最近火爆的“元宇宙”概念，向人們勾勒了數(shù)字世界的未來(lái)發(fā)展形態(tài)。如果說(shuō)物理世界是由物體及背后的分子、原子等組成，那么組成數(shù)字世界的基礎(chǔ)就是成千上萬(wàn)的軟件，以及背后由研發(fā)人員精心設(shè)計(jì)和編寫(xiě)的一行行代碼。而數(shù)字世界的安全風(fēng)險(xiǎn)，就隱藏在這些代碼中。

　　如今，隨著軟件產(chǎn)業(yè)的快速發(fā)展，軟件供應(yīng)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問(wèn)題，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來(lái)越大。從2020年12月SolarWinds遭遇國(guó)家級(jí)APT團(tuán)伙供應(yīng)鏈攻擊，到今年2月，微軟、蘋(píng)果、PayPal、特斯拉、優(yōu)步等35家國(guó)際大型科技公司內(nèi)網(wǎng)被軟件供應(yīng)鏈攻擊成功入侵，針對(duì)軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長(zhǎng)態(tài)勢(shì)，造成的危害也越來(lái)越嚴(yán)重。作為保障軟件供應(yīng)鏈安全的重要手段，軟件開(kāi)發(fā)安全相關(guān)技術(shù)和產(chǎn)品受到越來(lái)越多的關(guān)注。

　　為了幫助企業(yè)在源頭解決軟件開(kāi)發(fā)安全問(wèn)題，當(dāng)前開(kāi)發(fā)安全廠商的主流做法是，向企業(yè)用戶(hù)提供包括SAST靜態(tài)應(yīng)用程序安全測(cè)試、DAST動(dòng)態(tài)應(yīng)用程序安全測(cè)試、IAST交互式應(yīng)用程序安全測(cè)試、SCA軟件成分分析以及Fuzzing模糊測(cè)試等不同安全工具，在軟件開(kāi)發(fā)流程中的不同階段介入安全手段，以幫助企業(yè)降低軟件可能存在的安全風(fēng)險(xiǎn)。

　　在此前對(duì)多家開(kāi)發(fā)安全領(lǐng)域廠商的拜訪中，許多行業(yè)資深人士談到，奇安信「代碼安全實(shí)驗(yàn)室」在SAST和SCA兩大工具方面建樹(shù)頗高。于是，帶著一探究竟的想法，安全419來(lái)到奇安信，并有幸拜訪了代碼安全事業(yè)部總經(jīng)理、代碼安全實(shí)驗(yàn)室主任黃永剛，邀請(qǐng)他為我們分享了自身對(duì)開(kāi)發(fā)安全領(lǐng)域的認(rèn)知和洞察。

　　黃永剛向我們介紹，奇安信代碼安全實(shí)驗(yàn)室成立于2011年，在彼時(shí)那個(gè)大環(huán)境下，國(guó)內(nèi)主流的安全廠商基本都在做運(yùn)行防護(hù)類(lèi)的安全產(chǎn)品，比如防火墻、IDS/IPS等等。在黃永剛看來(lái)，防護(hù)設(shè)備都是在軟件部署運(yùn)行之后發(fā)生作用的，去做漏洞掃描、補(bǔ)丁修復(fù)以及防止外部攻擊等行為，但安全事件很多都是因?yàn)檐浖┒匆鸬模虼私鉀Q軟件自身的安全問(wèn)題才是根本之道。因此，團(tuán)隊(duì)選擇了軟件開(kāi)發(fā)安全的技術(shù)方向，從軟件漏洞研究開(kāi)始著手，試圖回歸安全的本質(zhì)，從源頭尋找一條更有效的安全解決方案。

　　黃永剛表示，軟件開(kāi)發(fā)安全產(chǎn)品的技術(shù)門(mén)檻很高，當(dāng)時(shí)從事相關(guān)研究的人也很少，而自己和團(tuán)隊(duì)已經(jīng)在這個(gè)領(lǐng)域里探索了超過(guò)十年，看著軟件開(kāi)發(fā)安全從一個(gè)技術(shù)大冷門(mén)走向熱門(mén)風(fēng)口，相關(guān)領(lǐng)域的廠商也大量涌入，才感覺(jué)大家的堅(jiān)守得到了回報(bào)，“畢竟一路走來(lái)也很寂寞，中間也曾經(jīng)動(dòng)搖過(guò)，但幸好一直堅(jiān)持了下來(lái)。”他笑著說(shuō)道。

　　之所以代碼安全實(shí)驗(yàn)室能始終堅(jiān)持這條研究路線，也是建立在一個(gè)基礎(chǔ)的認(rèn)知和根本的思考之上：軟件是構(gòu)建數(shù)字世界的“虛擬人”，各種軟件在數(shù)字世界里各司其職，就如同人在物理世界中從事不同的工作一樣。隨著數(shù)字時(shí)代的到來(lái)，軟件已經(jīng)成為支撐社會(huì)正常運(yùn)轉(zhuǎn)的最基本元素之一，地位越來(lái)越重要，在很多領(lǐng)域軟件已經(jīng)代替了人，軟件自身的安全性問(wèn)題正在成為社會(huì)的根本性、基礎(chǔ)性問(wèn)題。

　　黃永剛舉了一個(gè)形象的例子：我們可以想象一下，假使一個(gè)人即將進(jìn)入一個(gè)重要單位工作，那么他通常會(huì)面臨嚴(yán)格的背景調(diào)查，對(duì)其個(gè)人的思想品德、作風(fēng)紀(jì)律、家庭背景、犯罪記錄等等進(jìn)行調(diào)查訪問(wèn)，通過(guò)了背景調(diào)查，他才能被錄用。

　　在他看來(lái)，與人相比，軟件在進(jìn)入重要單位時(shí)，獲得的權(quán)限比員工甚至更高，一些核心的業(yè)務(wù)系統(tǒng)會(huì)存儲(chǔ)和處理這個(gè)單位最敏感的核心數(shù)據(jù)，但卻很少有人關(guān)注到軟件的“背景調(diào)查”工作。企業(yè)采購(gòu)了一個(gè)軟件后，或許會(huì)知道它是哪家廠商提供的，但它是誰(shuí)開(kāi)發(fā)的？開(kāi)發(fā)時(shí)是否使用了開(kāi)源組件？是否使用了第三方組件？是否由外包團(tuán)隊(duì)開(kāi)發(fā)？軟件是否存在安全漏洞？是否存在未聲明的維護(hù)后門(mén)？這一切都是被忽視的隱秘角落，存在著巨大的安全隱患。

　　黃永剛表示，原來(lái)大家所談的軟件安全，更多是軟件本身的安全、代碼的安全。但現(xiàn)在軟件安全的內(nèi)涵已經(jīng)將軟件供應(yīng)鏈囊括在內(nèi)，“如果此前定義軟件的實(shí)體是一個(gè)圈，那么現(xiàn)在在這個(gè)圈的周?chē)€散布著由軟件供應(yīng)鏈組成的與之相連接的許多個(gè)圈。我們現(xiàn)在談軟件安全，應(yīng)該是指軟件及其供應(yīng)鏈安全，其內(nèi)涵已經(jīng)發(fā)生了變化。”

　　國(guó)內(nèi)SAST主流市場(chǎng)被外企占據(jù)背景下

　　代碼衛(wèi)士產(chǎn)品應(yīng)運(yùn)而生

　　據(jù)安全419此前了解，奇安信代碼安全實(shí)驗(yàn)室目前只推出了代碼衛(wèi)士（SAST）和開(kāi)源衛(wèi)士（SCA）兩大產(chǎn)品，為何是這兩個(gè)工具？而非IAST等其他方向？這背后是否有著怎樣的技術(shù)思考？

　　針對(duì)這一疑問(wèn)，黃永剛告訴我們，一方面SAST產(chǎn)品先天有著技術(shù)方面的優(yōu)勢(shì)，它適用性強(qiáng)，只要是編程語(yǔ)言方面能夠支持，無(wú)論是什么形態(tài)的軟件都能夠適用，可以較好的滿(mǎn)足企業(yè)的安全需求；另一方面，在代碼安全實(shí)驗(yàn)室成立之時(shí)，國(guó)內(nèi)的SAST產(chǎn)品市場(chǎng)基本上被國(guó)外安全廠商所把控，金融、能源等重要的關(guān)鍵信息基礎(chǔ)設(shè)施單位也不例外。因此，代碼安全實(shí)驗(yàn)室當(dāng)時(shí)的理想和主要攻關(guān)任務(wù)就是研發(fā)出一款中國(guó)安全企業(yè)自研的SAST產(chǎn)品，以替代國(guó)外廠商，這也是代碼衛(wèi)士產(chǎn)品的由來(lái)。據(jù)他介紹，代碼衛(wèi)士是軟件開(kāi)發(fā)安全領(lǐng)域第一款由國(guó)內(nèi)團(tuán)隊(duì)完全自主研發(fā)的商用產(chǎn)品，也是這個(gè)領(lǐng)域第一個(gè)獲得公安部頒發(fā)的銷(xiāo)售許可證的產(chǎn)品。

　　開(kāi)源衛(wèi)士這款產(chǎn)品則是隨著軟件開(kāi)發(fā)模式的發(fā)展變化和安全攻防形勢(shì)的演進(jìn)，由客戶(hù)痛點(diǎn)催生而來(lái)。根據(jù)代碼安全實(shí)驗(yàn)室6月份發(fā)布的《2021年中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》顯示，國(guó)內(nèi)企業(yè)軟件項(xiàng)目100％使用開(kāi)源軟件，超8成軟件項(xiàng)目存在已知高危開(kāi)源軟件漏洞。為了應(yīng)對(duì)迅速增長(zhǎng)的開(kāi)源軟件安全風(fēng)險(xiǎn)，代碼安全實(shí)驗(yàn)室打造了開(kāi)源衛(wèi)士產(chǎn)品。它是一套集開(kāi)源軟件識(shí)別與安全管控于一體的軟件成分風(fēng)險(xiǎn)分析系統(tǒng)，通過(guò)智能化數(shù)據(jù)收集引擎在全球范圍內(nèi)廣泛獲取開(kāi)源軟件信息和安全風(fēng)險(xiǎn)信息，幫助客戶(hù)掌握開(kāi)源軟件資產(chǎn)狀況， 及時(shí)獲取開(kāi)源軟件威脅情報(bào)，消減由于使用開(kāi)源軟件帶來(lái)的安全風(fēng)險(xiǎn)。

　　黃永剛回憶道，2015年時(shí)，代碼安全實(shí)驗(yàn)室團(tuán)隊(duì)曾經(jīng)畫(huà)過(guò)一張藍(lán)圖，將實(shí)驗(yàn)室要做的開(kāi)發(fā)安全產(chǎn)品的類(lèi)別、支持的平臺(tái)、支持的軟件形態(tài)、主持的編程語(yǔ)言、技術(shù)實(shí)現(xiàn)路線、要實(shí)現(xiàn)的業(yè)務(wù)功能，以及產(chǎn)品對(duì)標(biāo)的對(duì)象等清晰的繪制出來(lái)，“如今再回頭去看這張藍(lán)圖，我們依然在圍繞著此前繪制的方向穩(wěn)步發(fā)展，未來(lái)我們會(huì)擴(kuò)展更多的產(chǎn)品品類(lèi)，為用戶(hù)打造更完整的，面向軟件供應(yīng)鏈全鏈條的安全解決方案。”

　　他同時(shí)表示，代碼安全實(shí)驗(yàn)室強(qiáng)調(diào)的第一原則是在一個(gè)技術(shù)方向、一個(gè)產(chǎn)品上首先要做深做精，在客戶(hù)的應(yīng)用場(chǎng)景上要能實(shí)現(xiàn)價(jià)值閉環(huán)，要能幫助客戶(hù)真正解決實(shí)際的問(wèn)題，然后在此基礎(chǔ)之上再不斷的擴(kuò)展。

　　“攻擊左移”帶來(lái)了安全左移

　　開(kāi)發(fā)安全領(lǐng)域已經(jīng)開(kāi)始直面攻防一線

　　“在開(kāi)發(fā)安全領(lǐng)域，大家會(huì)經(jīng)常提到的一個(gè)詞是‘安全左移’，那么為什么安全會(huì)左移？其實(shí)回答這個(gè)問(wèn)題不難，因?yàn)楣粽谧笠啤！?/p>

　　他談到，此前開(kāi)發(fā)安全領(lǐng)域里的產(chǎn)品廠商，通常不需要直面黑客攻擊的壓力，安全事件發(fā)生時(shí)，往往是傳統(tǒng)安全產(chǎn)品廠商第一時(shí)間站出來(lái)做應(yīng)急響應(yīng)。但隨著攻擊不斷的左移到軟件開(kāi)發(fā)環(huán)節(jié)，這一情況正在迅速的發(fā)生變化。

　　軟件供應(yīng)鏈可以大致分為開(kāi)發(fā)、交付、運(yùn)行三個(gè)環(huán)節(jié)，每個(gè)環(huán)節(jié)都可能會(huì)引入軟件供應(yīng)鏈安全風(fēng)險(xiǎn)從而遭受攻擊。軟件開(kāi)發(fā)環(huán)節(jié)的安全防護(hù)相對(duì)來(lái)說(shuō)比較薄弱，而且作為軟件供應(yīng)鏈的上游環(huán)節(jié)，軟件開(kāi)發(fā)環(huán)節(jié)的安全問(wèn)題會(huì)傳導(dǎo)到下游環(huán)節(jié)并被放大。而攻擊者歷來(lái)追逐性?xún)r(jià)比最高的攻擊方式，所以攻擊左移是攻擊者的自然選擇。攻擊左移對(duì)開(kāi)發(fā)安全領(lǐng)域的公司和產(chǎn)品提出了更高的要求，攻擊就發(fā)生在眼前，開(kāi)發(fā)安全類(lèi)產(chǎn)品需要針對(duì)攻防動(dòng)態(tài)的變化不斷的更新能力，更新知識(shí)庫(kù)，與時(shí)間賽跑，與黑客賽跑，并要做到持續(xù)運(yùn)營(yíng)。

　　“開(kāi)發(fā)安全已經(jīng)身處攻防場(chǎng)景之中了，比如在某一開(kāi)源組件爆發(fā)安全漏洞后，廠商是否能第一時(shí)間獲取漏洞情報(bào)，安全產(chǎn)品是否能快速形成檢測(cè)能力并交付到客戶(hù)手中，這是非常關(guān)鍵的，這需要非常強(qiáng)的產(chǎn)品安全運(yùn)營(yíng)能力，這對(duì)于傳統(tǒng)做開(kāi)發(fā)安全的公司挑戰(zhàn)是很大的，而奇安信的漏洞研究能力、威脅情報(bào)能力、安全運(yùn)營(yíng)體系的優(yōu)勢(shì)就凸顯出來(lái)。”

　　強(qiáng)大漏洞研究能力+豐富的應(yīng)用場(chǎng)景打磨

　　構(gòu)成奇安信代碼安全產(chǎn)品的先天優(yōu)勢(shì)

　　黃永剛談到，打造一款好的開(kāi)發(fā)安全產(chǎn)品需要兩大因素。

　　其一是需要強(qiáng)大的漏洞研究能力，軟件開(kāi)發(fā)安全領(lǐng)域最終要為客戶(hù)解決軟件的安全問(wèn)題，而想要發(fā)現(xiàn)軟件自身的安全缺陷、發(fā)現(xiàn)漏洞，就意味著必須擁有核心的漏洞研究能力。客戶(hù)在選擇開(kāi)發(fā)安全類(lèi)產(chǎn)品時(shí)，廠商的漏洞研究能力常常會(huì)被忽視，但事實(shí)上，不懂漏洞和攻防，就很難有足夠的技術(shù)積淀和經(jīng)驗(yàn)積累，這樣做出的安全產(chǎn)品自然也很難在漏洞檢測(cè)時(shí)發(fā)揮出應(yīng)有的作用。

　　他告訴我們，奇安信代碼安全實(shí)驗(yàn)室一直在支撐國(guó)家級(jí)漏洞平臺(tái)的技術(shù)工作，多次向國(guó)家信息安全漏洞庫(kù) （CNNVD）和國(guó)家信息安全漏洞共享平臺(tái) （CNVD）報(bào)送原創(chuàng)通用型漏洞信息并獲得表彰。實(shí)驗(yàn)室還幫助微軟、谷歌、蘋(píng)果、Cisco、Red Hat、Ubuntu、Oracle、Adobe、VMware、阿里云、華為等大型廠商和機(jī)構(gòu)的商用產(chǎn)品或開(kāi)源項(xiàng)目發(fā)現(xiàn)了數(shù)百個(gè)安全缺陷和漏洞，并獲得公開(kāi)致謝。

　　其二是擁有豐富的用戶(hù)場(chǎng)景，對(duì)產(chǎn)品進(jìn)行不斷的錘煉。To B安全產(chǎn)品走完從產(chǎn)品做出來(lái)，到與客戶(hù)場(chǎng)景磨合，再到客戶(hù)反饋不足進(jìn)行修改完善這個(gè)大的閉環(huán)，通常需要一個(gè)相對(duì)較長(zhǎng)的周期。

　　這恰恰是奇安信相較于其他開(kāi)發(fā)安全廠商擁有的最大優(yōu)勢(shì)：開(kāi)發(fā)安全廠商普遍體量不大，安全產(chǎn)品天生就是做給別人用的，而奇安信則有較大的不同，由于集團(tuán)自身?yè)碛袛?shù)十條產(chǎn)品線、數(shù)千名研發(fā)人員，從硬件到軟件再到云，覆蓋了大多數(shù)的應(yīng)用場(chǎng)景品類(lèi)，可以說(shuō)先天就是一個(gè)非常豐富的試驗(yàn)場(chǎng)。因此代碼安全實(shí)驗(yàn)室的產(chǎn)品或新功能會(huì)首先提供給內(nèi)部使用，在內(nèi)部先打磨，最后再放到客戶(hù)的場(chǎng)景里落地。

　　“目前奇安信代碼安全產(chǎn)品在國(guó)內(nèi)已經(jīng)擁有400多家大型客戶(hù)，覆蓋了政府、軍隊(duì)、金融、能源、運(yùn)營(yíng)商、醫(yī)療衛(wèi)生、教育、汽車(chē)、航空、互聯(lián)網(wǎng)等行業(yè)領(lǐng)域，產(chǎn)品在客戶(hù)側(cè)經(jīng)過(guò)了各種應(yīng)用場(chǎng)景的考驗(yàn)，已經(jīng)比較成熟。同時(shí)作為一個(gè)綜合性安全廠商，奇安信的安全能力是一個(gè)有機(jī)的整體，我們龐大的安全能力中心、完善的威脅情報(bào)體系、安全運(yùn)營(yíng)和服務(wù)體系會(huì)給我們的產(chǎn)品提供非常多的支撐，這些因素共 同構(gòu)成了奇安信代碼安全產(chǎn)品最大的優(yōu)勢(shì)和門(mén)檻。”

　　珍惜行業(yè)發(fā)展的土壤

　　一花獨(dú)放不是春，百花齊放春滿(mǎn)園

　　最后，談到當(dāng)前國(guó)內(nèi)開(kāi)發(fā)安全市場(chǎng)的競(jìng)爭(zhēng)格局時(shí)，黃永剛表示，雖然國(guó)內(nèi)開(kāi)發(fā)安全市場(chǎng)整體起步較晚，但目前國(guó)外廠商提供的安全產(chǎn)品正在被逐步替代，國(guó)內(nèi)產(chǎn)品必將成為這個(gè)領(lǐng)域的主流。而就國(guó)內(nèi)友商來(lái)說(shuō)，現(xiàn)在談競(jìng)爭(zhēng)還為時(shí)尚早。

　　他認(rèn)為，如果大家想要真正的在軟件開(kāi)發(fā)安全的領(lǐng)域中長(zhǎng)期發(fā)展，應(yīng)該把關(guān)注點(diǎn)放在產(chǎn)品的能力提升和產(chǎn)品化程度的提高上面，加大產(chǎn)品的研發(fā)投入，在客戶(hù)的場(chǎng)景里完成價(jià)值的閉環(huán)，不斷的迭代能力。

　　“在軟件開(kāi)發(fā)安全領(lǐng)域很少有廠商能夠真正的完全覆蓋所有品類(lèi)，做好每一款產(chǎn)品都需要持續(xù)不間斷的投入和運(yùn)營(yíng)。開(kāi)發(fā)安全產(chǎn)品是用戶(hù)價(jià)值驅(qū)動(dòng)的，只有把產(chǎn)品做好，讓用戶(hù)來(lái)說(shuō)話(huà)才是硬道理。我們每個(gè)人都要珍惜來(lái)之不易的土壤和環(huán)境，做真正對(duì)行業(yè)和用戶(hù)有價(jià)值的事情。百花齊放才真正象征行業(yè)春天的到來(lái)。”黃永剛最后說(shuō)道。