应用安全的创新，Apiiro和WABBI

• 全部都是破绽

• 误报漏报永无休止

• 缺乏数据协同能力

• 安全对业务的阻碍太大

• 创新沙盒，Apiiro和WABBI

• 什么是RSAC创新沙盒？

• Apiiro

• Wabbi

• 创新过程

• 参考材料

全部都是破绽

请大家不要仅仅关注hvv，想想未来的发展。在敏捷，尤其是在分布式、微服务和多云环境中开发应用程序和基础架构时,安全的工作模式也会发生变化。下一个十年是“互联网下半场“的角逐，相应的应用安全建设也需要从”大力出奇迹“到精细化运营。应用安全所在的大安全行业总是要欢迎变化的，或者不情愿地做出适应性改变，国内庞大区域市场之间不平衡不充分的发展虽然容许理念存在滞后性，但放眼未来没有什么比“改变与创新“更为重要。

笔者很遗憾在国内应用安全领域尚未看到任何一家具备创新潜力的公司（也许某些从业者会罗列为客户落地解决了多少问题，请不要妄自菲薄，这里仅讨论创新这个领域）。大家往往拥有智慧而不具备远见，也许是视野不足所以不知道未来更好的方向是什么，这时候技术从来都不是问题，时间更最重要，事后看往往最优秀的市场领导者是有先见之明的，技术势能越大，赛道越长。

SDL在不断热衷做黑盒、白盒、灰盒、蓝盒（TAST：Threat-Driven Approach to Security Test，威胁驱动的安全测试）四个的轮子的时候，做完了这些下一个领域该做什么呢？

尽管围绕瀑布方法已经建立了良好的SDLC（应用安全开发生命周期）覆盖现有流程，但它们并不适用于绝大多数组织的业务模式。而DevSecOps文化为什么不可行呢？安全夹在Dev和Ops之间，将安全性集成到DevOps中以提供DevSecOps要求改变思维方式，流程和技术。Sec的效果取决于Dev和Ops之间的组织关系是如何变化的，当组织层面没有做出相应的改变就要推行DevSecOps时，这是对安全负责人的职业谋杀。

真正实施DevSecOps时，总是不离开敏捷、自动化、安全左移三板斧，三板斧挥出去之后又开始攻防事件驱动的安全运营，然后等待迎合数年后在DevSecOps之后出现的新名词。再完善的安全运营机制也不能解决以下三个问题：

误报漏报永无休止

在考虑代码风险时，我们倾向于并且将思维局限于-诸如SAST，SCA，DAST，IAST或将它们连接在一起的持续集成工具之类的漏洞和检测工具（笔者称之为安全人员的办公OA）。从根本上讲仅依赖于那些工具会被误导，因为它们会遗漏应用大量上下文信息，从而导致大量误报和漏报，减慢了开发的进度，损害了安全发展。

缺乏数据协同能力

如何获得对应用程序和基础架构的完整风险可见性？历史在大量的日常活动中，我们得到了漏洞发现率、Rasp覆盖度、webshell检测率等复杂的安全度量指标，却从来没有人真正站在业务角度考虑业务希望看到什么？什么是对业务有用的数据？哪个指标安全是业务能理解的？安全团队相对独立的技术栈此时成了阻碍，薄弱的数据分析能力也不能助力组织未来在国际市场化的竞争。

安全对业务的阻碍太大

不管是SDL还是DevSecOps，处置漏洞管理活动时还处于推修工单化阶段，远远不到自动化、服务化的阶段，建设跟不上导致阻碍业务效率就是拖公司后腿，从资源投入和时间评价看来不可能做得及格线以上，实事求是讲安全能力可能帮助达到短期的安全效果，但是对比国际一线企业是不及格水平。

在历次的安全推修中，重点考虑风险的立即解决，无意间忽略了公司付出的成本，从“拿结果”上看基本取得了预期的效果，但是从“看过程”中必须要明白的是：这种简单粗暴的方法是临时激进的、是费时费力的、是伤害安全文化的。在解决技术债务中配合产生的人力资源成本、沉没成本极其高昂，对此可以举出很多例子，fastjson、weblogic、windows补丁、致远OA还有很多很多.....如果有更多的时间，我们必须给出更智能的解决方法，让安全研发服务整体不低于企业IT技术平均水平。

“动态的漏洞管理：针对漏洞修补的难题，网络安全产业终于认识到要求用户安装所有补丁是不现实的，更加多元化的方法处理系统漏洞问题，是很多安全创业公司的方向之一。” --419五周年丨谭晓生：在回顾与展望之间 谈谈网络安全产业热点与热词

仰望星空，也需要脚踏实地，适合的才是最好的，笔者反复提到Security Mesh才是未来安全的方向，展望RSA Conference 2021创新沙盒竞赛，在应用安全开发领域有Apiiro和WABBI两家公司入选，其他决赛入围者主要是零信任和数据安全领域的公司。很欣慰看到这两家在公司略微符合笔者对Security Mesh的定义，每次看到这类创新产品时，我都知道安全开发的生命周期要被重塑了。下面跟随笔者详细展开来看下吧！

创新沙盒，Apiiro和WABBI

什么是RSAC创新沙盒？

管理思想家普拉哈拉德在2006年创造了“创新沙盒”一词，沙箱的侧面则代表着约束，而沙子唤起一种安全感（沙子可防止意外故障造成的伤害）和变化的随意性（突破性的创新）。

”创新的‘沙盒’涉及相当复杂，自由形式的探索，甚至是嬉戏的实验……在极其固定的指定限制内。”

--普拉哈拉德

自2005年以来，RSAC创新沙盒一直是最有胆识的年轻网络安全公司的平台，以展示其突破性的技术并争夺“最具创新力的初创企业”的称号。竞赛被认为是成功的推动力，因为自竞赛开始以来，排名前10位的入围者共进行了50多次收购，获得了82亿美元的资金。借鉴到国内公司，同类型创新想法必将克服明天的网络安全威胁。

“整个安全产业从投融资的角度来说的话，2020年实际上是非常火热的一年。有公开报道的融资事件，去年是达到了117，总的融资金额是超过100亿元，相比于2019年全年是上升了139%。网络安全产业大额融资也频频出现。安全板块的市盈率都要高于A股的资源板块，且高于创业板平均市盈率且高于主板市盈率，这说明在二级市场的投资人眼里，安全产业它永远是一个朝阳产业。“

-- 元起资本创始合伙人  何文俊

Apiiro

Apiiro处于DevSecOps、应用程序安全、DevOps生产力和云安全市场的交叉点。Apiiro代码风险平台可以帮助客户在开发生命周期的早期进行管理重要的风险，实施应用程序治理和法规遵从性，并防止高级CI / CD攻击。Apiiro会分析整个开发过程中的数据，以帮助组织识别，确定优先顺序并补救有风险的重大变更。Apiiro通过提供跨应用程序，基础架构，开发人员的知识和业务影响的风险可见性，帮助组织构建应用程序风险计划。

两位创始人都是以色列国防部的退伍人员，CEO Idan曾经创办Aorato（主要业务是在云以及本地和混合云环境中使用机器学习来检测可疑攻击行为，在2014年被微软以2亿美金收购），后来担任Microsoft工程总监。技术工程方面的负责是Yonatan Eldar,他曾经是Microsoft的架构师和工程经理，负责处理微软大型工程团队产品风险，将风险划分优先级，提供修复计划并同其他高管沟通。

为什么进行有这类产品创业的想法呢，微软也面临这样的挑战：现有的安全性和合规性工具和流程大多是手动的和定期的，为了以便进行集成控制并满足风险管理要求，产品交付过程中遇到安全的阻碍，开发流程严重减慢。

这家公司位于以色列特拉维夫，谭晓生也曾经提到，以色列的网络安全创新土壤极其丰厚，感兴趣的读者可以看下前几届创新沙盒里的几家以色列公司和以色列神秘的8200“军工厂”。

关注安全应该介入的阶段。Apiiro以只读权限连接到公司的源代码管理管理器和工单系统。在开发过程中或安全团队中的安全架构师或安全拥护者首先会收到Apiiro的警告。然后可以在安全流程中请求中添加一名安全支持人员，然后说：'安全专家是帮助补救危险的重大变更的合适人选。' 这是在不引入新工具的情况下将安全性集成到开发过程中的方式，因为开发人员在引入任何新工具时都会讨厌它。

什么是重大变更？一个亮点是该系统还可以跟踪并分析出来哪些是高风险的功能更改，例如编辑用于管理汇款逻辑和其他纳入治理规则的API。

解决了类似最近火热的php代码供应链攻击和SolarWinds事件的根本问题。Apiiro代码风险平台能够检测开发人员身份中的异常行为，以识别受感染的帐户和内部威胁,在提交过程中，如果出现安全隐患，平台会将二进制文件中DLL文件中的更改与源代码进行比较，并在后台自动中断构建。

实现的功能之一是能够使用UEBA和异常检测技术来检测和阻止对代码存储库的恶意提交。此功能基于机器学习和人工智能算法，该算法分析组织中不同实体的行为（例如，代码组件，安全控制，数据类型，参与者的知识，组织行为，存储库，项目等）。

该算法提取了数十种面向领域的特征（包括逻辑，上下文和时间序列特征），以构建每个实体的多维特征。各种来源用于特征提取。例如，将彻底分析历史提交，请求和工单的元数据和内容，并提取其数字，时间序列和文本特征。

该算法的另一个数据源是内部平台产生的历史跨库代码分析功能。一旦功能被提取并通过领域专业知识得到丰富，Apiiro就会实时构建和训练自适应行为模型。

Wabbi

Wabbi是一个SecDevOps基础架构平台，使公司能够交付更安全的代码的同时降低交付风险。通过使应用程序安全性跨DevOps流水线可扩展，快速开发团队不再需要在敏捷性和安全性之间做出决定。Wabbi的SecDevOps基础架构平台可在SDLC中部署，自动化和协调应用程序安全程序。借助集中式安全治理，开发团队可以在本地管理应用程序安全性的日常执行，无需间断地部署相关工具和流程。

Brittany Greenfield是Wabbi的首席执行官兼创始人，毕业于杜克大学，是麻省理工学院斯隆管理学院的MBA，履历上和信息安全交集不大，优点是深入了解软件行业和企业生命周期。

技术负责人Kent Welch是Core Security（一家专注于IAM身份安全的公司）的应用工程高级总监，后来负责FastPay（金融支付技术创新平台）的工程技术高管。

安全问题并不是该同等优先级对待。安全运营并不仅仅是漏洞管理，而是关注全部完整的工作内容。Wabbi集成了jira、Jenkins、vs code、sonarqube、eclipse等一系列平台，在开发工作流程中控制安全问题，以防止瓶颈和拖延积压。能基于项目的实际优先级和威胁情报，实时评估风险承受能力，控制和计划安全债务。

安全不应该阻断发布，CI/CD流程应该都是完全自动化的。每一个负责人应该清楚当前程序的风险，按环境设置不同的安全性标准，这样，在处理漏洞的同时QA流程可以继续进行。同时明确修复的优先级，当由于不符合安全标准而导致构建失败时，Wabbi会向团队显示信息，以使其符合法规要求并保持运行状态，如果要带病上线，留存审计审核计划。

创新过程

笔者丝毫看不出Wabbi在决赛有何胜算，但是没有关系不论输赢。创新分为痛点，解决办法，增长三个阶段，通过经验的迭代，产品的产生，才能投入运营。在国内应用安全领域，我们处于并将长期处于明确需求阶段，犹如在没有灯火的夜路直行，往前看漆黑一片，往后看漆黑一片，国内应用安全的同行加油。

参考材料

https://jonscheele.com/what-is-in-an-innovation-sandbox/

https://www.rsaconference.com/usa/the-experience/innovation-programs/innovation-sandbox

https://cloud.tencent.com/developer/article/1590358

https://www.secrss.com/articles/3820