《軟件供應鏈安全解決方案》系列訪談邀請到一家長期專注于DevSecOps、軟件供應鏈安全領域的老牌企業——杭州孝道科技有限公司（在業內大家更習慣于用另外一個名字去稱呼他們——安全玻璃盒，因此以下內容均使用這一名稱進行闡述），接下來，我們就一同了解一下他們在該領域的積累和思考。

　　安全玻璃盒聯合創始人、CTO徐鋒于訪談中表示，在早期剛開始涉及開發安全乃至軟件供應鏈安全這個領域時，能夠感受到市場層面對其仍缺乏關注，雖然當前基礎安全建設已基本完善，但應用的內生安全仍未能夠獲得足夠的重視。對于國內市場，目前仍然處在一個起步階段，無論是DevSecOps還是安全左移的概念，雖已被逐步接受和認可，可在實際落地過程中，客戶群體仍主要是以部分行業的頭部企業為主，想要傳導到腰部或尾部的用戶，仍需要一個相對較長的過程。

　　在談到用戶需求時，徐鋒則從以下幾個方面進行了闡述：

　　1、頭部用戶（客戶）。這類用戶的特點是在整體網絡安全投入的資源以及預算等方面較為充足，在實踐以及落地方面都有著一定的能力和經驗。如部分互聯網、金融等行業的大型企業，對包括開發安全在內的各個方面關注較早，在SDL體系的落地方面也普遍做得較為到位。對于這類用戶群體，在開發安全層面更多是需要引入專業的能力（如IAST、SCA等），隨后他們依靠自身能力去協同第三方做好整體平臺的集成，形成DevSecOps工具鏈。

　　2、腰部用戶（客戶）。這類用戶的特點是盡管也具有一定規模，但在網絡安全資源的投入方面同頭部客戶差距較大，且安全團隊、人員相對要少很多，普遍缺乏相關安全建設的能力和經驗，但業務需求端對產品的上線、迭代速度要求同樣很高，因此，它們所面臨的應用安全風險同樣具有較高的風險。相比之下，此類用戶群體對整體解決方案的需求更高，從咨詢、產品再到整個DevSecOps工具鏈建設的支持都需要專業力量去協助和支撐完成。

　　除此之外，他還特別提到了一種類型的用戶群體——無開發團隊用戶。這類用戶的特點是自身沒有開發團隊和人員，在軟件產品開發過程中，他們所參與的只是早期提出需求的階段，剩余所有開發過程都以外包的方式交予外部軟件供應商完成。徐鋒表示，由于各種原因，這類用戶對于供應商的安全管理難以到位，因此會面臨的問題更為嚴重，比如在應用交付時，涉及安全層面存在很多盲區——交付時有無進行過安全測試、是否存在漏洞、軟件組成成分是否清晰、API接口情況如何等等，如果這其中任何一個點存有安全隱患，那么后期安全風險就會增大。

　　針對這類用戶群體，他們所需要的其實也是一整套解決方案，這也是接下來我們要介紹到的安全玻璃盒旗下的解決方案之一—新一代數字化應用安全平臺。

　　“All In One”新一代數字化應用安全平臺

　　深度融合三大能力 支撐用戶開發安全建設

　　面對不同用戶的不同特點以及需求，安全玻璃盒除了不斷地研發、迭代自身產品，讓安全能力獲得持續性提升之外，還有機的將旗下產品進行融合，并以平臺的形式交付給用戶。據了解，新一代數字化應用安全平臺包含了安全玻璃盒的三大安全原子能力，分別是IAST（交互式應用安全測試系統）、開源組件安全檢測與分析系統（SCA）以及RASP（應用的自適應免疫防護）。

　　需要強調的是，該平臺并非是簡單將三個產品能力合并在一起，“這三個能力之間都是有深度耦合以及智能協同的。”徐鋒告訴我們，這個平臺還有一個顯著特點——只需部署一個agent，就可以實現這三個能力。“這意味著用戶在做交互式應用安全測試時，就可以同時有能力去針對漏洞的可達性、可利用性進行測試，相當于將組件安全和IAST有機的結合起來。”

　　另外，借助于深度融合的優勢，在測試過程中遺留下來的包括應用程序的輸入輸出、執行指紋等數據，可以保留到應用的運行階段，為RASP提供更為精準的防御算法。特別值得一提的是，在借助IAST所提供的數據進一步提高防護精度的同時，還能實現補強IAST，針對這一點，徐鋒介紹道，RASP是在執行點進行風險函數的插樁，當發現攻擊行為所利用的是前期IAST沒有覆蓋到的漏洞，相關數據就會并入到IAST中，從而補強IAST的污點分析能力，令平臺對該用戶的安全能力實現有針對性地提升，從而更充分發揮出其在安全效能上的優勢。

　　通過他的簡單介紹可以看出，在新一代數字化應用安全平臺中，是真正實現了三大能力的有機融合，事實上，也正是由于這種融合，令其相比傳統的所謂“縫合怪”類型產品，不僅在能力上還是在易用性上，都有顯著提升，更有效保障用戶的應用從開發到上線整個周期的安全。同時我們還了解到，新一代數字應用安全解決方案也是安全玻璃盒能夠獲得成為IDC Innovators中國DevSecOps技術創新者的重要技術點。

　　圖1：安全玻璃盒-新一代數字化應用安全平臺

　　據我們所接觸到的一個應用該解決方案實際案例，其可實現的功能主要有以下幾點：

　　01 實現在線全面精確可視化的動態代碼檢測、應用漏洞檢測，可利用漏洞驗證與溯源和代碼免疫防御能力，同時具備包括漏洞代碼片段、傳播路徑、修復示例、可利用漏洞的驗證溯源過程以及受攻擊事件過程等定位和分析能力；

　　02 基于運行時開源軟件供應鏈安全的漏洞檢測與許可分析、漏洞自動化驗證和自適應防護能力；

　　03 具備全量 API 發現、漏洞檢測和自適應防護能力；

　　04 具備敏感信息檢測和應用數據安全合規性檢測分析（個人信息保護法、GDPR、 PCI DSS 等）；

　　05 自定義算法引擎和漏洞風險全生命周期管理；

　　06 全面精確可視化的實時風險感知，包括代碼漏洞、應用漏洞、開源軟件供應鏈漏洞與許可分析、全量 API 發現和漏洞檢測以及可利用漏洞驗證和受攻擊事件過程。

　　據介紹，由于其建設和部署都是基于數字應用核心底層架構的特點，對于應用的上層業務，無論是金融、醫療、公共服務和平臺服務以及數據活動都能實現源頭的安全賦能、全生命周期的安全防護。

　　軟件供應鏈安全解決方案

　　從源頭助力企業數字業務安全運轉

　　由于軟件供應鏈攻擊本身具有低成本、高效率的特點，因此具有極強的擴散性和傳導性，與之相關的安全事件在近兩年來更是被頻繁爆出，除了軟件開發者自身損失之外，還會對其供應鏈下游的軟件客戶/用戶群體制造威脅，其風險之大已經讓軟件供應鏈安全成為全球關注的重點領域之一。

　　依靠自身常年在開發安全領域積累的經驗和能力，安全玻璃盒也適時推出了軟件供應鏈安全解決方案。徐鋒告訴我們，軟件供應鏈安全融合了整個安全開發的全生命周期，因此相應的解決方案也應覆蓋這一周期。

　　軟件供應鏈可以大致分為開發、交付、運行三個環節，每個環節都可能會引入軟件供應鏈安全風險從而遭受攻擊。軟件開發環節的安全防護相對來說比較薄弱，而且作為軟件供應鏈的上游環節，軟件開發環節的安全問題會傳導到下游環節并被放大。而攻擊者歷來追逐性價比最高的攻擊方式，所以攻擊左移是攻擊者的自然選擇，因而這也對開發安全領域的公司和產品提出了更高的要求，

　　因此，安全必須要盡可能早的融入到軟件開發流程之中，徐鋒介紹道，安全玻璃盒推出的軟件供應鏈安全解決方案會在軟件開發過程中的設計階段開始介入，包括框架選型的支持，而且除了提供相應的漏洞信息之外，還會加入包括對相關社區的成熟度、項目的成熟度、是否有執行嚴格的安全策略等多個維度進行評估。如幫助甲方去分析相關框架、項目的主導公司是否值得信任，包括對過往的記錄、當前的表現以及對其未來的預期做出分析和判斷，以避免甲方在開發過程中或是開發完成后的軟件運營過程中，因該框架、項目的主導公司出現問題而導致自身的軟件在后續開發、運營過程中出現問題而導致業務受損的情況出現。

　　在我們看來，這種服務極為重要，畢竟前期盡可能的規避風險遠比后期彌補風險在成本上更具可控性，無論是上述哪種類型的用戶，都應力爭做到這一點。

　　圖2：安全玻璃盒-軟件供應鏈安全解決方案總體架構

　　應用運行時安全也是軟件供應鏈安全中極為重要的一個環節，徐鋒表示，在應用軟件遭遇突發漏洞影響的情況，當相關事件爆發后，作為供應鏈中任何一個參與者都會面臨兩個問題，一是需要明確了解哪些項目或軟件是受影響的，二是應急響應。如果說前者通過供應鏈安全解決方案中的SCA可以快速排查出來的話，那么后者則對響應時間的要求很高，這個時候就需要依靠RASP的防護能力來保證在沒有補丁的情況下先行防護，這是它最大的優勢所在，由于具有應用的上下文，它可以對應用程序的行為結合上下文進行持續分析，一旦發現攻擊行為便可立刻進行響應。

　　事實上，防護的能力對于企業用戶而言是至關重要的，在當前這個數字業務的時代，應用軟件承載著企業的業務，而修復安全問題需要時間，有時甚至需要停機處理。徐鋒表示，這種業務中斷的損失對于企業用戶而言是難以接受的，因此通過動態防御的方式先行防護，幫助用戶爭取更多的時間窗口，在下一個迭代中去徹底地修復問題組件。當前，這一能力均已融合在上述安全玻璃盒所提供的兩個解決方案之中。

　　整體來看，安全玻璃盒此款解決方案覆蓋了軟件供應鏈安全的各個重要環節，且依靠長年在技術研發、應用落地等多方面沉淀的優勢，在產品能力、服務能力雙方面都達到了較高的水準，而且該解決方案的自動化能力較強，易用性表現突出，附議安全玻璃盒安全專家提供的服務支撐，可有效幫助用戶建立適合自身的軟件供應鏈安全體系，保障企業數字化轉型過程的順利開展。

　　某金融企業應用案例

　　從系統開發源頭構建完整的開源軟件供應鏈安全體系

　　在與安全玻璃盒溝通的過程中，我們也了解了他們的部分案例，其中之一為針對某金融企業客戶，其采用軟件供應鏈安全解決方案的目的在于解決規范開源軟件在其各個數字業務系統生命周期中的安全采集、安全管理及安全使用，從系統開發源頭構建完整的開源軟件供應鏈安全體系。從對知悉開源軟件中的漏洞，預防新漏洞的產生，修復或消除漏洞三個不同角度來解決開源軟件帶來的安全威脅。確保開源軟件供應鏈的完整性、保密性、可用性、可控性。

　　據了解，該案例的主要任務是為用戶提供包括軟件成分分析能力（SCA）、開源資產的管理能力、 DevSecOps 集成能力、開源數據的收集和分析能力以及對供應商的管控能力，從而實現對其使用的開源軟件在整個軟件生命周期的安全管理。

　　在對現有目標數字業務系統的治理方面，安全玻璃盒的解決方案可以實現對不同來源、不同階段項目的開源軟件成分進行全面的溯源、整合及分析。

　　在開源軟件評估及組件選型方面，該解決方案會依據數據模型（圖2），對用戶業務系統及引入的開源項目進行各個維度的數據采集，最終輸出業務系統的綜合評估分數，協助開發和安全人員對開源軟件供應鏈產品進行合理的選擇。同時，在開源的知識庫支持下，該解決方案根據開源軟件信息的歸類，幫助用戶的開發人員進行架構和組件選型，并且對不同組件進行有效評分，進而協助開發人員快速選型。

　　圖3：安全玻璃盒-開源項目評估及組件選型數據模型

　　在對開源資產進行管理及開源組件漏洞許可識別方面，安全玻璃盒的解決方案除治理該系統本身應用中所引入的第三方組件之外，還可通過開源資產的管理功能對整個項目以及引入的第三方成分建立起開源軟件安全有效的跟蹤機制，可及時有效發現開源組件及相關集成的開源產品的漏洞，根據系統體檢的修復建議，在第一時間采取相關修復和防護措施；在漏洞層面，在基于用戶業務系統開源軟件成分分析的結果，根據獲取的開源組件信息，分析引擎會對比開源知識庫。根據組件的版本、名稱以及組件特性值，獲取業務系統相關的開源軟件活躍度、技術支持、更新 頻率等信息，形成有效的檢測報告，協助用戶的安全部門或研發部門相關人員進行合理評估，而且對于存在漏洞的組件，該解決方案也會提供修復建議和相關替代版本的推薦。

　　在基于DevSecOps的插件集成方面，該解決方案實現了DevSecOps工具在整個項目開發過程中的無縫接入，從需求、編碼到實施和運維，進行全生命周期的安全賦能，推進各級業務系統的安全串聯。

　　在供應商安全評估管理方面，該解決方案可以在該用戶原有的管理基礎上，提供對用戶的供應商安全能力在公司資格、人員能力、服務能力、產品認證等多個維度進行綜合評估，有效幫助用戶確保產品源頭的安全。

　　在與開發安全相關的其他建設方面，安全玻璃盒通過提供包括以合作的方式協助用戶構建包括供應鏈安全管理部門、制定相關安全策略和管理制度，這些內容均覆蓋了包括人員安全、開發安全、維護安全以及供應商管理等多個方面，確保供應鏈安全的有效落地。

　　最終成果方面，在運行數月并經過應用于各個階段的實際效果驗證后，該用戶認為，安全玻璃盒的軟件供應鏈安全解決方案不但對原有項目的開源組件進行了有效的梳理和升級，并且在著名的Log4j 2漏洞爆發后，幫助其安全人員快速定位有使用該組件的系統并迅速修復，在很大程度上避免了該漏洞可能導致的安全威脅和經濟損失。同時，該用戶還將數字業務系統的安全屬性與之前傳統方式進行的安全成效進行了對比分析，結果顯示，無論是在時間還是人力的成本上都有了顯著改善。

　　產品及工具只是手段

　　系統性服務助力用戶實現預期效果

　　在此前我們與安全企業以及甲方用戶的交流中，了解到當前有一較大的問題在于安全工具、產品或解決方案本身具備良好能力，但在用戶端落地應用過程中，卻并未發揮出預期的效果，該問題在開發安全領域中同樣存在，針對這一情況，徐鋒表示，“安全領域中的工具、產品，都是一種手段，更重要的還是在于人，很多時候，工具和產品主要在于提高效率以降低人的成本。”

　　安全玻璃盒在應對這一問題時的思路在于，如想幫助用戶真正用好工具、產品或解決方案，以最終達成預期中的安全建設和能力，應首先從文化角度去思考。“對于開發人員，需要始終對其強調一個核心思想——安全責任的共擔。安全理念、安全意識都是開發人員應具備的素養。”徐鋒強調道，“安全是整個團隊的事情，而不僅僅是安全部門的事情。”

　　徐鋒認為，“如果只是將解決方案簡單交付給用戶，在推廣使用的過程中未能將開發人員包含在其中，那么該解決方案的實施基本上就是失敗的。”談及解決方案推廣實施過程中的阻力這一問題時，他告訴我們，最大阻力主要源自于責任邊界的劃分。“用戶端的安全開發項目，多數都是由安全部門發起，但如果該項目未能和研發部門之間打通，那么這個項目必然無法達到建設它的預期。”面對這一阻力，安全玻璃盒的做法是幫助用戶做好向上管理。作為安全解決方案的提供商，他們也會積極主動的同客戶的安全部門、研發部門，甚至他們共同的上級部門（如IT部門等）進行溝通和匯報，在整個項目或解決方案交付時，會讓上級管理部門明確了解整個安全開發的理念，只有在獲取上級管理部門的支持后，安全部門和研發部門彼此之間的邊界才會被打破，以保證項目順利實施并達到預期效果。反之，如仍未能打破這層邊界，項目實施難度可想而知，從而很難保證最終的效果。

　　同時，安全玻璃盒也提供了相應的系統性服務，包括安全開發意識培訓、安全開發技能培訓，以幫助甲方用戶提升其開發團隊成員的安全素養，增強安全意識，有利于降低開發人員自身問題導致安全風險出現的概率。同時，在工具、產品以及解決方案的交付過程中，安全玻璃盒也會讓其安全顧問去協助甲方用戶進行推廣和培訓，使得其解決方案可以更容易地在開發人員視角下落地，更好的應用在開發過程之中，以讓用戶真正的用好并解決實際問題。

　　聚焦開發安全及軟件供應鏈安全賽道

　　讓每個用戶都能輕松交付安全、合規的產品

　　徐鋒在訪談的最后告訴我們， 無論是自身的安全能力還是后續的產品布局，安全玻璃盒會始終聚焦于開發安全、軟件供應鏈安全領域。據了解，安全玻璃盒近幾年也在積極地參與安全開發相關標準的建設，包括參與編寫中國聯合網絡通信有限公司研究院主導的《CU-DevSecOps實踐白皮書》、浙江省地方標準《基于安全檢測插件的Web應用系統安全檢測技術規范》、國家工業信息安全發展研究中心主導的團隊標準《軟件安全開發能力要求》以及國家信息安全測評中心主導的國家標準《信息安全技術 安全開發能力評估準則》等開發安全標準。

　　在產品方面，在進一步完善布局，提升能力的同時，會持續關注降低用戶的使用成本，進一步增強產品的易用性，降低使用門檻，以一線開發人員、團隊的視角，幫助他們更好的上手和應用，即便在開發人員欠缺安全經驗、無專業安全人員介入的情況下，也能助力他們開發出更安全的軟件，“這也是我們長期秉承的服務宗旨——讓每個用戶都能輕松交付安全、合規的產品。”

更多信息可以來這里獲取==>>電子技術應用-AET<<