaS平台提供商,主要为企业信息系统提供从漏洞挖掘、检测防护到漏洞追踪的全生命周期风险管理解决方案。其旗下的火线安全平台是业内主流的白帽安全社区,今年9月,火线安全发布了全球首个IAST开源项目——“洞态IAST”。
推荐理由:
火线洞态IAST产品与其他安全厂商提供的IAST产品的最大不同之处在于,该产品是基于火线安全平台主导、经由火线安全平台上的众多白帽子的技术力量合作开发的产物,这些白帽子广泛分布于甲方企业和安全行业中,因此,我们愿意将之称为由甲方客户安全人员自己打造的一款IAST工具,工具中包括agent的启停功能、漏洞的通知功能等很多重要功能的代码都是由用户所提交。
这一产品的优势在我们看来,主要在于参与开发的不少白帽子自身的甲方背景,使得产品更贴近甲方自身的安全需求,在这个基础上,结合他们自身的技术经验和能力,加上火线安全平台的专业团队力量引导,可以去对这个开源IAST工具进行持续的赋能和加持。
此外,在开发领域和运营领域,使用开源产品和技术应用已经比较广泛。如果能提供一款开源的安全产品给三方来使用的话,允许开发团队和运维团队查看到这个安全产品的全部代码,在一定程度上能够增强开发和运维部门对安全部门的信任。从这个角度思考,火线安全这款IAST产品或将在企业内部得到更高的认可,降低安全人员与开发、运维之间的沟通成本。当然,对企业而言,现实的投入成本也会显著降低,这对于很多在开发安全方面预算有限的企业用户还是很有价值的。
当然,从商业层面考虑,开源版本的“洞态IAST”更多的是满足一个基本需求,对于一些较为深度的需求,其也有商业版本可供选择。
推荐厂商二:海云安厂商介绍:
深圳海云安网络安全技术有限公司(以下简称“海云安”)成立于 2015 年,定位是为政府及企事业单位提供应用安全一体化解决方案的安全企业,长期为金融、政府及企事业单位提供安全开发、APP安全、数据安全和安全管理中心等全面安全服务解决方案。
推荐理由:
海云安最早的定位为移动互联网、移动应用安全研究,而研究移动终端安全的重点就在于研究移动应用代码,以及与之相关的存储与使用环节中的安全问题。也正是因此,海云安积累了大量的代码安全研究经验,并在客户需求的推动下开辟了应用安全产品线。因此,海云安在开发安全领域也是基于自身在前期在代码安全能力的积淀之下扩展的。
在客户提出移动应用开发安全需求后,海云安的重心开始向应用开发安全转型,将前端的移动应用安全,和后端的代码安全进行了融合,打造了开发安全业务线。
在布局方面,海云安主打“产品+服务+合规”的思路。针对用户的开发安全需求,海云安主要提供源代码安全扫描产品,源代码安全审计专家驻场服务及培训服务,以及将监管、审计要求转化为代码检测规则,为客户提供合规规则转化服务。
在具体产品方面,海云安将业内主流的DAST/IAST/SAST三种应用安全测试技术进行了集成、融合,推出了SISS智能交互式检测系统。这一产品的最大优势在于能够帮助安全人员解决某一具体安全检测产品功能单一的问题。
相较而言,长期在移动端的安全能力积累以及相关实践经验,是海云安在这一领域的优势,尽管其开发安全所针对的并非只是移动端,但结合其前端的移动应用安全能力,同后端的开发安全工具相结合,相比众多仅提供单一开发安全工具的厂商而言,其覆盖能力较强。
推荐厂商三:开源网安厂商介绍:
开源网安(深圳)技术有限公司(以下简称“开源网安”)成立于2013年,是业内软件安全行业老牌厂商,专注于软件安全领域技术研究,以S-SDLC解决方案为核心,以S-SDLC平台为载体,向不同行业的客户提供覆盖软件开发全生命周期的软件安全开发咨询和落地服务。
推荐理由:
开源网安是国内最早一批涉足软件安全垂直领域的安全企业,其成立前,其CEO万振华团队曾在华为软件安全保障部门任职,并在后期带领团队为华为提供S-SDLC服务,并建立运营OWASP中国社区。在此期间积累的技术能力、行业沉淀和甲方安全经验为开源网安的起步打下良好基础。
凭借在SDL方面的多年建设经验,开源网安以华为为起点,横向拓展服务了不同行业的诸多大型企业,建立形成了一套成熟的S-SDLC服务体系。开源网安目前已经建立了完整的软件安全开发工具链(IAST、SAST、SCA、FUZZ、RASP),能够支撑企业在S-SDLC、DevSecOps等模式下在不同阶段的安全需求。
开源网安在业内有着独特的甲方视角,包括其CEO在内的核心安全团队班底均出自华为、思科、惠普等甲方企业,让他们能够立足甲方视角来提供咨询和培训。因此,开源网安也更倾向于为客户提供全套软件开发安全体系,以咨询服务、安全测试工具和培训体系为三大抓手,而非以具体产品作为最大卖点,这也是开源网安独到的基因和优势。
推荐厂商四:默安科技厂商介绍:
杭州默安科技有限公司(以下简称“默安科技”)成立于2016年,主要面向政府和企业提供以左移开发安全(DevSecOps)与智慧运营安全(AISecOps)为核心的下一代企业安全体系。当前已在北京、上海、广州、深圳以及其他十余个省份完成业务和服务网络的覆盖,形成多地研发、营销和服务的战略格局。
推荐理由:
默安科技因其欺骗防御技术在攻防演练中的出色表现被业界所熟知,近两年,随着默安在软件开发安全技术研究方面的投入加大,其开发安全产品线也日趋成熟和完善,并成为其自身的主要发展方向之一。
默安科技自主研发的安全开发解决方案可提供一套完整“产品+服务+平台”的SDL/DevSecOps全流程方案,其雳鉴产品中集成了包括威胁建模STAC、白盒代码安全检查SAST、软件成分分析SCA、交互式安全测试IAST、黑盒应用安全扫描DAST、开发流程三同步管理平台六大工具,与主流CI/CD系统无缝集成,可满足客户不同阶段的开发安全需求。
在此前同默安科技的沟通中,我们发现其在开发安全市场中主打产品+服务相结合的策略。在他们眼中,网络安全是一项动态的系统性工程,安全是产品与服务的有机结合,DevSecOps在企业用户面前仍然是一个新兴技术领域,需要辅以大量安全服务循序渐进,在提供安全产品的同时介入安全专家支撑,能够进一步降低企业开发安全能力建设的门槛。简而言之,提供工具是一部分,让用户用得起来并能够用得好才能确保达到相关安全建设的目的。
值得一提的是,默安科技雳鉴IAST和雳鉴SCA曾获得Gartner的认可与推荐,分别入选《Gartner年应用安全技术成熟度曲线,2021》和《Gartner软件成分分析(SCA)市场指南,2020》。
推荐厂商五:奇安信代码安全实验室厂商介绍:
奇安信代码安全实验室是奇安信集团旗下专注于软件源代码安全分析技术、二进制漏洞挖掘技术研究与开发的团队。奇安信代码安全实验室相关产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。
推荐理由:
在DevSecOps工具链方面,奇安信代码实验室主要提供SAST(代码卫士)和SCA(开源卫士)两款工具类产品。奇安信代码卫士是一套静态应用程序安全测试系统,可检测1300多种源代码安全缺陷,支持C、C++、C#、Objective-C、Swift、Java、JavaScript、PHP、Python、Cobol、Go等20多种编程语言。据悉,代码卫士也是软件开发安全领域第一个获得公安部颁发的销售许可证的商用产品。
奇安信开源卫士是一套集开源软件识别与安全管控于一体的软件成分分析系统,通过智能化数据收集引擎在全球范围内获取开源软件信息和漏洞信息,帮助客户掌握开源软件资产状况, 及时获取开源软件漏洞情报,降低由开源软件带来的安全风险,奇安信开源卫士目前可识别4000多万个开源软件版本,兼容NVD、CNNVD、CNVD等多个漏洞库。
相较业内同类DevSecOps理念的厂商而言,奇安信代码实验室的产品线并不够广,但同时也能看到他们将SAST做得足够深,并已有400+个客户采购使用,在丰富的客户场景中得到打磨,这意味着其实战能力也已经过频繁的验证。
与此同时,奇安信SAST代码卫士产品具有很强大的平台优势,该产品目前已有400+个客户采购使用,在丰富的客户场景中得到了丰富的打磨。其SCA开源卫士产品能够叠加奇安信在威胁情报、漏洞攻防、安全运营等多方面的能力,为企业用户带来更体系化的支撑。
推荐厂商六:悬镜安全厂商介绍:
悬镜安全(北京安普诺信息技术有限公司)是由北京大学网络安全技术研究团队“XMIRROR”发起创立,致力以AI技术赋能敏捷安全,专注于DevSecOps软件供应链持续威胁一体化检测防御。核心的DevSecOps智适应威胁管理解决方案包括以深度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等多个维度的自主创新产品及实战攻防对抗为特色的政企安全服务,为金融、能源、泛互联网、IoT、云服务及汽车制造等行业用户提供创新灵活的智适应安全管家解决方案。
推荐理由:
相比之前推荐的厂商,悬镜安全则是一家完全专注于DevSecOps领域的安全厂商,其于2020年曾发布了《2020 DevSecOps行业洞察报告》,同时推出了业内首个DevSecOps安全工具金字塔,对悬镜安全对该领域的认知情况以及未来相关技术、发展趋势做了详尽阐述。DevSecOps安全工具金字塔的发布在业内引起了广泛重视,让不同IT背景的研发人员更深入地了解DevSecOps是什么,以及DevSecOps最终要到哪里去,为DevSecOps的落地与实施起到了良好的推动作用。
2021年7月,悬镜安全在自己主办的中国首届DevSecOps敏捷安全大会上再次发布了DevSecOps安全工具金字塔2.0版本,在紧跟DevSecOps前沿技术的同时,也更多地结合自身在这一年多的实践,继续推动DevSecOps的后续落地。
在开发安全领域,新兴厂商和专精厂商基本都会选择IAST工具作为切入点,其主要原因是IAST主要基于请求、代码、数据流、控制流综合分析判断漏洞缺陷,相比DAST和SAST工具来说,对攻击特征库方面的积累要求较低,同时IAST工具国外安全厂商已有成熟的产品模型可以参考借鉴。
就IAST交互式应用程序安全测试工具来看,当前业内大多数厂商或多或少的借鉴了国外优秀厂商的技术经验,并采取以hook方式对开发语言框架进行自动适配的技术路线,但这样难免会给用户带来性能方面的消耗。
悬镜采用的则是一条纯原创自研的IAST产品路线,以智能算法辅助人工专家筛查的方式,把每一类插桩的情境训练知识、语言知识及场景适配策略当做库来支持,小到每一条规则都是悬镜自己反复研究和设计的。通过这样的方式,悬镜IAST交互式应用程序安全测试平台已经积累了足够庞大的语言知识库、应用上下文情境训练库和策略库。
从用户视角看,首先,这套以知识库作为支撑的技术实现方案有利于减轻安全产品对企业本身的性能消耗,长期来看对用户相对友好;其次,在当前国产化和自主可控的大环境背景下,一套纯原创的技术体系显然更值得肯定,也更加匹配在关键技术上引用自主可控产品的相关要求。
在实际应用场景方面,悬镜安全的灵脉IAST平台目前已在金融、电信、互联网、车联网等行业的高并发场景中进行了深度的应用和打磨,对不同行业用户来说均具备较高的参考价值。
在安全419看来,悬镜安全兼具了技术从业者和科研人员的一些情怀,无论是坚持原创自研技术,还是花费大量人力物力举办行业会议,向业界分享自己对该领域的趋势研判,这都是在悬镜身上看到的难能可贵的闪光点。