当“软件定义一切”推动数字世界快速发展的同时,也带来了软件供应链的安全威胁和风险,Gartner分析指出,到2025年,全球45%组织的软件供应链将遭受攻击,比2021年增加了三倍。政策上,针对供应链安全的法律法规和标准逐步出台,市场上,应用场景、用户需求逐渐明确并广泛深入,行业中,软件供应链安全已发展为独立赛道并日渐壮大。
2023CCS大会上,专注于软件供应链安全领域的北京酷德啄木鸟信息技术有限公司总经理杨临庆做客大会独家战略合作媒体安全419采访间,就软件供应链安全十年来的发展变化、竞争格局等进行分享交流。
访谈主持:安全419创始人 张毅
访谈嘉宾:酷德啄木鸟总经理 杨临庆
以下为本次访谈实录:
安全419:
安全左移理念、软件安全开发在如今已成行业共识,软件供应链安全也发展成为一条独立赛道,赛道在如今都备受关注,酷德啄木鸟作为一家在该领域坚持了十年企业,在您看来,这十年发生了怎样的变化?
杨临庆:
今年正好是公司成立的第十个年头,我自己感触还是挺深的。起初三年,我们都在埋头做产品研发,因为这项技术曾经基本掌握在美国、以色列安全公司的手里,我们正是国内最早一批做静态检测工具的。自2017年,我开始负责公司的市场销售工作,此前,在行业全景图中,我们的产品只能出现在应用安全类别下的静态测试板块,分量轻微,最近几年,已经发展成为全新的独立赛道了。
让我印象颇深的是,早先到偏远地区跟客户交流的时候,大多数人都没听说过相关的检测技术,惊奇于居然有工具可以测试代码的安全,我们宣讲的PPT都聚焦于普及静态检测的定义内涵、功能效用、客户价值等等,长期处于早期的市场培育阶段。近几年,客户对于相关概念已经了然于心,也非常重视软件供应链安全,具有明确的需求,交流中会直接询问我们产品的技术特色,并马上进去PoC测试阶段,变化是巨大的。
安全419:
您怎么看待软件供应链安全赛道的市场容量?
杨临庆:
目前市场容量还不算特别大,我们预判明年软件供应链安全市场将迎来爆发。5月1日,《信息安全技术 关键信息基础设施安全保护要求》已经正式实施,作为我国第一项关键信息基础设施安全保护的国家标准,特意明确了关基行业的定制开发软件必须要做代码审计,这对于市场是一个非常利好的消息。
安全419:
随着入局软件供应链安全赛道的玩家越来越多,在您看来,大家的产品及业务方向都有什么不同?
杨临庆:
软件供应链安全已经发展为一个比较广泛的赛道了,其中的技术点分得很细。比如,我们最早期是做静态检测的,俗称白盒测试;也有部分公司专攻灰盒测试;从去年起,软件成分分析SCA也比较受关注,许多公司在跟进;到目前,应用运行时保护RASP也被归纳到软件供应链安全领域。
整体而言,这个赛道的内涵在不断延展,以前更聚焦于软件开发阶段,如今已经跟应用上线、业务运行进行着有效地串联。因此,安全不仅在左移,也在右移,应用的整个生命周期都需要嵌入安全能力,但总的来说,其技术实现原理都跟代码息息相关。
安全419:
哪些行业对软件供应链安全的需求最突出?
杨临庆:
关键信息基础设施所属的行业都有所涉及。以银行业为例,央行早在十年前就出台了行业标准,要求银行业开发的软件要进行代码审计,那时我们刚刚起步做静态检测工具,市面上只有国外的产品。步入等保2.0时代,明确要求定级二级及以上的自研软件需要做代码审计,再加上之前提及的关基保护国标,我们能明显感觉到,国家从政策层面已经越来越重视软件供应链安全这个大趋势。
安全419:
酷德啄木鸟在该领域中的核心优势是什么?
杨临庆:
我们最核心的优势还是聚焦于静态检测。这项技术的实践门槛比较高,既要懂软件开发,又要懂安全,我们的核心团队曾经承担了国家源代码静态检测国产化攻关课题研究,建立了自身的技术壁垒。随着行业发展,我们进一步将静态代码分析技术与应用开发自动化工作流中涉及的安全方式相结合,拓展了软件成分分析、代码溯源、应用自保护等产品体系,切实关注市场和政策动向以及当下用户痛点。
安全419:
您怎么看待当前软件供应链安全赛道的竞争格局?
杨临庆:
随着该领域受到重视,新入局者越来越多,有一些公司依托于开源工具或国外产品为基座研发自己的产品,但是在国产化替代的大环境下,这种打法很难走得长远,因为静态检测需要与底层操作系统的文件进行协作,如果没有掌握核心技术,无法与国产信创软硬件适配,适用性将会大大受限。
而另一方面,静态检测技术也分为很多细分方向,有一些公司采用C、C++语言,偏向于军工行业,我们则更多采用Java语言,偏向于民用行业,大家的用户群体和应用场景有所区分,因为市场需求越来越广泛,大家一起把蛋糕做大,让软件供应链安全受到更多用户群体的重视,是一件促进行业发展的好事。
安全419:
未来3-5年,公司下一阶段的发展方向何在?
杨临庆:
AI技术在今年大放异彩,我们很早以前已经在着手布局了。众所周知,静态检测技术的优点是检出率高,但其市场推广过程中的一大阻力在于误报率高,为了使静态检测工具发挥最佳作用,需要专业的代码审计人员做人工复核,这对人才的专业能力要求颇高,需要既懂开发又懂安全,时间与人力成本对客户而言是不小的挑战,在如今敏捷开发的模式和业务竞争状态下,如果代码审计拖慢了业务发展速度,这是很难接受的。
我们在减少误报这方面已经做了很多工作,包括采取白名单等技术,基于客户此前的审计结果进行机器学习,让AI工具辅助用户审计代码。随着大模型应用的进一步发展,我们也在搭建自己的代码大模型,通过用户原有代码、开源代码进行训练,未来希望可以让AI代替90%以上的人工审计工作量,解决静态检测应用中的最大弊病。
除了让AI技术赋能安全,我们也在关注AI本身引入的安全问题。如今,很多软件开发工程师会使用AI工具编写代码,或引用开源代码组件,可能存在AI被恶意训练造成的代码投毒问题、知识产权保护问题等等,这也是我们目前正在思考和发力的方向之一。
领取专属 10元无门槛券
私享最新 技术干货