近兩年來，在Log4j2.x漏洞和SolarWinds Orion供應鏈攻擊事件的進一步推動下，軟件供應鏈安全治理與運營以及DevSecOps敏捷安全體系落地的理念得以深入人心，提高對數字化應用安全性的重視已成為行業共識。

　　但在用戶側，應該采用何種方法來應對云原生時代下復雜多元的軟件供應鏈威脅？需要從哪一步開始建設DevSecOps？到底如何選擇適合自己的安全產品和服務？信息化建設程度不同的企業在DevSecOps建設上該如何側重？這一系列用戶關心的問題也亟待解答。

　　因此，安全419啟動了軟件供應鏈安全解決方案系列調研，通過邀請細分領域內代表廠商分享自身前沿觀點、創新技術和最佳實踐，希望為企業組織更好應對軟件供應鏈面臨的風險與挑戰提供參考借鑒。本期訪談的主角是國內最早投身軟件供應鏈領域的安全企業——懸鏡安全，我們邀請到了懸鏡安全CTO寧戈圍繞當前用戶在軟件供應鏈安全方面的痛點和懸鏡第三代DevSecOps智適應？？威脅管理體系分享敏銳的洞察和前瞻性思考。

　　云原生時代數字化

　　應用面臨的風險與挑戰加劇

　　在數字經濟時代，“隨著容器、微服務等新技術的快速迭代，開源軟件已成為業界主流形態，開源和云原生時代的到來導致軟件供應鏈越來越趨于復雜化和多樣化，網絡攻擊者開始采用軟件供應鏈攻擊作為擊破關鍵基礎設施的重要突破口，從而導致軟件供應鏈的安全風險日益增加。”（摘自懸鏡安全創始人子芽的專業著作《DevSecOps敏捷安全》）

　　懸鏡安全從云原生時代軟件供應鏈技術的躍遷式演進中總結出了四個新的變化：

　　● 新制品：軟件成分從早期的閉源轉變為混源再到開源主導；

　　● 新發布：開發過程從傳統的瀑布式演進到敏捷再到DevOps研運一體化；

　　● 新技術：數字化應用架構從早期的單體應用發展為SOA（Service-Oriented Architecture，面向服務的架構）再到微服務；

　　● 新環境：數字化基礎設施從傳統的IDC物理機跨越到虛擬化再到容器化。

　　圖1 云原生時代軟件供應鏈技術的躍遷式演進

　　正是這四個新變化，不斷驅動著云原生安全的發展，也使得軟件供應鏈安全風險面有一定的延展，增加了鏡像風險、微服務風險、運行風險、基礎設施風險和網絡安全風險這五類安全威脅，進而促使DevSecOps成為云安全發展中的變革型技術。

　　寧戈在采訪中談到，經過在DevSecOps領域多年的創新研究和實踐，懸鏡安全已經通過IAST和動態插樁技術較好地解決了過去白盒測試和漏洞掃描在微服務RPC協議方面測試盲區的問題，幫助用戶持續地追蹤應用內數據的調用關系，對每一個漏洞觸發點的上下游調用過程加以監測，大大提升了應用安全測試的效率。

　　同時懸鏡安全也注意到，軟件供應鏈安全正在成為用戶普遍面臨的痛點。近年來，里程碑式的軟件供應鏈攻擊事件頻發，從2014年的心臟滴血漏洞即開源軟件漏洞，到2015年Xcode開發工具被污染，再到去年年末的Log4j2.x開源框架漏洞，在此之間還有廠商預留后門、升級劫持、惡意程序等不同類型的軟件供應鏈攻擊事件接連發生。

　　尤其在云原生場景下，開源組件的引入在加快軟件研發效率的同時，也將開源安全問題引入了整個軟件供應鏈。開源治理已經成為了企業用戶重點關切的難題。

　　寧戈表示，當前在SCA軟件成分分析方面，用戶的視角下會比較關注兩個問題：首先，SCA產品檢測到了大量的開源組件漏洞，并告知目前潛在的安全風險，但在資源有限的情況下，怎樣判斷哪些漏洞是真實有效的？哪些風險組件雖然存在，但在實際業務中并沒有被調用，不會對業務帶來實際的影響？其次，在確認漏洞風險后，升級軟件版本很大程度上會影響業務，是否有替代性方案暫時規避風險？

　　圍繞當前用戶面臨的數字化應用安全威脅，懸鏡安全憑借多年技術攻關首創專利級代碼疫苗技術和下一代積極防御框架，并通過“全流程軟件供應鏈安全賦能平臺+敏捷安全工具鏈”的第三代DevSecOps智適應威脅管理體系及配套的敏捷安全閉環產品體系、軟件供應鏈安全組件化服務，已幫助金融、車聯網、泛互聯網、能源等行業上千家用戶構筑起適應自身業務彈性發展、面向敏捷業務交付并引領未來架構演進的內生積極防御體系。

　　圖2 懸鏡第三代DevSecOps智適應威脅管理體系

　　以“單探針”打造漏洞檢測與防御閉環

　　在早前對懸鏡安全創始人子芽的一次采訪中，談及未來規劃時，子芽袒露了自己的一個憧憬：未來希望能夠將懸鏡的產品完全放置到用戶應用環境中，一方面通過IAST幫助用戶高精度地檢測出漏洞，另一方面也希望能夠同時利用自動化手段幫助用戶將漏洞直接修復，從而全面解決漏洞給用戶帶來的安全問題。

　　從寧戈的分享中可以了解到，子芽的這一個目標已經實現。

　　寧戈表示，“單探針”是懸鏡安全的一大創新舉措。懸鏡將運行時應用風險檢測技術IAST和運行時應用風險防御技術RASP通過單探針進行了深度整合。基于運行時的單探針，既能夠在開發測試環節里通過IAST對應用安全風險進行檢測，又能夠在部署和運營環節通過RASP實現應用風險自免疫。簡而言之，“懸鏡通過IAST檢測到當前的漏洞是由哪一個函數觸發的，然后通過RASP下發一個熱補丁直接進行修復。”

　　同時，利用單探針的深度融合，代碼疫苗技術不僅能在開發測試環節進行交互式的應用安全風險審查，還能夠發現數字化應用自身API的安全風險和缺陷，更有效地解決運行時API中敏感數據流動的追蹤問題，基于動態插樁技術在應用內部梳理API相關的函數調用，最終實現API層面的安全防護。？？

　　針對上述開源治理的用戶痛點，這一套“單探針”策略和積極防御框架已在各行業用戶的場景中得到了實戰檢驗和高效落地。

　　具體而言，懸鏡安全將第三代DevSecOps智適應威脅管理體系中的源鑒OSS、靈脈IAST和云鯊RASP三大產品進行了深度的聯動。首先，懸鏡會幫助用戶通過SCA軟件成分分析和SBOM軟件物料清單檢測并梳理出數字化應用所涉及的第三方組件，進而基于運行時探針插樁技術識別相關組件是否在使用，判斷是否存在漏洞，最終再通過RASP來完成自動化的熱補丁修復，實現數字化應用的運行時風險免疫，并為用戶提供一整套軟件供應鏈安全組件化的閉環服務。

　　由點及面，貫穿數字化應用全生命周期

　　“單探針”策略和積極防御框架的成功應用，實際上離不開懸鏡安全在探針技術方面的研發投入和技術優越性。作為國內最早扎根在軟件供應鏈安全領域的專精型廠商，懸鏡安全在DevSecOps理念誕生早期就已經在探針技術的研發方面投入了大量的精力，至今已經將探針技術發展成為了自身一大技術優勢和壁壘。

　　用寧戈的話說：“IAST、SCA和RASP這些技術底層實際上相對透明，國內外廠商都是在其上打磨更多不同的解決方案。但探針技術是比較依賴長期的投入和積累，如果沒有經過足夠多的錘煉和場景驗證，必然會在兼容性和性能影響等層面栽跟頭。想要在數字化應用全生命周期解決安全問題，包括漏洞的檢測響應、SCA開源組件治理乃至生成SBOM軟件物料清單，一切都需要依賴探針技術來實現。”

　　談及這套“單探針”策略和積極防御框架的優勢時，寧戈認為最突出的一點是“用戶友好”。

　　他表示，第一個用戶友好表現在輕量化層面。最大限度減少在應用側反復安裝安全探針的動作，降低了對開發團隊的影響。對開發安全乃至整個大安全而言，探針往往是決定能否采集到高質量數據的關鍵影響因子，但無論在主機、云還是應用側，如果埋下過多的安全探針肯定會讓用戶有所抵觸，甚至還可能會影響到業務的穩定運行，因此懸鏡安全選擇了“單探針”的技術路徑。

　　“開發階段提前在數字化應用的容器環境中埋下IAST探針，輔助開發團隊將安全左移，在開發過程中提前發現潛在漏洞風險，隨后應用在發布時，會攜帶探針一同打包上線，而應用上線后，伴生在應用中的探針就可以順勢轉為RASP探針，扮演好積極防御的角色，相當于只需一次安裝動作，就能夠使探針伴隨應用全生命周期，解決從開發、測試到運營每一個環節的安全問題。”

　　第二個用戶友好表現在漏洞響應層面。依賴于單探針帶來的進階版IAST和RASP的雙重聯動能力，假設通過IAST在應用上線前發現漏洞，而應用因著急上線導致漏洞不方便修復的場景下，也能夠通過RASP以熱補丁的方式一鍵自動修復漏洞，在應用快速上線的同時提供可靠的安全保障。

　　第三個用戶友好表現在性能層面。一方面懸鏡安全通過自研的獨特技術路徑規避了業內慣用的反射技術路線，將整套安全產品體系的整體性能優化到了APM級別，最大程度減少了工具對于性能的侵蝕。另一方面懸鏡安全在業內率先將熔斷機制引入到IAST和RASP產品中，實時監測CPU、內存、QPS等指標，本著業務優先原則，當業務流量大時，懸鏡的安全產品會根據熔斷機制進行綜合判斷，做出降級處理；當業務流量超過閾值時，產品甚至會自動卸載，盡可能地為業務做出讓渡。

　　第四個用戶友好表現在DevOps生態層面。懸鏡安全已經同DevOps廠商、中間件等信創廠商形成了戰略級的上下游合作關系，將自身產品柔和地集成到DevOps平臺以及中間件等設備中，保證用戶能夠以安全無縫接入的形式得到更全面更友好的產品體驗。

　　持續為各行業不同用戶場景輸出安全能力

　　正如上文提到，作為DevSecOps軟件供應鏈領域的頭部廠商，懸鏡安全通過第三代DevSecOps智適應管理體系，正持續幫助金融、車聯網、泛互聯網、能源等行業用戶構筑起與自身相適配的內生積極防御體系。

　　針對當前信息化建設較為完善、云原生和微服務普及度較高的金融、泛互聯網、能源等行業，懸鏡安全已經逐步將IAST、SCA、RASP等產品體系化地集成到用戶的數字化應用開發流水線中，并基于懸鏡在DevSecOps軟件供應鏈安全領域的全棧能力，與用戶聯合打造下一代DevSecOps敏捷安全體系。

　　針對部分信息化建設程度稍弱的行業用戶和組織，懸鏡安全目前也已經摸索出一套SaaS化安全訂閱的服務模式，以IAST、SCA等單個工具為抓手，從安全診斷開始逐步幫助用戶將安全左移，引導用戶去做早期的安全防護，通過安全開發賦能平臺以及咨詢服務，將整個DevSecOps體系逐步建立起來。

　　針對安全團隊建制完善或是開發能力較強的大型企業用戶，懸鏡安全提出了“用開源的方式做開源風險治理”，將自身商業版SCA產品源鑒OSS開源威脅管控平臺進行了開源并持續迭代，在做商業化運營的同時也為開源生態建設貢獻出了自己力量，長期大量投入人力、物力、資源等，與社區伙伴們一同維護OpenSCA社區，共筑開源安全生態。

　　值得一提的是，日前，在由中國信通院發布的《中國DevOps現狀調查報告（2022）》中，統計數據顯示，懸鏡安全全線產品市場應用率均位列第一，領跑軟件供應鏈安全市場。

　　寧戈也向我們透露，包括中國人民銀行、中國銀聯、中國銀行、中國工商銀行、浦發銀行、平安集團、上海證券交易所、北京大學、中興通訊、中國工程物理研究院、小鵬汽車、東風日產、長安汽車、中國汽車研究院、南方航空、順豐速運、唯品會等大型組織和知名企業都已成為了懸鏡安全的標桿用戶。

　　做軟件供應鏈安全領域的長期主義者

　　在采訪的最后，我們邀請寧戈分享懸鏡安全的未來愿景。他認為，從成立至今，懸鏡安全在技術層面、在公司戰略層面始終專注于DevSecOps軟件供應鏈安全領域，足夠的聚焦也讓懸鏡安全對自身所處領域擁有行業領先的深入理解。

　　圖3 懸鏡DevSecOps敏捷安全技術金字塔2.0版本

　　寧戈表示，作為DevSecOps軟件供應鏈安全領域的長期主義者，懸鏡安全將持續深耕該賽道，堅持技術創新應用，保持自身產品在同類工具中的巨大技術領先優勢和市場領先優勢，繼續探索各行業最佳實踐，為更多用戶提供更專業的產品和服務支撐。同時懸鏡安全也會繼續舉辦DevSecOps敏捷安全大會，不斷迭代DevSecOps敏捷安全技術金字塔等前沿研究成果，持續將洞察到的環境變化態勢、技術演進趨勢和產業變革方向向業界分享，做中國軟件供應鏈安全的堅定守護者。

更多信息可以來這里獲取==>>電子技術應用-AET<<