※典當好方便,台北當舖助你快速紓困
華邦一通電話讓專業服務團隊為您處理,華邦當舖,是您的不二選擇。
降本增效還是合規避險?
過去,企業為快速在市場中佔據一席之地,前者的重要性或許更甚。但隨着監管環境日趨嚴格、競爭維度愈發多樣,降本增效或合規避險已不是一道單選題。
不過落在實處,二者的融合總有博弈。比如,“安全”作為合規避險的基礎,就長期處於如此境地——幾乎所有甲方企業在採購/上線安全產品或功能時,都希望安全可以和業務和諧共處,至少不影響業務進展,這也是安全廠商和客戶達成合作的重要前提。
找到安全和業務開展適配的節奏,也成為一個值得討論的話題。
DevSecOps就是這樣一種理念。它是DevOps的衍生概念,即將安全(security)嵌入DevOps流程中。其核心為安全前置,強調安全需要貫穿從開發到運營整個軟件生命周期的每個關鍵環節。
DevSecOps自2012年由Gartner 提出后,正逐步吸引業界的目光。國外的一個例子是,在被稱作“全球網絡安全風向標”的RSA大會上,2020年的10強中有三家企業和DevSecOps相關。而在國內,圍繞DevSecOps的討論也在增多,當前已經出現十餘家圍繞此理念創業的安全公司,大多數聚焦開發安全層面。
從投融資角度,近一年此領域公司也在不斷獲得融資,比如「默安科技」於今年11月被披露完成深信服和寧德上汽的增資;「開源網安」在今年10月宣布完成由松禾資本、匠一基金投資的數千萬元融資;「懸鏡安全」於今年6月宣布完成由紅杉中國種子基金獨家領投的數千萬元融資。
但站在更寬廣的維度,作為DevOps的延伸理念,DevSecOps的認知度還不及前者。本文將從DevSecOps的發展歷史、促進這一理念發展的驅動力,相關廠商的機遇與挑戰入手,以期為讀者提供參考價值。
一、開發模式的轉變:從“敏捷”到“敏捷+安全”
要對DevSecOps溯源,不得不提近年來IT理念的多次迭代。敏捷,正是企業IT架構支持前台業務的重要考量因素。這一理念貫穿雲計算、雲原生、敏捷開發、DevOps以及本文的主題——DevSecOps。
進入移動互聯網時代后,各類軟件應用在各行各業滲透,業務高速發展,用戶量激增。面對這種情況,企業要把更多的人力、物力、精力放在業務邏輯的建設上,而非基礎設施。換言之,以盡量敏捷、可靠、成本低的方式應對業務需求是它們的訴求。
雲計算的出現是一個解法。它改變了IT基礎設施和應用實施模式,使得存儲、計算等信息服務像水電氣等公共設施一樣,可以通過網絡靈活按需使用。它的最終目標是,在理想狀態下,企業後續的IT系統開發完全只需關心業務功能和邏輯實現,其餘圍繞IT基礎設施的內容都不再關心,由雲平台提供能力。所以,雲計算在帶來節省成本的優勢之外,也帶來效率和速度的提升。
再進一步,要實現徹底的敏捷,不僅需要基礎設施上雲,業務(應用)“雲化”才能真正將“雲”的價值發揮出來,而這也正是雲原生的核心理念。36氪此前曾對雲原生做過深度分析,簡言之,雲原生應用的興起讓一切組件和相關的服務都在雲端解決,這進一步提升了IT在後端對前端業務的支持效率。
在理念落地時,需要IT部門的角色、流程進行相應轉換。所以,IT部門的軟件開發流程也出現了從瀑布式到敏捷開發,再到DevOps的迭代。
在過去,企業的軟件開發過程是傳統的瀑布式,即通過制定計劃、需求分析、軟件設計、程序編寫、軟件測試、運行維護等6個流程將整個軟件生命周期銜接起來。這6個流程有着嚴格的先後次序之分,只有當前面的流程結束之後,下一個流程才能開始運轉。這種開發方式好似瀑布的下落,由此命名為瀑布模型。
但這種開發模式迭代速度慢,會造成人力的階段性浪費。於是,敏捷開發出現了。
敏捷開發採用“迭代開發”,將軟件項目需求分成多個迭代,且每個迭代成果在完成開發、測試、反饋等環節后都可以進行交付。這種模式提高了軟件開發的速度,但它注重的是軟件的開發階段,並未兼顧到運維。
所以,DevOps應運而生。它是一種重視“軟件開發人員(Dev)”和“IT運維技術人員(Ops)”之間溝通合作的文化、運動或慣例,希望使構建、測試、發布軟件更加敏捷、頻繁和可靠。隨着雲原生的日漸普及,與之配套的devops理念也被大範圍接受。
不過可以看出,DevOps所涵蓋的員工角色包括開發人員和運維人員,並不包括安全人員。安全,作為軟件開發的保障性因素,仍然被排除在外。DevSecOps由此出現。
傳統的安全方式難以滿足敏捷的前提,這是因為,在傳統安全(滲透測試或人工方式等)的方式下,敏捷會影響研發交付,這是企業所不能接受的。而DevSecOps的理念在將安全融入敏捷過程中,即通過設計一系列可集成的控制措施,增大監測、跟蹤和分析的力度,優化安全實踐,集成到開發和運營的各項工作中,並將安全能力賦給各個團隊,同時保持“敏捷”和 “協作”的初衷。在這一理念中,企業的整個IT團隊目標統一,即在保障敏捷開發的基礎上,共同背負起安全的責任。
“從2017年起,國際上專註DevSecOps的廠商逐漸多了起來,國內也有越來越多的甲方和廠商開始重視開發安全。它的核心是解決在DevOps敏捷開發模式下,如何柔和地將安全嵌入進來實現安全前置的問題。”國內DevSecOps敏捷安全公司「懸鏡安全」創始人子芽曾向36氪介紹。
二、需要流程,也需要工具
安全的本質是為保證業務的連續性和可靠性。DevSecOps在敏捷的前提下誕生,最終目的仍是保障應用的可靠。要達成這一目的既需要體系的規範化,也需要工具的支持——在體繫上,要通過流程的設計、項目的管理明確責任,將安全前置;在工具上則圍繞軟件全生命周期的安全,從代碼層面保證軟件質量。二者是互為支撐的關係。
體系將安全納入開發過程中,那麼工具對DevSecOps的意義是什麼?
Gartner認為,DevSecOps需要注重以下幾點:風險和威脅建模、自定義代碼掃描、開源軟件掃描和追蹤、考慮供應鏈安全問題、整合預防性安全控制到共享源代碼庫和共享服務中、版本控制和安全測試的自動化部署、系統配置漏洞掃描、工作負載和服務的持續監控等。
DevSecOps框架圖
根據云計算開源產業聯盟的解讀,安全工具自動化以及平台化是DevSecOps的特點,其重點是在體系中嵌入自動化的安全工具,實現DevOps的體系安全。
更深一層解釋,這類安全工具是將DevSecOps落地的抓手。在傳統的研發過程中,研發與安全割裂,主要是因為安全影響研發效率,但自動化的安全工具可以適用當前的敏捷開發需求。
而且,工具的出現也有助企業在組織結構上將DevSecOps落地。這是由於,IT部門裡安全人員的配比常有些失衡。一個說法是,目前大部分企業中開發、運營和安全的比例是100:10:1,安全人員僅占開發人員的1/100。而且,安全人員人才荒的問題早已是業內共識。根據360和獵聘發布的《2019年網絡安全行業人才發展研究報告》,近年來國內人才市場上網絡安全求職者數量增長緩慢,與人才需求的高速增長極端不匹配,造成了人才缺口不斷擴大。有專家預測,2020年網絡安全人才缺口將達到140萬。所以,通過增大安全人員的配比來實現DevSecOps並不現實,最重要的是讓每個研發人員和運維人員都具備安全方面的意識,同時了解安全的工具,盡可能自己成為安全方面的專家,
所以,需要什麼樣的工具?
答案很簡單,正是保證軟件安全開發的工具。隨着信息化發展,軟件應用服務正滲透到各行業和領域,軟件應用自身的安全問題也成為焦點。當前全球安全事件頻發,代碼程序漏洞是關鍵誘因之一。程序的安全漏洞需要儘早被發現,如果運行中的系統被曝出漏洞,企業會付出比安全前置更高的修復代價。根據美國國家標準與技術研究所(NIST)的統計,在發布后執行代碼修復,其修復成本相當於在設計階段執行修復的30倍。
當前主流的工具類型包括靜態應用程序安全測試(SAST)、動態應用程序安全測試(DAST)、交互式應用程序安全測試(IAST),軟件組成分析、運行時應用自保護等。靜態、動態、交互應用程序安全測試產品,以及軟件組成分析都可以讓軟件得以在上線前發現可能的安全風險,達成安全前置的目的。運行時應用自保護,是在軟件上線后實時保證軟件安全。
目前,應用程序的安全測試工具市場已經比較成熟,也出現了多種技術分支。不過,靜態應用程序安全測試(SAST)、動態應用程序安全測試(DAST)、交互式應用程序安全測試(IAST),雖然名稱類似、目的一致,卻也不是完全互相取代的關係。
從技術角度,SAST是指不運行被測程序本身,僅通過分析或者檢查源代碼或二進制文件的語法、結構、過程、接口等來檢查程序的正確性。DAST指的是在測試或運行階段,分析應用程序的動態運行狀態。它主要是模擬黑客行為對應用程序進行動態攻擊,通過分析應用程序的反應,確定該應用是否易受攻擊。IAST是一種較新的技術,由Gartner在2012年提出。這種方式通過代理和在服務端部署的 Agent 程序,收集、監控 Web 應用程序運行時請求數據、函數執行,並與掃描器端進行實時交互,從而識別安全漏洞,同時可準確確定漏洞所在的代碼文件、行數、函數及參數。
三種不同的技術路線,也意味着這三類產品在效果以及適用場景上都存在差異。
在效果上,DAST準確率高,但無法訪問代碼細節,漏報率較高。SAST對應用程序的源代碼或二進制文件進行分析,這種方式相比前者更全面,但代碼在被檢測時並沒有運行,所以誤報率較高。IAST的方式,基本不會出現誤報,精度非常高,但目前對開發語言的覆蓋並不全面。當前,IAST由於規避了前兩者產品的弊端,在業內關注度較高。
三類產品各有利弊,或許將各類產品放在合適場景下進行結合,能夠更全面地滿足軟件開發的安全需求。比如,SAST比較適用於研發階段的代碼檢測,DAST和IAST比較適合QA環節。
三、國內玩家的機會與挑戰
當前我們關注到的,圍繞DevSecOps理念創業的安全公司也多在提供工具型產品,以及相應的解決方案。再加上此類工具大多在避免應用程序中存在安全問題,這一行業的市場廣義涵蓋在應用安全中,狹義上屬於開發安全。
台北華展當舖透明化借貸過程,細節不保留讓您了解相關事項,手 續簡便,立即放款,合法利息
根據Gartner2020年6月發布的統計數據,全球2019年各項安全類支出總計 1209.34 億美元,預計2020年將達到1238.18億美元,其中應用安全市場規模2019年為30.95億美元,預計2020年將達到32.87億美元,年增長率達到6.2%,明顯高於整體信息安全市場的2.4%年增長率。中國的應用安全市場增速高於全球,市場規模佔全球比例達到近三分之一。根據中國雲計算開源產業聯盟的報告,2019年國內應用安全市場規模達到8.48億美元,市場規模佔全球應用安全市場規模比例達到近三分之一,預計2020年市場規模將達到9.45億美元,年增長率達到11.5%,高於全球6.2%的增長率。
這其中,上文重點介紹的AST市場增速最快。市場規模佔比超過應用安全總體市場規模的三分之一。Gartner 2019年4月發布的報告調查數據显示,應用安全測試市場預計將以10%的複合年增長率增長,這仍是信息安全領域中快速增長的部分。到2019年底,AST的市場規模估計達到 11.5億美元,市場規模佔比超過應用安全總體市場規模的三分之一。我們目前關注到的,主打DevSecOps理念的安全公司也多以AST為基礎開展業務。
36氪此前通過和「航行資本」等關注安全的業內人士,以及「開源網安」等安全企業交流了解到,在中國促使該行業增長的原因可能有以下幾點:
首先是安全事件驅動下的意識提升。最近的例子是在實戰攻防演練中,許多系統顯露出薄弱性,從代碼層保證軟件安全是一種解決方式;
第二,以往一些在國內普及的軟件安全開發產品有退出國內市場趨勢,這會給國內公司更多空間;
第三,現在大型基礎軟件的自主開發正在進程中,這其中也會產生新的開發安全需求。
不過獨立安全公司需要面對的挑戰也不得不提。首先,僅僅提供單品類產品是不夠的,客戶的高階需求是對軟件開發的全生命周期進行管理,建立可清晰度量的安全開發體系。所以對第三方廠商而言,當前不僅需要提供產品,也需要提供可以將新、老產品集成起來的平台,還需要提供服務甚至培訓。當前也有一些廠商針對此訴求提供全方位的方案。
另外在客戶端,一些技術實力較強的公司會採取自主研發的手段。比如大型互聯網公司乃至雲廠商會自主研發工具解決內生需求,並盡可能提供給自己的客戶。在這種情況下,安全公司需要根據此類客戶自身的情況,為其補足能力。整體來看,目前聚焦於此的公司,客戶主要分佈在金融、能源、政府等領域,如果客戶對此類產品較熟悉,那麼企業可提供輕量服務。但如果客戶需要較全面的貼身服務,則如何通過提升產品力降低人力成本,也成為廠商的挑戰之一。
四、參与者概覽
當前我們關注到國內在此領域的創業公司有十餘家,在此將它們的業務概況稍作展示(排名不分先後)。
懸鏡安全
懸鏡安全由北京大學網絡安全技術研究團隊“XMIRROR”主導創立。成立於2014年9月,專註DevSecOps軟件供應鏈持續威脅一體化檢測防禦,旗下原創懸鏡DevSecOps智適應威脅管理體系主要覆蓋從威脅建模、威脅發現、威脅模擬到檢測響應等關鍵環節的開發運營一體化敏捷安全產品及以實戰攻防對抗為特色的政企安全服務。
默安科技
默安科技成立於2016年,是一家雲計算時代的新興網絡安全公司。公司推出貫穿完整業務生命周期的左移開發安全DevSecOps與智慧運營安全AISecOps的下一代企業安全體系。據介紹,公司落地了欺騙防禦理念,推出“平台+工具+服務”的全流程安全開發方案以及集南北向和東西向流量監測於一體的雲平台運營安全解決方案,希望幫助客戶實現安全業務的前置化、體系化、實戰化、精準化與智能化。
開源網安
開源網安成立於2013年,致力於讓企業交付更安全的軟件,為軟件安全開發提供全方位的服務,包括諮詢、培訓、解決方案、專業工具及安全服務等。公司當前為客戶提供軟件安全開發生命周期 (S-SDLC™) 解決方案、DevSecOps™解決方案、擁有“自主知識產權”的軟件安全開發工具鏈(IAST、SAST、SCA、FUZZ、RASP™)和軟件安全開發人才培養課程體系CWASP™。
酷德啄木鳥
酷德啄木鳥成立於2014年,是一家專註軟件源代碼信息安全業務的科技企業。據公司介紹,其自主研發的CodePecker源代碼缺陷分析系統,為國內第一款完全自主知識產權的商用源代碼檢測產品。
孝道科技
杭州孝道科技成立於2014年,公司專註為用戶提供DevSecOps與下一代應用安全解決方案。產品包括IAST、ASTP、代碼安全合規檢測系統、移動應用安全測試系統、綜合漏掃與安全合規檢測系統。
海雲安
海雲安成立於2015年,致力於“可信應用,主動防禦”系列應用安全產品研發推廣。
其產品分為有四類,首先移動應用安全檢測產品,以及安全加固和監管系列產品;第二源碼安全分析平台和白盒、灰盒、黑盒安全產品;第三面向安全管理中心,研發的主動安全防禦系統和可信應用安全產品;第四應用級系統災備方案。
愛加密
愛加密成立於2013年,目前擁有移動安全諮詢、移動安全培訓、移動安全檢測、移動安全加固、移動安全感知、移動安全管理等產品體系,可為用戶提供基於企業移動信息安全的一體化綜合解決方案。這些解決方案貫穿了應用設計評估、安全開發測試、應用優化、應用安全發布及應用上線運營階段的整個生命周期。
稜鏡七彩
稜鏡七彩成立於2016年。據介紹,公司建立了國內首家全球開源項目知識庫(近1000萬個項目,100TB+容量數據),可檢測出軟件源代碼構成、來源、漏洞、自主率、安全協議等信息,提供軟件信息安全、科技含量與工作量信息及知識產權評估評測。
中科天齊
中科天齊是中科院計算技術研究所軟件安全領域的產業化平台。公司以軟件源代碼漏洞檢測安全智能診斷工具(Wukong)作為核心產品,希望提供覆蓋不同開發語言的漏洞檢測技術能力,幫助軟件提升安全能力。為國內外政府、金融、電信、科技等行業客戶提供專業全面的軟件源代碼漏洞檢測解決方案,幫助客戶在軟件開發過程中查找、識別、追蹤絕大部分主流編碼中的技術漏洞和邏輯漏洞,幫助客戶以低成本控制應用程序安全風險。
庫博
北大軟件CoBOT(庫博)團隊由北京大學軟件工程國家工程研究中心提供研發力量,北京北大軟件工程股份有限公司提供商業化運作模式,目的是共同將CoBOT推向更廣的市場。公司介紹,目前CoBOT是中國唯一一個通過美國CWE認證的安全產品,技術上屬於國內領先、國際先進水平並且程序分析也屬於軟件工程領域最具技術含量的領域之一。
九州安域
九州安域是網絡安全產品及解決方案提供商,其目標是為客戶構建安全、穩定、可持續發展的業務系統。提供業務系統端到端安全,在業務系統設計、開發、測試、運維的全生命周期提供安全諮詢、代碼安全、安全測試、安全評估、滲透測試等服務。
中科微瀾
中科微瀾科技有限公司是由中國科學院軟件研究所入股成立的高科技型信息安全企業。其擁有安全漏洞管理與分析解決方案,通過智能漏洞管理引擎幫助客戶了解自身主機安全環境、源代碼安全狀況及知識產權許可證的合規性情況。據公司介紹,其深耕人工智能技術,研製出獨特領先的漏洞挖掘技術,使得軟件開發人員、軟件經銷商、系統集成商和安全測試機構可以很輕鬆的在軟件開發中、軟件交付前、主機運行時環境等各階段中採取合適的預防措施。
鑒釋
鑒釋成立於2018年,其研發的「愛科識」是基於靜態代碼掃描(SAST)的下一代源代碼分析工具。它使用深層的編譯器級別技術來檢查數據流,分析軟件應用程序,從而提高了缺陷檢測的準確性。其可在軟件開發生命周期(SDLC)的早期識別代碼缺陷。
熠勢
上海熠勢信息技術有限公司是一家從事軟件應用安全行業的公司,產品和方案可以覆蓋軟件開發的整個流程,致力於將安全性集成到軟件開發生命周期(SDLC)中。公司希望和客戶一起,在軟件開發生命周期(SDLC)早期採用DevOps,縮短反饋迴路並且降低複雜性,從而使工程師能夠更快、更輕鬆地檢測和修復安全性和合規性問題,快速向DevSecOps 邁進。目前公司業務範圍覆蓋金融,汽車,IT/互聯網等多個行業。
【本文作者真梓,由合作夥伴36氪授權發布,文章版權歸原作者及原出處所有,轉載請聯繫原出處。文章系作者個人觀點,不代表立場。如內容、圖片有任何版權問題,請聯繫(editor@zero2ipo.com.cn)處理。】
※新竹借款借貸第一首選
大通當舖提供新竹汽機車借貸/借款服務之外, 舉凡房屋土地一、二胎貸款