安全419《软件供应链安全解决方案》系列访谈——安全玻璃盒篇

本期安全419《软件供应链安全解决方案》系列访谈邀请到一家长期专注于DevSecOps、软件供应链安全领域的老牌企业——杭州孝道科技有限公司（在业内大家更习惯于用另外一个名字去称呼他们——安全玻璃盒，因此以下内容均使用这一名称进行阐述），接下来，我们就一同了解一下他们在该领域的积累和思考。

安全玻璃盒联合创始人、CTO徐锋于访谈中表示，在早期刚开始涉及开发安全乃至软件供应链安全这个领域时，能够感受到市场层面对其仍缺乏关注，虽然当前基础安全建设已基本完善，但应用的内生安全仍未能够获得足够的重视。对于国内市场，目前仍然处在一个起步阶段，无论是DevSecOps还是安全左移的概念，虽已被逐步接受和认可，可在实际落地过程中，客户群体仍主要是以部分行业的头部企业为主，想要传导到腰部或尾部的用户，仍需要一个相对较长的过程。

在谈到用户需求时，徐锋则从以下几个方面进行了阐述：

1、头部用户（客户）。这类用户的特点是在整体网络安全投入的资源以及预算等方面较为充足，在实践以及落地方面都有着一定的能力和经验。如部分互联网、金融等行业的大型企业，对包括开发安全在内的各个方面关注较早，在SDL体系的落地方面也普遍做得较为到位。对于这类用户群体，在开发安全层面更多是需要引入专业的能力（如IAST、SCA等），随后他们依靠自身能力去协同第三方做好整体平台的集成，形成DevSecOps工具链。

2、腰部用户（客户）。这类用户的特点是尽管也具有一定规模，但在网络安全资源的投入方面同头部客户差距较大，且安全团队、人员相对要少很多，普遍缺乏相关安全建设的能力和经验，但业务需求端对产品的上线、迭代速度要求同样很高，因此，它们所面临的应用安全风险同样具有较高的风险。相比之下，此类用户群体对整体解决方案的需求更高，从咨询、产品再到整个DevSecOps工具链建设的支持都需要专业力量去协助和支撑完成。

除此之外，他还特别提到了一种类型的用户群体——无开发团队用户。这类用户的特点是自身没有开发团队和人员，在软件产品开发过程中，他们所参与的只是早期提出需求的阶段，剩余所有开发过程都以外包的方式交予外部软件供应商完成。徐锋表示，由于各种原因，这类用户对于供应商的安全管理难以到位，因此会面临的问题更为严重，比如在应用交付时，涉及安全层面存在很多盲区——交付时有无进行过安全测试、是否存在漏洞、软件组成成分是否清晰、API接口情况如何等等，如果这其中任何一个点存有安全隐患，那么后期安全风险就会增大。

针对这类用户群体，他们所需要的其实也是一整套解决方案，这也是接下来我们要介绍到的安全玻璃盒旗下的解决方案之一—新一代数字化应用安全平台。

面对不同用户的不同特点以及需求，安全玻璃盒除了不断地研发、迭代自身产品，让安全能力获得持续性提升之外，还有机的将旗下产品进行融合，并以平台的形式交付给用户。据了解，新一代数字化应用安全平台包含了安全玻璃盒的三大安全原子能力，分别是IAST（交互式应用安全测试系统）、开源组件安全检测与分析系统（SCA）以及RASP（应用的自适应免疫防护）。

需要强调的是，该平台并非是简单将三个产品能力合并在一起，“这三个能力之间都是有深度耦合以及智能协同的。”徐锋告诉我们，这个平台还有一个显著特点——只需部署一个agent，就可以实现这三个能力。“这意味着用户在做交互式应用安全测试时，就可以同时有能力去针对漏洞的可达性、可利用性进行测试，相当于将组件安全和IAST有机的结合起来。”

另外，借助于深度融合的优势，在测试过程中遗留下来的包括应用程序的输入输出、执行指纹等数据，可以保留到应用的运行阶段，为RASP提供更为精准的防御算法。特别值得一提的是，在借助IAST所提供的数据进一步提高防护精度的同时，还能实现补强IAST，针对这一点，徐锋介绍道，RASP是在执行点进行风险函数的插桩，当发现攻击行为所利用的是前期IAST没有覆盖到的漏洞，相关数据就会并入到IAST中，从而补强IAST的污点分析能力，令平台对该用户的安全能力实现有针对性地提升，从而更充分发挥出其在安全效能上的优势。

通过他的简单介绍可以看出，在新一代数字化应用安全平台中，是真正实现了三大能力的有机融合，事实上，也正是由于这种融合，令其相比传统的所谓“缝合怪”类型产品，不仅在能力上还是在易用性上，都有显著提升，更有效保障用户的应用从开发到上线整个周期的安全。同时我们还了解到，新一代数字应用安全解决方案也是安全玻璃盒能够获得成为IDC Innovators中国DevSecOps技术创新者的重要技术点。

图1：安全玻璃盒-新一代数字化应用安全平台

据我们所接触到的一个应用该解决方案实际案例，其可实现的功能主要有以下几点：

由于软件供应链攻击本身具有低成本、高效率的特点，因此具有极强的扩散性和传导性，与之相关的安全事件在近两年来更是被频繁爆出，除了软件开发者自身损失之外，还会对其供应链下游的软件客户/用户群体制造威胁，其风险之大已经让软件供应链安全成为全球关注的重点领域之一。

依靠自身常年在开发安全领域积累的经验和能力，安全玻璃盒也适时推出了软件供应链安全解决方案。徐锋告诉我们，软件供应链安全融合了整个安全开发的全生命周期，因此相应的解决方案也应覆盖这一周期。

软件供应链可以大致分为开发、交付、运行三个环节，每个环节都可能会引入软件供应链安全风险从而遭受攻击。软件开发环节的安全防护相对来说比较薄弱，而且作为软件供应链的上游环节，软件开发环节的安全问题会传导到下游环节并被放大。而攻击者历来追逐性价比最高的攻击方式，所以攻击左移是攻击者的自然选择，因而这也对开发安全领域的公司和产品提出了更高的要求，

因此，安全必须要尽可能早的融入到软件开发流程之中，徐锋介绍道，安全玻璃盒推出的软件供应链安全解决方案会在软件开发过程中的设计阶段开始介入，包括框架选型的支持，而且除了提供相应的漏洞信息之外，还会加入包括对相关社区的成熟度、项目的成熟度、是否有执行严格的安全策略等多个维度进行评估。如帮助甲方去分析相关框架、项目的主导公司是否值得信任，包括对过往的记录、当前的表现以及对其未来的预期做出分析和判断，以避免甲方在开发过程中或是开发完成后的软件运营过程中，因该框架、项目的主导公司出现问题而导致自身的软件在后续开发、运营过程中出现问题而导致业务受损的情况出现。

在我们看来，这种服务极为重要，毕竟前期尽可能的规避风险远比后期弥补风险在成本上更具可控性，无论是上述哪种类型的用户，都应力争做到这一点。

图2：安全玻璃盒-软件供应链安全解决方案总体架构

应用运行时安全也是软件供应链安全中极为重要的一个环节，徐锋表示，在应用软件遭遇突发漏洞影响的情况，当相关事件爆发后，作为供应链中任何一个参与者都会面临两个问题，一是需要明确了解哪些项目或软件是受影响的，二是应急响应。如果说前者通过供应链安全解决方案中的SCA可以快速排查出来的话，那么后者则对响应时间的要求很高，这个时候就需要依靠RASP的防护能力来保证在没有补丁的情况下先行防护，这是它最大的优势所在，由于具有应用的上下文，它可以对应用程序的行为结合上下文进行持续分析，一旦发现攻击行为便可立刻进行响应。

事实上，防护的能力对于企业用户而言是至关重要的，在当前这个数字业务的时代，应用软件承载着企业的业务，而修复安全问题需要时间，有时甚至需要停机处理。徐锋表示，这种业务中断的损失对于企业用户而言是难以接受的，因此通过动态防御的方式先行防护，帮助用户争取更多的时间窗口，在下一个迭代中去彻底地修复问题组件。当前，这一能力均已融合在上述安全玻璃盒所提供的两个解决方案之中。

整体来看，安全玻璃盒此款解决方案覆盖了软件供应链安全的各个重要环节，且依靠长年在技术研发、应用落地等多方面沉淀的优势，在产品能力、服务能力双方面都达到了较高的水准，而且该解决方案的自动化能力较强，易用性表现突出，附议安全玻璃盒安全专家提供的服务支撑，可有效帮助用户建立适合自身的软件供应链安全体系，保障企业数字化转型过程的顺利开展。

在与安全玻璃盒沟通的过程中，我们也了解了他们的部分案例，其中之一为针对某金融企业客户，其采用软件供应链安全解决方案的目的在于解决规范开源软件在其各个数字业务系统生命周期中的安全采集、安全管理及安全使用，从系统开发源头构建完整的开源软件供应链安全体系。从对知悉开源软件中的漏洞，预防新漏洞的产生，修复或消除漏洞三个不同角度来解决开源软件带来的安全威胁。确保开源软件供应链的完整性、保密性、可用性、可控性。

据了解，该案例的主要任务是为用户提供包括软件成分分析能力（SCA）、开源资产的管理能力、 DevSecOps 集成能力、开源数据的收集和分析能力以及对供应商的管控能力，从而实现对其使用的开源软件在整个软件生命周期的安全管理。

在对现有目标数字业务系统的治理方面，安全玻璃盒的解决方案可以实现对不同来源、不同阶段项目的开源软件成分进行全面的溯源、整合及分析。

在开源软件评估及组件选型方面，该解决方案会依据数据模型（图2），对用户业务系统及引入的开源项目进行各个维度的数据采集，最终输出业务系统的综合评估分数，协助开发和安全人员对开源软件供应链产品进行合理的选择。同时，在开源的知识库支持下，该解决方案根据开源软件信息的归类，帮助用户的开发人员进行架构和组件选型，并且对不同组件进行有效评分，进而协助开发人员快速选型。

图3：安全玻璃盒-开源项目评估及组件选型数据模型

在对开源资产进行管理及开源组件漏洞许可识别方面，安全玻璃盒的解决方案除治理该系统本身应用中所引入的第三方组件之外，还可通过开源资产的管理功能对整个项目以及引入的第三方成分建立起开源软件安全有效的跟踪机制，可及时有效发现开源组件及相关集成的开源产品的漏洞，根据系统体检的修复建议，在第一时间采取相关修复和防护措施；在漏洞层面，在基于用户业务系统开源软件成分分析的结果，根据获取的开源组件信息，分析引擎会对比开源知识库。根据组件的版本、名称以及组件特性值，获取业务系统相关的开源软件活跃度、技术支持、更新 频率等信息，形成有效的检测报告，协助用户的安全部门或研发部门相关人员进行合理评估，而且对于存在漏洞的组件，该解决方案也会提供修复建议和相关替代版本的推荐。 

在基于DevSecOps的插件集成方面，该解决方案实现了DevSecOps工具在整个项目开发过程中的无缝接入，从需求、编码到实施和运维，进行全生命周期的安全赋能，推进各级业务系统的安全串联。

在供应商安全评估管理方面，该解决方案可以在该用户原有的管理基础上，提供对用户的供应商安全能力在公司资格、人员能力、服务能力、产品认证等多个维度进行综合评估，有效帮助用户确保产品源头的安全。

在与开发安全相关的其他建设方面，安全玻璃盒通过提供包括以合作的方式协助用户构建包括供应链安全管理部门、制定相关安全策略和管理制度，这些内容均覆盖了包括人员安全、开发安全、维护安全以及供应商管理等多个方面，确保供应链安全的有效落地。

最终成果方面，在运行数月并经过应用于各个阶段的实际效果验证后，该用户认为，安全玻璃盒的软件供应链安全解决方案不但对原有项目的开源组件进行了有效的梳理和升级，并且在著名的Log4j 2漏洞爆发后，帮助其安全人员快速定位有使用该组件的系统并迅速修复，在很大程度上避免了该漏洞可能导致的安全威胁和经济损失。同时，该用户还将数字业务系统的安全属性与之前传统方式进行的安全成效进行了对比分析，结果显示，无论是在时间还是人力的成本上都有了显著改善。

在此前我们与安全企业以及甲方用户的交流中，了解到当前有一较大的问题在于安全工具、产品或解决方案本身具备良好能力，但在用户端落地应用过程中，却并未发挥出预期的效果，该问题在开发安全领域中同样存在，针对这一情况，徐锋表示，“安全领域中的工具、产品，都是一种手段，更重要的还是在于人，很多时候，工具和产品主要在于提高效率以降低人的成本。”

安全玻璃盒在应对这一问题时的思路在于，如想帮助用户真正用好工具、产品或解决方案，以最终达成预期中的安全建设和能力，应首先从文化角度去思考。“对于开发人员，需要始终对其强调一个核心思想——安全责任的共担。安全理念、安全意识都是开发人员应具备的素养。”徐锋强调道，“安全是整个团队的事情，而不仅仅是安全部门的事情。”

徐锋认为，“如果只是将解决方案简单交付给用户，在推广使用的过程中未能将开发人员包含在其中，那么该解决方案的实施基本上就是失败的。”谈及解决方案推广实施过程中的阻力这一问题时，他告诉我们，最大阻力主要源自于责任边界的划分。“用户端的安全开发项目，多数都是由安全部门发起，但如果该项目未能和研发部门之间打通，那么这个项目必然无法达到建设它的预期。”面对这一阻力，安全玻璃盒的做法是帮助用户做好向上管理。作为安全解决方案的提供商，他们也会积极主动的同客户的安全部门、研发部门，甚至他们共同的上级部门（如IT部门等）进行沟通和汇报，在整个项目或解决方案交付时，会让上级管理部门明确了解整个安全开发的理念，只有在获取上级管理部门的支持后，安全部门和研发部门彼此之间的边界才会被打破，以保证项目顺利实施并达到预期效果。反之，如仍未能打破这层边界，项目实施难度可想而知，从而很难保证最终的效果。

同时，安全玻璃盒也提供了相应的系统性服务，包括安全开发意识培训、安全开发技能培训，以帮助甲方用户提升其开发团队成员的安全素养，增强安全意识，有利于降低开发人员自身问题导致安全风险出现的概率。同时，在工具、产品以及解决方案的交付过程中，安全玻璃盒也会让其安全顾问去协助甲方用户进行推广和培训，使得其解决方案可以更容易地在开发人员视角下落地，更好的应用在开发过程之中，以让用户真正的用好并解决实际问题。

徐锋在访谈的最后告诉我们， 无论是自身的安全能力还是后续的产品布局，安全玻璃盒会始终聚焦于开发安全、软件供应链安全领域。据了解，安全玻璃盒近几年也在积极地参与安全开发相关标准的建设，包括参与编写中国联合网络通信有限公司研究院主导的《CU-DevSecOps实践白皮书》、浙江省地方标准《基于安全检测插件的Web应用系统安全检测技术规范》、国家工业信息安全发展研究中心主导的团队标准《软件安全开发能力要求》以及国家信息安全测评中心主导的国家标准《信息安全技术 安全开发能力评估准则》等开发安全标准。

在产品方面，在进一步完善布局，提升能力的同时，会持续关注降低用户的使用成本，进一步增强产品的易用性，降低使用门槛，以一线开发人员、团队的视角，帮助他们更好的上手和应用，即便在开发人员欠缺安全经验、无专业安全人员介入的情况下，也能助力他们开发出更安全的软件，“这也是我们长期秉承的服务宗旨——让每个用户都能轻松交付安全、合规的产品。”

END

laos

安全419编辑部

我，loas，来聊！

//推荐阅读