最近火爆的“元宇宙”概念，向人們勾勒了數字世界的未來發展形態。如果說物理世界是由物體及背后的分子、原子等組成，那么組成數字世界的基礎就是成千上萬的軟件，以及背后由研發人員精心設計和編寫的一行行代碼。而數字世界的安全風險，就隱藏在這些代碼中。

　　如今，隨著軟件產業的快速發展，軟件供應鏈也越發復雜多元，復雜的軟件供應鏈會引入一系列的安全問題，導致信息系統的整體安全防護難度越來越大。從2020年12月SolarWinds遭遇國家級APT團伙供應鏈攻擊，到今年2月，微軟、蘋果、PayPal、特斯拉、優步等35家國際大型科技公司內網被軟件供應鏈攻擊成功入侵，針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢，造成的危害也越來越嚴重。作為保障軟件供應鏈安全的重要手段，軟件開發安全相關技術和產品受到越來越多的關注。

　　為了幫助企業在源頭解決軟件開發安全問題，當前開發安全廠商的主流做法是，向企業用戶提供包括SAST靜態應用程序安全測試、DAST動態應用程序安全測試、IAST交互式應用程序安全測試、SCA軟件成分分析以及Fuzzing模糊測試等不同安全工具，在軟件開發流程中的不同階段介入安全手段，以幫助企業降低軟件可能存在的安全風險。

　　在此前對多家開發安全領域廠商的拜訪中，許多行業資深人士談到，奇安信「代碼安全實驗室」在SAST和SCA兩大工具方面建樹頗高。于是，帶著一探究竟的想法，安全419來到奇安信，并有幸拜訪了代碼安全事業部總經理、代碼安全實驗室主任黃永剛，邀請他為我們分享了自身對開發安全領域的認知和洞察。

　　黃永剛向我們介紹，奇安信代碼安全實驗室成立于2011年，在彼時那個大環境下，國內主流的安全廠商基本都在做運行防護類的安全產品，比如防火墻、IDS/IPS等等。在黃永剛看來，防護設備都是在軟件部署運行之后發生作用的，去做漏洞掃描、補丁修復以及防止外部攻擊等行為，但安全事件很多都是因為軟件漏洞引起的，因此解決軟件自身的安全問題才是根本之道。因此，團隊選擇了軟件開發安全的技術方向，從軟件漏洞研究開始著手，試圖回歸安全的本質，從源頭尋找一條更有效的安全解決方案。

　　黃永剛表示，軟件開發安全產品的技術門檻很高，當時從事相關研究的人也很少，而自己和團隊已經在這個領域里探索了超過十年，看著軟件開發安全從一個技術大冷門走向熱門風口，相關領域的廠商也大量涌入，才感覺大家的堅守得到了回報，“畢竟一路走來也很寂寞，中間也曾經動搖過，但幸好一直堅持了下來?！彼χf道。

　　之所以代碼安全實驗室能始終堅持這條研究路線，也是建立在一個基礎的認知和根本的思考之上：軟件是構建數字世界的“虛擬人”，各種軟件在數字世界里各司其職，就如同人在物理世界中從事不同的工作一樣。隨著數字時代的到來，軟件已經成為支撐社會正常運轉的最基本元素之一，地位越來越重要，在很多領域軟件已經代替了人，軟件自身的安全性問題正在成為社會的根本性、基礎性問題。

　　黃永剛舉了一個形象的例子：我們可以想象一下，假使一個人即將進入一個重要單位工作，那么他通常會面臨嚴格的背景調查，對其個人的思想品德、作風紀律、家庭背景、犯罪記錄等等進行調查訪問，通過了背景調查，他才能被錄用。

　　在他看來，與人相比，軟件在進入重要單位時，獲得的權限比員工甚至更高，一些核心的業務系統會存儲和處理這個單位最敏感的核心數據，但卻很少有人關注到軟件的“背景調查”工作。企業采購了一個軟件后，或許會知道它是哪家廠商提供的，但它是誰開發的？開發時是否使用了開源組件？是否使用了第三方組件？是否由外包團隊開發？軟件是否存在安全漏洞？是否存在未聲明的維護后門？這一切都是被忽視的隱秘角落，存在著巨大的安全隱患。

　　黃永剛表示，原來大家所談的軟件安全，更多是軟件本身的安全、代碼的安全。但現在軟件安全的內涵已經將軟件供應鏈囊括在內，“如果此前定義軟件的實體是一個圈，那么現在在這個圈的周圍，還散布著由軟件供應鏈組成的與之相連接的許多個圈。我們現在談軟件安全，應該是指軟件及其供應鏈安全，其內涵已經發生了變化?！?/p>

　　國內SAST主流市場被外企占據背景下

　　代碼衛士產品應運而生

　　據安全419此前了解，奇安信代碼安全實驗室目前只推出了代碼衛士（SAST）和開源衛士（SCA）兩大產品，為何是這兩個工具？而非IAST等其他方向？這背后是否有著怎樣的技術思考？

　　針對這一疑問，黃永剛告訴我們，一方面SAST產品先天有著技術方面的優勢，它適用性強，只要是編程語言方面能夠支持，無論是什么形態的軟件都能夠適用，可以較好的滿足企業的安全需求；另一方面，在代碼安全實驗室成立之時，國內的SAST產品市場基本上被國外安全廠商所把控，金融、能源等重要的關鍵信息基礎設施單位也不例外。因此，代碼安全實驗室當時的理想和主要攻關任務就是研發出一款中國安全企業自研的SAST產品，以替代國外廠商，這也是代碼衛士產品的由來。據他介紹，代碼衛士是軟件開發安全領域第一款由國內團隊完全自主研發的商用產品，也是這個領域第一個獲得公安部頒發的銷售許可證的產品。

　　開源衛士這款產品則是隨著軟件開發模式的發展變化和安全攻防形勢的演進，由客戶痛點催生而來。根據代碼安全實驗室6月份發布的《2021年中國軟件供應鏈安全分析報告》顯示，國內企業軟件項目100％使用開源軟件，超8成軟件項目存在已知高危開源軟件漏洞。為了應對迅速增長的開源軟件安全風險，代碼安全實驗室打造了開源衛士產品。它是一套集開源軟件識別與安全管控于一體的軟件成分風險分析系統，通過智能化數據收集引擎在全球范圍內廣泛獲取開源軟件信息和安全風險信息，幫助客戶掌握開源軟件資產狀況， 及時獲取開源軟件威脅情報，消減由于使用開源軟件帶來的安全風險。

　　黃永剛回憶道，2015年時，代碼安全實驗室團隊曾經畫過一張藍圖，將實驗室要做的開發安全產品的類別、支持的平臺、支持的軟件形態、主持的編程語言、技術實現路線、要實現的業務功能，以及產品對標的對象等清晰的繪制出來，“如今再回頭去看這張藍圖，我們依然在圍繞著此前繪制的方向穩步發展，未來我們會擴展更多的產品品類，為用戶打造更完整的，面向軟件供應鏈全鏈條的安全解決方案?！?/p>

　　他同時表示，代碼安全實驗室強調的第一原則是在一個技術方向、一個產品上首先要做深做精，在客戶的應用場景上要能實現價值閉環，要能幫助客戶真正解決實際的問題，然后在此基礎之上再不斷的擴展。

　　“攻擊左移”帶來了安全左移

　　開發安全領域已經開始直面攻防一線

　　“在開發安全領域，大家會經常提到的一個詞是‘安全左移’，那么為什么安全會左移？其實回答這個問題不難，因為攻擊正在左移?！?/p>

　　他談到，此前開發安全領域里的產品廠商，通常不需要直面黑客攻擊的壓力，安全事件發生時，往往是傳統安全產品廠商第一時間站出來做應急響應。但隨著攻擊不斷的左移到軟件開發環節，這一情況正在迅速的發生變化。

　　軟件供應鏈可以大致分為開發、交付、運行三個環節，每個環節都可能會引入軟件供應鏈安全風險從而遭受攻擊。軟件開發環節的安全防護相對來說比較薄弱，而且作為軟件供應鏈的上游環節，軟件開發環節的安全問題會傳導到下游環節并被放大。而攻擊者歷來追逐性價比最高的攻擊方式，所以攻擊左移是攻擊者的自然選擇。攻擊左移對開發安全領域的公司和產品提出了更高的要求，攻擊就發生在眼前，開發安全類產品需要針對攻防動態的變化不斷的更新能力，更新知識庫，與時間賽跑，與黑客賽跑，并要做到持續運營。

　　“開發安全已經身處攻防場景之中了，比如在某一開源組件爆發安全漏洞后，廠商是否能第一時間獲取漏洞情報，安全產品是否能快速形成檢測能力并交付到客戶手中，這是非常關鍵的，這需要非常強的產品安全運營能力，這對于傳統做開發安全的公司挑戰是很大的，而奇安信的漏洞研究能力、威脅情報能力、安全運營體系的優勢就凸顯出來?！?/p>

　　強大漏洞研究能力+豐富的應用場景打磨

　　構成奇安信代碼安全產品的先天優勢

　　黃永剛談到，打造一款好的開發安全產品需要兩大因素。

　　其一是需要強大的漏洞研究能力，軟件開發安全領域最終要為客戶解決軟件的安全問題，而想要發現軟件自身的安全缺陷、發現漏洞，就意味著必須擁有核心的漏洞研究能力?？蛻粼谶x擇開發安全類產品時，廠商的漏洞研究能力常常會被忽視，但事實上，不懂漏洞和攻防，就很難有足夠的技術積淀和經驗積累，這樣做出的安全產品自然也很難在漏洞檢測時發揮出應有的作用。

　　他告訴我們，奇安信代碼安全實驗室一直在支撐國家級漏洞平臺的技術工作，多次向國家信息安全漏洞庫 （CNNVD）和國家信息安全漏洞共享平臺 （CNVD）報送原創通用型漏洞信息并獲得表彰。實驗室還幫助微軟、谷歌、蘋果、Cisco、Red Hat、Ubuntu、Oracle、Adobe、VMware、阿里云、華為等大型廠商和機構的商用產品或開源項目發現了數百個安全缺陷和漏洞，并獲得公開致謝。

　　其二是擁有豐富的用戶場景，對產品進行不斷的錘煉。To B安全產品走完從產品做出來，到與客戶場景磨合，再到客戶反饋不足進行修改完善這個大的閉環，通常需要一個相對較長的周期。

　　這恰恰是奇安信相較于其他開發安全廠商擁有的最大優勢：開發安全廠商普遍體量不大，安全產品天生就是做給別人用的，而奇安信則有較大的不同，由于集團自身擁有數十條產品線、數千名研發人員，從硬件到軟件再到云，覆蓋了大多數的應用場景品類，可以說先天就是一個非常豐富的試驗場。因此代碼安全實驗室的產品或新功能會首先提供給內部使用，在內部先打磨，最后再放到客戶的場景里落地。

　　“目前奇安信代碼安全產品在國內已經擁有400多家大型客戶，覆蓋了政府、軍隊、金融、能源、運營商、醫療衛生、教育、汽車、航空、互聯網等行業領域，產品在客戶側經過了各種應用場景的考驗，已經比較成熟。同時作為一個綜合性安全廠商，奇安信的安全能力是一個有機的整體，我們龐大的安全能力中心、完善的威脅情報體系、安全運營和服務體系會給我們的產品提供非常多的支撐，這些因素共 同構成了奇安信代碼安全產品最大的優勢和門檻?！?/p>

　　珍惜行業發展的土壤

　　一花獨放不是春，百花齊放春滿園

　　最后，談到當前國內開發安全市場的競爭格局時，黃永剛表示，雖然國內開發安全市場整體起步較晚，但目前國外廠商提供的安全產品正在被逐步替代，國內產品必將成為這個領域的主流。而就國內友商來說，現在談競爭還為時尚早。

　　他認為，如果大家想要真正的在軟件開發安全的領域中長期發展，應該把關注點放在產品的能力提升和產品化程度的提高上面，加大產品的研發投入，在客戶的場景里完成價值的閉環，不斷的迭代能力。

　　“在軟件開發安全領域很少有廠商能夠真正的完全覆蓋所有品類，做好每一款產品都需要持續不間斷的投入和運營。開發安全產品是用戶價值驅動的，只有把產品做好，讓用戶來說話才是硬道理。我們每個人都要珍惜來之不易的土壤和環境，做真正對行業和用戶有價值的事情。百花齊放才真正象征行業春天的到來?！秉S永剛最后說道。