专访悬镜安全子芽：守护中国软件供应链安全

　　当前，针对软件供应链的攻击事件呈快速增长态势，已成为网络空间安全的焦点，影响着数字经济的发展。如何将安全嵌入到软件开发到运营的全流程，实现防护技术的自动化、一体化、智能化，是行业关注的热点。

　　日前，我们采访了DevSecOps敏捷安全领跑者和软件供应链安全领域领军企业北京安普诺信息技术有限公司（悬镜安全），就软件供应链安全展开讨论。

　　软件供应链安全行业发展现状？未来发展趋势是什么？

　　子芽：现代软件基本是组装的而非纯自研，软件成分从闭源发展为开源主导，并且云原生时代数字化应用架构由单体向微服务进化、软件开发模式由传统瀑布式开发向DevOps敏态开发模式进化、应用运行环境由传统IT服务器向容器进化，这些正导致软件供应链越来越趋于复杂化和多样化，安全风险日益增加。

　　欧盟数据显示，软件供应链攻击数量大幅增加。从 2014 年心脏滴血这一开源软件漏洞的爆发，到 2015 年Xcode开发工具被污染，一直到 2021 年末Log4j2.x开源框架漏洞的爆发，在此之间还有诸如厂商预留后门、升级劫持、恶意程序等不同类型的软件供应链攻击事件发生，分析总结可知整个软件供应链的主要安全风险集中在上游的软件开发环节、中间的软件供应环节和下游的软件使用环节。

　　然而大部分企业往往忽视软件供应链安全工作，有报告指出，大约45%的企业承认其软件供应链安全工作只完成了一半；同时假设受访企业的软件供应链受到攻击，64%的高管并不知道应第 一时间求助于谁。

　　当然也能欣喜地看到，目前国内外正陆续出台一系列相关政策和重点项目来加强软件供应链的安全管控。国外的Google于 2021 年提出软件供应链安全框架SLSA（Supply chain Levels for Software Aritifact，软件构件的供应链级别）。该解决方案旨在确保软件开发和部署过程的安全性，专注于减轻由于篡改源代码、构建平台或中间件仓库而产生的威胁。为解决云上的软件供应链安全问题，微软提出了云安全共享责任模型。Google联合包话Red Hat、IBM在内的多家企业共同发布了开源计划Grafeas，提供了一种统一的方式来审计和管理软件供应链。

　　国内，据悉，中国信通院正在稳步推进软件供应链安全系列标准体系架构的建设工作。悬镜基于自身多年的敏捷安全落地实践经验和软件供应链安全研究成果，并通过准确的市场调研和敏锐的行业洞察，认为“安全左移”从源头进行软件供应链风险治理以及“敏捷右移”实现安全运营敏捷化是云原生场景下软件供应链安全两大需求，因而悬镜原创专利级代码疫苗技术和BAS持续威胁模拟与安全度量是未来软件供应链安全技术发展的两大趋势。

　　作为DevSecOps领跑者，悬镜发展过程中遇到过哪些困难，又是如何应对的？

　　子芽：悬镜安全自 2014 年成立于北大未名湖畔，至今已走过 8 个年头，作为DevSecOps敏捷安全领跑者和软件供应链安全领域的领军企业，很荣幸获得全球领先的红杉资本、腾讯产业投资、源码资本、GGV纪源资本的青睐，目前融资规模累计达数十亿。

　　但，这一路并不是一帆风顺，也曾经面临产品规模化、渠道推广、销售等难题。由于自身理念问题，学院派出身的我们太专注于技术钻研和产品打磨，总希望将产品性能提升到极 致，而在此之前迟迟不敢把产品进行规模化应用。初期，我们甚至会将在攻防演练等网络安全服务中获得的收益，全部投入技术研究和应用当中。在做学术研究的时候，往往更专注于技术的本身，不太会关注未来的商业化。因此，当决定开始创业的时候，就需要去转变思维，除了要用心、花时间去打磨技术及产品外，还要有配套的商业模式，这也要求创业者迈过自我认知的门槛，完成从学生到创业者的身份转变。

　　幸运的是，基于对所处DevSecOps领域的高度聚焦，出于对技术和事业的深度热爱，凭借团队所有成员的坚持与执着，悬镜度过了那段比较艰难的岁月。悬镜安全围绕四个“一”的核心能力建立起行业领先优势，分别是一个运行时单探针、一项代码疫苗技术、一套积极防御框架、一套敏捷安全体系。要感谢那段时光，使我们的产品一经投入市场就凭借超过同类产品的出色性能，获得了金融、泛互联网等一众行业头部用户的高度认可和大力支持。

　　流水不争先，争的是滔滔不绝。创业如此，生活亦是如此。

　　一直以来，悬镜在关键应用安全技术坚持创新，如何看待安全领域的自主研发？

　　子芽：不止在安全领域，我始终认为硬科技的发展是社会进步的核心驱动力之一。我仍记得在北大研究生求学期间，导师对我们的要求：如果把人类现有的认知比作一个圈，那么当博士毕业时，我们的研究实践成果至少可以将现有认知向外再踏出一步。这个要求至今对我和悬镜团队都有着巨大的影响，并促使我们始终致力于在DevSecOps这个新的前沿技术领域，凭借长期的技术积累来推动中国的安全产业向新的未知空间做更深层次的探索。

　　在全球的DevSecOps敏捷安全赛道上，主要是中外技术路线之间的竞争。在国际上悬镜安全有很多创新的同行企业，比如美国的Synopsys、Contrast，以色列的Checkmarx，以及RSAC2021 创新沙盒总冠 军Apiiro等，他们都是敏捷安全领域的技术佼佼者。悬镜与他们的不同之处在于采取了一种“先打牢地基后盖楼”的技术路线，在高检出率和高兼容的要求下，以智能算法辅助人工专家筛查的方式，把每一类插桩的情境训练知识、语言知识及场景适配策略当做库来支持，小到每一条规则都经过反复研究和设计。这条路难走，但所幸经历多年的沉淀，我们取得了一系列的成果，原创发明了基于运行时单探针的代码疫苗技术和积极防御框架，体系化梳理了DevSecOps敏捷安全，首创“DevSecOps智适应威胁管理体系”并演进至第三代。这些成果都被整理在我刚出版的新书《DevSecOps敏捷安全》中，也是希望借此实现技术的普惠化。

　　而且在我看来，无论是从国家还是从行业的角度，关键核心技术都不能受制于人，安全从来都是有国界的。中国在几千年的华夏文明里，沉淀出了自己的经济和工业发展体系，与世界经济体系既深度融合又自成体系。悬镜也一直努力以创新的技术驱动方案和产品更深地跟随国家整体战略，更好地走向世界，在今天的DevSecOps软件供应链安全赛道上，能为国发声，输出中国自己的技术标准，守护好中国软件供应链安全。

（推广）

特别声明：以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布，本平台仅提供信息存储服务，对本页面内容所引致的错误、不确或遗漏，概不负任何法律责任，相关信息仅供参考。360手机助手将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时，可及时向360手机助手提出书面权利通知或不实情况说明，并提供身份证明、权属证明及详细侵权或不实情况证明（点击查看反馈联系地址）。本网站在收到上述法律文件后，将会依法依规核实信息，沟通删除相关内容或断开相关链接。