懸鏡安全：用開源的方式做開源風險治理

隨著數字化應用的高速發展，軟件已被各行各業廣泛應用，成為必不可少的一部分。近年來，全球范圍內有關軟件供應鏈安全的攻擊事件層出不斷，對個人、企業，甚至國家安全都造成了嚴重威脅。近期曝出的Apache log4j2漏洞的嚴重性、廣泛性已經在各個領域顯現，波及面非常大，更是讓業界意識到做好開源軟件安全治理已是迫在眉睫。

2014年成立的懸鏡安全是一家致力以 AI 技術賦能敏捷安全，專注于 DevSecOps 軟件供應鏈持續威脅一體化檢測防御的安全公司，在懸鏡安全創始人兼CEO子芽看來，“隨著數字化轉型的推進，軟件供應鏈安全的市場潛力巨大。我們的初心就是要持續專注于技術創新應用，守護中國軟件供應鏈安全。我們也希望通過努力在這一技術領域實現不斷突破。”

懸鏡安全創始人兼CEO子芽

山河無恙，歷史從不辜負先驅者

懸鏡安全成立于2014年，當時正處于網絡安全行業高速發展的初期，現在看來，許多優秀的創新型企業都是在那個階段成立。據子芽回憶，“懸鏡安全創業初期的團隊是來自于北京大學信息安全實驗室，當時在學校做了很多相關技術的研究課題，主要方向是自動化漏洞挖掘和威脅模擬算法研究。其中，有一項涉及到運行時的動態插樁技術，其優勢是能實現更高的檢測精度和更低的誤報率。基于這些課題和技術研究的沉淀，再加上當時國家成立了專門的網絡安全領導小組以及‘斯諾登’事件等因素，讓我們感覺到網絡安全產業發展的時代到來了，于是就和實驗室的師兄師弟們一起出來創業，成立了懸鏡安全。”

從目前來看，懸鏡安全當時的選擇是正確的。

近些年，我國網絡安全產業高速發展，無論從行業自身的活力，還是國家給予的戰略政策引導和支持來看，網絡安全產業都如旭日朝陽一般。要想在一個行業扎根立足，尤其是科技型企業，沒有過硬的技術實力是走不長遠的。從創業初期進入市場，子芽帶領團隊足足用了5年的時間來進行產品技術的打磨，期間拿到的投資都用于產品和技術的研發。子芽感慨道，“現在回想起來，像我們這樣的技術型創業者，從象牙塔走出來多少都帶有一些學院派的風格，會更在乎產品技術是否達到了要求。比如說一款產品，如果精確度、兼容性沒有達標的話，我們是不會把它推向市場進行商業化。”由此不難看出，懸鏡安全能做到其開發應用安全細分賽道的領先地位，正是靠著自始至終對技術的重視與執著。

一群朝氣蓬勃的年輕人，從一門心思搞研究的實驗室轉戰競爭激烈的商場，其中一定會經歷不少坎坷，面對自身的優勢與劣勢，子芽談道，“劣勢可能就是我們會花更長的時間去研發產品，對于市場的敏感度沒有那么高。比如，當市場需要某個產品的時候，一些技術經驗成熟的公司能很快做出來，而我們需要更長時間進行產品技術的打磨和研發。不過在我看來，劣勢其實也是優勢。正是由于對產品技術研發的高要求，才能拿出過硬、經得起市場檢驗的高質量產品。經過長期的技術沉淀，也為今后更好更快地發展鋪平道路。”

創業并不是一帆風順，這需要有非常的強的決心和毅力，懸鏡安全亦是如此。尤其是在創業初期技術沉淀的時候，團隊也遇到過資金短缺、成員想要放棄的時候，面對這些問題，子芽說道，“學院派的人對技術都是有情懷的，如果不是因為內心的執著與熱愛，我想我們可能也會撐不下來。面對技術難關我們要想辦法攻克，面對成員的情緒我們要做好安撫。最終拿出來成熟的產品，要對得起市場和客戶。經過跟一些頭部客戶進行合作，在客戶那形成的好口碑，我們一下子就在行業里樹立起了品牌，證明了我們自己。”“以用戶需求為驅動，用心做好產品做好交付”這是懸鏡安全這么多年的經驗總結，也證明了以客戶為主、做好產品打磨，滿足市場需求是更好的選擇，因為是金子總會發光。

7年對于一個新興領域的企業來說，發展時間也不算短，回看這些年的發展，子芽認為，“創業就是一個把書讀厚再讀薄的過程，其中不免會踩一些坑，支撐著我們一路走下去的一定是因為熱愛。創業會面臨很多誘惑，一定要處理好產品、技術和解決方案三者之間的關系。不能因為追求熱門產品而忽視了自身擅長的核心技術，而我們正是一直圍繞著我們的核心技術在打磨產品和解決方案，才能在行業內有所突圍，這也是受益于我們的聚焦戰略。”正是如此，精于某項技術才能在賽道中處于領先，才會形成好的品牌認知。同時，子芽還認為，“基于核心技術形成產品和解決方案的閉環很重要，這有利于公司的長期發展，也有利于逐步強化公司在細分賽道的絕對優勢。”

共享時代紅利，彎道超車不再做觀望者

2021年，國家出臺了《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），其中，《條例》第 19 條和 20 條，對運營者采購網絡產品和服務提出了具體要求，對應對關鍵信息基礎設施的供應鏈安全風險意義重大。關鍵信息基礎設施承載了大量的個人信息和國家重要數據，其安全與否對于社會穩定及國家安全的重要程度不言而喻。子芽表示，“開源組件在關鍵信息基礎設施領域的應用程度是很高的，做好這個領域的供應鏈安全工作至關重要。《條例》的出臺非常及時且必要，當前，全球軟件供應鏈安全風險激增，關鍵信息基礎設施領域的軟件運用了大量的開源組件。同時，當下國與國之間競爭日趨激烈，誰能更好的應對供應鏈安全風險，就能在競爭中取得主動權。”

在去年發布的《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》中，開源首次被明確列入。2021年7月工信部發布的《網絡產品安全漏洞管理規定》中，對漏洞的發現、收集、發布行為也有了明確規定。我們可以看到，從國家層面是越來越重視軟件供應鏈安全和開源風險治理。“Apache log4j2漏洞事件的爆發其實是有助于推動開源領域風險治理工作，讓行業乃至國家更進一步認識到了問題的嚴重性。《網絡產品安全漏洞管理規定》的出臺，對于將行業規范化，更有效地防范網絡安全重大風險，保障國家網絡安全意義重大。”子芽說道。

這是一個網絡安全產業發展的好時代，無論是市場的實際需求，還是國家相關政策法規的驅動，網絡安全產業將迎來更加高速發展的時期。“懸鏡安全非常幸運的趕上了這個時期，同時，我們也做好了相應的準備，能跟上產業發展的腳步。以我們的‘代碼疫苗’技術為例，以高門檻的產品技術，讓行業得以簡單的應用，并解決復雜的安全問題，這是我們一以貫之的技術信念。也非常欣喜的看到，在數字經濟發展的大背景下，不僅是金融業、互聯網，包括軌道交通、畜牧業等傳統行業的數字化進程也在逐步加快，軟件應用率大幅度提升，這就意味著我們會有更為廣闊的市場前景，行業發展未來可期。”子芽表示。

“代碼疫苗”技術，開啟軟件供應鏈安全新引擎

Apache log4j2漏洞能有如此的影響程度和范圍，也正是因為當前開源組件的廣泛應用。“開源”是指源代碼、文檔等設計內容開放的開發模式，是群智協同、開放共享、持續創新的理念和生產方式，也是當下軟件開發者樂于并廣泛運用的開發方式。一旦某個被廣泛應用的開源組件發生安全問題，后果不堪設想。因此，認識和了解開源安全風險情況并做好治理工作至關重要。子芽認為，“首先，安全企業自身的軟件產品必須保證其代碼的安全性，需要有一套安全的開發流程和體系；其次，企業應該具備自我診斷和積極防御的能力，這個就是懸鏡安全提出的的‘代碼疫苗’技術。我們一直專注于以AI人工智能技術為核心的DevSecOps軟件供應鏈持續威脅一體化檢測防御，自動化的威脅檢測和積極防御可以大大提升工作效率。我們的源鑒OSS開源威脅管控平臺也能有效應對開源風險問題。”

與傳統SCA產品相比，源鑒OSS依靠獨有的 IAST 技術引擎，擁有運行時分析能力，以準確識別應用程序是否實際使用了易受攻擊的組件并驗證漏洞有效性，使開發人員避免面對數量巨大的誤報和無法利用的漏洞。同時，源鑒OSS可以與DevOps流程無縫結合，在流水線上自動發現應用程序中的開源組件，提供版本控制信息，通過第三方平臺實時推送，從而實現及時的反饋和快速行動。

2021年12月3日，懸鏡安全正式官宣全球首款企業級OpenSCA技術即將開源，并提出“用開源的方式做開源風險治理”。12月30日，OpenSCA開源發布會在京圓滿舉行，懸鏡安全創始人兼CEO子芽發表《用開源的方式做開源風險治理》的主題演講，子芽表示，希望通過“用開源的方式做開源風險治理，和大家一起，守護中國軟件供應鏈安全！” 

相信未來，懸鏡安全將繼續發揮其技術核心優勢，乘著“十四五”期間產業發展的東風，更好地為國家數字經濟發展和數字化轉型保駕護航！