蓝盟IT小贴士,来喽!
通常很多安全研究员在离开象牙塔后会选择进入某大厂积累工作经验,但根据安全419观察,在安全开发这个细分领域,很多研究员选择抱团创业。 如果成立于2014年,由北京大学信息安全实验室孵化的悬垂镜像安全(XMIRROR )团队2015年成立,由上海交通大学G.O.S.S.I.P软件安全研究组孵化的飞语安全团队,以及2021年成立的核心团队。
最近,安全419再次拜访了悬镜安全创始人子芽,邀请他作为学院派出身的DevSecOps从业者代表,为我们,也为致力于安全和DevSecOps领域开发的研究员们分享了7年的悬镜安全创业心得和深入的观察。
与长期接触的工业派相比
学院派有尖端技术的先发优势,但也有不足
首先,我们对子芽提出了这样的问题。 开发安全领域比其他领域更受大学研究者们的欢迎吗? 学院派出身的研究员们与传统的安全产业界出身的员工相比有什么优势?
据子芽介绍,由于高校研究员在学校已经接触了很多前沿研究课题,确实有技术方面的先发优势,但实际上,顾客的真实需求和学术研究存在很大差异,要将学术研究成果转化为商业化产品,还需要很长时间。
以悬链镜安全自身为例,悬链镜安全创始团队在北大时,为国家完成了几个前沿运行时打桩技术的纵向研究课题,在技术方面取得了许多突破。 但是,悬镜安全从学校出来创业,试图将这些学术研究成果实际落地成为安全产品,结果发现并不像想象中那么轻松,最终,经过近4年的长期技术沉淀,悬镜安全实现了从学术研究成果到商业产品的顺利转型。
子芽表示,虽然示波器安全的产品在低误报、精准检测、高覆盖等方面取得了较大的技术突破,但在与企业用户的沟通中,实际上更注重实用场景与业务开发语言的兼容性。 在实验室里,团队模拟了几个复杂的测试环境,但实际上模拟3万、10万、甚至20万节点的高并发环境是不现实的。
“大家在进行学术研究时,大多集中于技术本身,不关注未来的商业化。 因此,在决定开始创业时,需要转换思维,磨练与技术配套的商业模式。 这也要求企业家跨越自我认识的门槛,完成从学生到企业家的身份转换。 毕竟,商业能创造利润。 ”IAST、RASP技术的出现
推进DevSecOps敏捷安全市场的崛起
子芽表示,从技术角度看,传统的白盒测试(SAST )技术实际上很早就被业界应用,但开发安全领域近年来开始蓬勃发展。 其背后是传统的白盒测试误报率达到40%,在误报过高的情况下,用户要求安全制造商的安全服务团队进行现场故障诊断、维护,成为安全制造商
DevSecOps敏捷安全技术于2017年开始在国际上大力宣传和推广,而国内从2017年到2019年是DevSecOps概念的普及期,从2020年开始,许多甲方企业开始建设DevSecOps,悬垂镜像安全
悬垂镜像安全是业界首次将旗下两大DevSecOps工具链技术“IAST”(交互式应用安全测试)和“RASP”)运行时应用自我防护)定义为代码安全疫苗技术。 代码安全是指IAST检测技术,疫苗是指RASP安全免疫防御技术。 顾名思义,相当于将疫苗注入应用内部,清晰地看到应用内部解析的流量,感知业务执行过程的上下文,具体定位其中的漏洞和威胁。
子认为,IAST和RASP两种技术的应用,可以有效降低技术实施门槛,大幅提高企业管理者的用户体验。 “这两种技术出现以后,开发安全领域真正拥有了自己的核心技术,迎来了繁荣和繁荣。 ”
据他介绍,2019年、2020年,悬浮镜用户聚焦金融业,但从今年开始,悬浮镜在电商、能源、交通、远程信息技术、畜牧业等通用互联网行业启动了DevSecOps建设。
作为悬垂镜安全的具体客户示例,一家养殖业企业主在引进信息化监控系统后,购买了IAST工具,并参考悬垂镜安全提供的周期化安全测试方案,该企业在监控系统上线前按照安全基线筛选所有漏洞IAST平台的易用性降低了使用门槛,该企业的技术人员现在可以在不了解安全技术的情况下,通过一键启动安全测试。 这种用户体验迄今为止还做不到。
“我们现在可以看到,戴眼镜很久以来,对业界的宣贯产生了很好的效果。 当各行各业出现用户需求时,也就意味着需要从根本上进行威胁防范,在取得落地实践效果的同时,进一步推进整体DevSecOps敏捷安全体系结构的构建,这一共识开始形成。 ”DevSecOps市场的竞争
实质上是中外之间的技术路线之争
针对目前开发安全市场的竞争格局,子芽认为在目前的DevSecOps和开发安全市场上主要是中外技术路线之间的竞争。
他介绍说,目前在全球DevSecOps敏捷安全赛道上,产业界的主要创新力量来自中国、美国和以色列3个国家。 在国际上,有很多创新的同行企业,如美国的Synopsys、Contrast、以色列的Checkmarx,以及今年的RSAC创新沙盒总冠军Apiiro等,他们都是敏捷安全领域的技术领头羊,悬架
日前发表的关于IAST技术多场景多核驱动的文章指出,应用缺陷深度检测分析能力是IAST技术的第一基础要求。 为了满足用户对各类编程语言的检测需求,IAST交互式APP安全测试平台全面支持了Java、Node.js、PHP、C#、Python、Go等主要编程语言
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
