创新技术引领软件供应链安全，助力数字中国建设

编者按

随着数字化转型的加速，针对软件供应链的攻击事件呈快速增长态势，目前已成为网络空间安全的焦点。如何将安全嵌入到软件开发到运营的全流程，实现防护技术的自动化、一体化、智能化，成为技术领域追逐的热点。

悬镜安全作为DevSecOps敏捷安全先行者，致力于以AI技术赋能敏捷安全，专注于DevSecOps软件供应链持续威胁一体化检测防御，在软件供应链防护领域不断思考和勇于实践。日前，悬镜安全创始人兼CEO子芽先生接受本刊记者专访，就软件供应链安全防护问题发表观点。

悬镜安全创始人兼首席执行官子芽

人物简介

子芽，悬镜安全创始人兼首席执行官，DevSecOps敏捷安全专家，悬镜首席产品经理，具有多年深度学习及网络攻防研究及实践经验。他原创了“悬镜DevSecOps智适应威胁管理体系”，在产业界影响颇深。其个人曾获多项原创发明专利，并先后获得2016年度中国信息安全领域领军人物奖、2017年度北京大学年度人物、2018年度中国软件和信息服务业新锐人物、2019年度全国大学生优秀创业代表等多项荣誉和称号

Q1　请您简单介绍一下公司成立的背景，取名“悬镜”有何寓意？以及公司为何选择DevSecOps作为自己的主打方向？

子芽：悬镜安全最初由北京大学网络安全技术研究团队“XMIRROR”发起创立。在当时的大环境下，作为安全行业的从业者和研究者，我们能明确感知到传统网络安全技术正在面临严峻的技术变革挑战。与此同时，作为白帽黑客，我们致力于挖掘安全的本质，探寻下一代安全技术的未来，在自由创新、执着勇敢的理念驱动下，核心创始团队一拍即合，“XMIRROR”悬镜安全应运而生。

网络安全就像是现实世界和虚拟世界的碰撞，虚拟世界就像现实世界的镜像，“Mirror”是“镜像”的意思，“X”代表着未知，探索未知是一件既酷又很有挑战的事情，所以命名为“XMIRROR”。后来我们的品牌取名“悬镜”，寓意“明镜高悬，止黑守白”。

XMIRROR团队一直专注漏洞的研究和挖掘。在这个过程中，如何将白帽黑客的能力固化到平台上去，如何实现攻防技术自动化，使之成为一种自动又稳定的输出，是我们一直在研究的问题。DevSecOps的核心思想之一就是“安全左移”，即在应用上线前找到它存在的风险，而上线后更加关注现有防御措施的有效性。这与我们攻防自动化的思想不谋而合，用所学技术来实现攻防自动化也是团队的一个初衷。

早期在实验室期间，我们参与了多项国家级纵向学术课题，沉淀了许多利用二进制插桩技术进行运行时情境感知的经验，为后来DevSecOps核心技术IAST产品的推出打下了坚实的基础。虽然当时DevSecOps概念还没有普及起来，但我们已经开始摸索如何建立一套相对完善的DevSecOps智适应威胁管理框架。

Q2　DevSecOps的核心理念是什么？它与传统的软件开发有何不同？在落地方面，悬镜安全做了哪些实践？取得了哪些成效？

子芽：以往软件上线之后如果出现了安全事故，安全团队的角色往往是“背锅侠”，所有责任都聚集在安全部门。但DevSecOps的核心理念是将安全柔和地嵌入到从开发到运营的每一个环节，帮助企业在软件开发阶段就可以检测和修复漏洞，降低整体成本和风险。基于DevSecOps实现研发安全运营一体化，强调安全是整个团队所有人的责任。相比传统的开发，DevSecOps理念依托于DevOps的敏捷研运一体化平台来统一调度、运转，让整个流程更顺畅，并且对自动化和智能化的要求更高。

即使在全球范围内，悬镜应该是较早开始对DevSecOps理念进行实践的厂商，我们拥有一套高度自研的核心技术体系，比如IAST交互式应用安全测试、SCA开源威胁治理技术等。在2017年悬镜重磅发布了DevSecOps智适应威胁管理体系1.0版本，并在2020年发布了其2.0版本。悬镜在DevSecOps领域不断深耕，构筑了较高的行业壁垒，除了在技术上的沉淀和对行业应用的预测、引导以外，业务发展也十分迅速，规模化拓展了多个行业的标杆客户。这主要得益于我们长期以来对前沿技术的深耕研究，也是配合实际应用场景，对落地过程中遇到的难题不断去思考和实践的结果。

Q3　目前我国软件供应链的安全现状如何？有哪些主要的安全挑战？

子芽：软件供应链有三个发展趋势。第一是开源盛行，开源软件已经成为现在软件开发最基础的原材料，混源模式已经成为软件开发的主要模式。据统计，软件产品中78%~85%的成分是开源组件，而我们很难清楚地知道开源组件里存在的未知风险，因为它是封装好的，我们只能看到自研代码的部分。所以需要有一项新技术去分析开源里面到底有什么。

第二是自动化恶意攻击技术不断迭代升级，包括AI技术引进后的智能攻击，针对整个软件供应链的投毒攻击等，这里包括一些逻辑炸弹、后门、异常行为代码，对于整个供应链的影响非常大。

第三是国家的监管不断加强。供应链安全已经开始影响我国的基础设施安全，相关主管部门已注意到软件供应链安全的重要性和急迫性，并出台了相关规定。2017年，我国已发布实施了《网络产品和服务安全审查办法》，将软件产品测试、交付、技术支持过程中的供应链安全风险作为重点审查内容，并推动开展了云计算服务网络安全审查。近期《关键信息基础设施安全保护条例》、《网络产品安全漏洞管理规定》等相继施行，为安全行业的合规性做出规范。保障关键信息基础设施安全，一个很重要的方面是确保关键信息基础设施使用的网络产品和服务的供应链安全。软件供应链作为信息技术供应链中的重要一环，对于我国营造安全可控的网络空间环境具有重要作用。

Q4　刚刚我们提到DevSecOps是把安全的理念融入到从开发到运营的软件全生命周期中，您认为DevSecOps现在国内的应用情况怎样？以及它未来的发展趋势会如何？

子芽：国际上2017年开始宣贯和推行DevSecOps技术，国内从兴起到落地要相对滞后一些。在国内，从2017年到2019年是DevSecOps概念的普及期，自2020年开始，大量的甲方企业开始建设DevSecOps，明显感受到市场需求的快速攀升。比如，在2019年和2020年，悬镜的用户更多聚焦在金融行业，但今年车企、酒店、电商、能源、交通，还有泛互联网，各个行业都在启动DevSecOps建设。当用户需求来源于各行各业的时候，意味着大家开始形成共识，即需要从源头做威胁治理，做DevSecOps敏捷安全开发。

去年以来，新冠疫情的常态化管理促使企业业务纷纷上云，云原生带来微服务和容器安全等新技术的兴起，DevSecOps作为关键技术之一被大范围地应用。在后疫情时代，甲方企业对于厂商支撑的需求有所变化，要求厂商具备本地化支撑能力，对软件供应链安全提出了更高的要求，也促进了DevSecOps的应用与发展。

在被誉为“安全界的奥斯卡”的RSA峰会上，我们可以发现，近几年DevSecOps技术频频出现，其中入围创新沙盒竞赛的应用安全厂商中接近一半都在做DevSecOps，今年更是由以色列DevSecOps厂商Apiiro获得了全球总冠军。由此可以看出未来10年网络安全的风向标。

Q5　在DSO 2021大会上，您预测RASP将会在未来大放异彩，是基于什么做出的判断？RASP在软件供应链防护中起到什么作用？

子芽：2014年Gartner就提出了RASP（运行时应用自防护）技术，但业界更多是把它当作WAF（防火墙）来用。我们可以看到，网络安全的技术演进规律是从网络边界的过滤分析，比如说WAF，演进到主机环境检测响应，一些EDR解决方案开始在国内逐步普及。主要是因为在边界做应用包过滤的时候，我们无法看到更精细的高级攻击，而在主机上部署EDR检测响应设备可以检测更细粒度的高级威胁，和更精细的入侵行为。

从边界到主机，技术进化的下一个方向是下一代应用安全，叫做“运行时情境感知”。无论外界通信过程中流量是否加密，在内存里一定会解析成明文，在内存中可以很清晰地看到解析后的流量，感知业务运行过程的上下文，具体定位其中的漏洞和威胁。悬镜灵脉IAST和RASP技术里统一的探针和agent（代理）软件不一样，它相当于把疫苗注入到应用内部，也就是我们说的运行时情境感知技术。

RASP主要应用在软件供应链防护中。首先，它可以对发现的已知漏洞及时打上热补丁，阻断攻击者利用已知漏洞进行入侵的行为；其次，对于一些未知的0Day漏洞进行预免疫，阻断攻击进入到应用内部提权，或者进行其他敏感操作；第三，它具备业务透视和实时监测能力，可以从内存里感知到业务上下文。

Q6　针对开源治理防护方面，您有什么建议？

子芽：软件供应链在企业层面的落地过程中，对开源的应用主要存在三个问题。第一是“看不清”，企业不知道自己用了多少开源软件，开源软件里面又有多少成分是开源组件，组件里面漏洞的影响力有多大；第二是“跟不上”，每天都有新报的漏洞，新漏洞持续产生增量影响，但团队响应跟不上；第三是“难落地”，大部分企业没有一整套相对完善的开源风险评估体系，其文化和现有的技术储备不能实现对开源软件的有效治理。

开源治理防护首先是要统一入口、控制源头。从国家层面，建立可信的开源社区，在开源托管平台上对代码做定期治理，确保大家引入使用的都是可信、安全的组件或代码库。从企业层面来说，需要建立私有的制品库，在对经常用到的开源组件进行清点之后，统一控制互联网下载组件的使用。

控制了源头，第二点就是左移治理。从源头上掌控版本库、组件库、漏洞库有哪些，如果二级单位或者开发部门在研发、测试、部署的过程中有不规范行为，就可以被监测到。然后对这些不规范行为进行干预、处置，保障开发过程按既定策略或治理体系来进行，在制度和技术层面进行开源治理。

第三点是全生命周期的监测和管理，也就是持续的优化治理。对软件的整个生命周期，包括上线使用过程中的风险预警和监测的增量问题做持续优化。

Q7　软件产品具有数量繁多、涉及领域广泛、与用户信息接触最为直接的特性，建设防御理论完备、技术手段长久有效的软件供应链防护体系至关重要。针对软件供应链安全防护体系建设您有何建议？

子芽：软件供应链安全管理是一个系统工程，需要从国家、行业、机构、企业各个层面去考虑，建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力，整体提升软件供应链安全管理水平。

首先，要严格管控上游，建立安全可信的代码托管社区。通过代码托管平台对开源应用建立集中化、定期化的开源治理，保证平台上的代码的可信。在整个传播链中，通过区块链等可信技术保证对传播的溯源。

第二，建立国家级/行业级软件供应链安全监测与管控平台，要具备系统化、规模化的软件源代码缺陷及异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力，为关键基础设施、重要信息系统用户提供日常的自查服务，及时发现和处置软件供应链安全风险。

第三，要开展整个软件供应链的软件成分动态分析和开源应用的缺陷智能检测技术研究。要突破高效、高准确度的开源应用安全缺陷动态检测技术的瓶颈，解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测难题。要从学术角度去探索、实现这些关键技术，进一步完善对全球开源应用的安全检测，堵住软件供应链安全隐患的源头。

最后，要建立全球供应链的传播态势感知和预警机制，攻克软件来源多态追踪技术，实现对供应链各环节中软件来源的溯源机制。通过软件来源多态追踪技术，监控开源应用的使用传播和分布部署态势，全面把握有缺陷的开源应用传播和使用渠道，实现对全球开源应用及其安全缺陷的预测、预警。