供应链安全、勒索攻击、AI赋能——2022网络安全技术呈何趋势？原创

大家好，欢迎来到CSDN重磅打造的高端对话节目，大咖来了。今天我们来谈一谈。安全问题。供应链安全勒索攻击AI赋能2022年网络安全技术成和趋势。今天呢，我们很高兴请到了两位重磅级的嘉宾，一位是许进，安全的创始人和CEO子牙。大家好，我是全天安全创始人子牙。另一位是腾讯安全天马实验室负责人杨青。大家好，我是腾讯安全天马实验室负责人杨青。近年来呢，在这个全球范围发生了很大很多的安全事件。这个互联网安全的形势正变得更加严峻，随着我们在日常生活中也听到各种各样的安全消息和安全的攻击的新闻，这个安全的攻击也出现了各种状态，然后呢，以单独一个公司或者是一个小行业来对抗整个安全攻击可能是不现实的。

对，所以我们提出的是更多的安全化发展啊，共同合作来对抗啊网络安全事件，打击黑产，在上个月的28号啊，中国信息安全腾讯安全联合实验室，腾讯研究院共同发布了2022年。产业安全十大趋势，这个报告呢，有从三个方面对可能出现的主要技术趋势做了研判，这三个方面是什么呢？是这个产业安全的宏观。态势，产业安全的实践以及产业产业安全技术演进，仅仅依赖于这个报告，我们肯定无法让每一个人都能清晰的看见2022年呃这个所有的趋势，所以今天我们才邀请了呃，腾讯安全以及循进安全的两位专家一起来探讨这个话题。

好，下面就是我们第一个问题啊，十大趋势报告中谈到关于技术趋势的几点判断，其中谈到了立法人才短缺啊，数据泄露常态化的问题，那么有请杨总给大家解析一下这份报告的观点吧。感谢苏总，呃，其实我更想从一个个人的安全技术者的角度来看，因为其实如果是我是一个个人技术者来说，我可能会更多的关注于说网安全的对抗技术，比如说安全技术的演变，其实这个在我们的报告中也有所提及，但它只是一个维度，像刚才您所说的，我们这边我们报告里还有关于这个宏观态势以及产业实践这两个维度吗？那其实如果从我角度来看，我能脱离出我自己擅长的领域，能看到一个更权威的一个真正的2022年的一个安全的整体态势。然后这个他这个报告我也认为他可能提出一种，呃，就是网络安全从业者，这个大家的一个共识吧，就大家可能会觉得2022年我们共同要面对的挑战是哪些，然后主要的一些热点趋势在哪些方向上。

那这样的话呢，就能让大家可能能在创新和实践的这些应用上呢，能更多的携手，然后呢互相的尝试，通过互相交流以及共赢的方式，能探索一些共建模式，这样呢，可能我觉得是能让大家在网络安全行业持续的去。一起捍卫一个数字时代的美好，就能起到很高的一个推动作用，这个是我是从技术认真的角度来说看待这个报告的价值，好谢谢杨总，那么听了杨总的讲述之后呢，想问一下这个循进安全的创始人。你对这个报告有什么看法，比较触动的？其实我看到一个趋势二，趋势四和趋势六。还有一个趋势七吧，就是趋势二呢，其实讲的是供应链安全，就是现在我们可以看到说不管是so wins，就是供应供应链攻击这样的一个典型的事件，在2020年12月份发生的。

还是说我们现在的我们软件的开发方式，从呃我们比较封闭的，比如说我们说的闭源，再到我们说的混源，再到现在我们说的开源驱动啊，在整个我们的整个软件供应链过程中，我们会发现它的风险，外部的威胁和我们内部的风险是发生了比较大的一个明显的一个提升和变化，那这是一个趋势，二我我觉得这个软件供应链安全的挑战是变得很重要了。然后第二个就是趋势四，对趋势四刚刚提到就是实现呢，我们说通过我们的共建，实现我们的共存共制，那么其实悬镜我们在整个呃商业化的过程中，我们也是比较注重整个的上下游整个生态demos，上下游生态的一个打造，我觉得就是如果要把安全，特别是供应链安全做好，那么上下游生态。啊，整体的一个治理是非常有必要的。

那么在趋势六呢？核心讲的是云原生安全，就云原生的环境下的安全，那里面我们可以看到说不只是容器安全，其实我们看到过往里面的，如果涉及到我们数字化应用，它本身的云原生安全怎么去做，所以我们提出来一个叫蛋白疫苗技术，它和云原生安全就非常密切相关。那在趋势期里面，我们看到说核心就是AI赋能，在攻防对抗升级的情况下，AI赋能，那么在我们说的，包括后面可能会提到一些，嗯。检测和防御技术，比如说BA啊，这样的一个新型技术下，AI怎么能够提升我们的检测的一个通过威胁模拟来提升我们的安全前置或者积极防御的体系的一个效果吧。好，谢谢，讲的挺全面的，那么在这个报告覆盖的这些内容之外，你觉得还有哪些小趋势是值得大家注意的？就说我们自己比较熟悉的，第一个是BAS，就我们说的威胁模拟，我们觉得这个也是。

当前比较热，而且我们可以预测说在未来呃，三五年里面的话，非常热的一个，它是具体是做什么呢？通过我们说的这种智能的这种自动化的渗透测试技术，然后对我们的现有的安全防御体系进行持续的一个验证，核心要做到了就是我们说的安全度量对。第二个呢，就是我们说的这种代码疫苗里面的这种应用自免疫技术啊，这两项技术我会认为说，呃，算是一个小趋势。好的，这个报告虽然列了十个趋势，但毕竟篇幅有限，那么杨总你看除了这个报告覆盖的内容，还有什么你觉得要提一下的？首先我觉得网络安全的外延在持续的扩大，原来可能是移动互联网，然后后来到了互联网，万物互联，然后到现在呢，我觉得是信息安全转向了整体的一个空间，安全空间，所以其实现在包括现在可能一个很热的热点，比如叫卫星互联网。

然后我们提出的一些叫新基建，就关于五级啊，区块链五五这些这些东西，其实我觉得就是这些领域可能是一些，可能大家还没有更多的关注，但其实它在这个我们的产业安全里头也。占有一个很重要的位置，特别其实卫星网络，其实卫星互联网我觉得可能还有一个发展阶段，但其实卫星网络在我们现在的呃，数字，数字品牌，数字经济之身上，其实已经被广泛利用了，我们的金融啊，我们的一些能源，很多的一些重点的这种企业，它其实一直在使用一些微信网络的应用，包括它的一些平台，那这里面的安全可能真的是跟我们的产业以及甚至说百姓的生活息息相关的。那比如说卫星电话啊，这个卫星导航，然后咱们的数字广播，然后以至于说如果真的有地震了之后，咱们的一些应急灾害的一些预警，就这些的背后都是卫星广播在做一些承载。

所以这方面我觉得可能是一个。比较需要重点关注的，但可能在现在来说还不是一个很大的趋势，但未来肯定会是一个很好的一个趋势。对，我我们也感觉到，就是现在事际上家家都是科技公司，所有的公司都开始拥抱科技，那科技就会带来全网的互联互通，然后人人都是开发者，每个人好像都可以做一些开发，那这个情况下就是说不管是这个行业也好，技术也好，它的变化是很快的。然后我们当然可以追逐各种新的现象，但是我想问一下两位在这个各种现象上，在各种现象的下面，有没有什么共同的核心的趋势，事实上是。核心的原则是不变的。

要不要子先来给我们讲讲？嗯，就是安全的本质，我们会认为呢，要聚焦到，嗯，就是有一个底层逻辑吧，就是首先我们会认为说比我们整个社会的进步，社会的进步呢，其实核心是硬科技的推动。那硬科技的话，就是比如说就涉及到我们说的那个安全领域，安全领域的话，核心也还是我们认为的一些创新的技术，如果把我们现在的一些认知实践画成一个圈的话，我们每一个。这个赛道里面的一些我们的一些技术力量的核心是往这个圈外再拓展一步，那么在安全的本质，我核心认为说是要把我们的这种安全的能力把它平台化，也就是我们更加强调的是什么。呃，第一个是安全的自动化。对，一定。自动化的技术，平台化的技术和自动化的技术才能够推动我们整个的技术向前发展。第二个就是我们说的安全度量，就是效果对我们采用了更好的，更智能的这些呃，技术，产品设备之后。

他是不是说跟我们的业务，跟我们的呃组织相结合，带来了更好的一些交付价值，应用价值，所以总结下来，我会认为说安全技术的自动化和安全度量是安全比较本质的东西。一个是度量，一个是技术自动化。杨总要不要谈一谈就说你得括出两点，万变不离其宗的对，可能还是对于这种攻防人员比较更喜欢的，就是可能的漏洞和情报漏和的本质对，因为其实产业发展到什么阶段，其实这两个都是可能安全最重要要关心的核心问题，比如说安全的攻防对抗一些东西，那其实漏洞本身就会引申到了攻防的技术的一些对抗。那所以从研究员角度来说，就是如何能始终比攻击者更的预判一些新型攻击，以及更早的发现一些高危漏洞，那这拥有这些经验的人。

可能我觉得是一个很关键的一个核心的要素，那同时的话就是他们能不能持续的保持这种比较前瞻的这种技术能力，以及说能不能把他们个人修炼出的这些能力沉淀出一些。解决方案能延展复用到更多的企业和一些平台之上，这个就是一个从零到一，从一到N的两个点，其实这两个我是可能更关注一。嗯，这里我可能想补充一点，对，就是什么呢？就是因为我们做的这个软件供应链安全，其实和我们的那个开发者也是息息相关的，对，那过往的时候我们核心想治理的或者想做的呢，叫开发安全，开发的安全这种数数字化应用在整个开发过程中有哪些风险，安全的风险，安全的挑战，那现在所以大家可能会认为说，或者是有一部分的观点认为说安全其实是一个奢侈品。

但是我们想说呢，就是安全应该是出圈的安全，出圈的话，那么我们可以看到一个很明显的趋势是什么？就是安全，它成正成为我们数字化应用开发过程中的一种基本的属性，基本属性对，所以我们不再谈开发的安全啊，应该是说的是安全开发。所以核心还是说，当我们的软件给我们的客户提供了这种关键服务的时候，那你不能希望说安全只是一个奢侈品，或者是事后发现，还是要事先发现，就像你说的事先发现，并且把它平台化、自动化，我觉得这个很重要。那在我们开始的时候呢，也谈到了一些大事件，两位在过去的两三年中回忆一下，有没有什么你觉得是现象级的事件，安全事件啊，你印象最深的是什么？对你来说促使你做了什么样的思考，给大家分享一下，杨总先来，最有感触的，或者说真的能让我比较触动的。其实我觉得。

SOS可以说算一个OK，但其实在SOS之前，我觉得X X Co ghost的那个事可能更是一个苗头，其实那个时候其实大家可能可能我觉得不管是这种供应链攻击来说，它的目标可能身上更加多像C端用户，因为毕竟s code它可能面向是iOS的开发者，对吧，那个时候可能咱们手机系统里头iOS。相对的占有率还比较高嘛，那X之后我记得就应该是X的2015年嘛，然后2017年就是。X就是一个运维的，就是或者我们平常经常使用的一个终端的连接，呃，一个小工具也是出现了这种类似于供应链的攻击这种这种事件，那其实这个时候我觉得已经从C往B端去转了吧，包括说刚才说的SRS，完全的是针对这个运维人员或it的这个企业里头it工作人员的一个。绝对是大杀器那种这种东西，当然这个问题出现的时候，其实让我最大的触动就是说我对于我的生产力工具的这个信任，信任关系是产生了质疑的，就可能觉得每天陪着我的这些，就不管不论是操作系统，还是我最常用的天天要卡其软件，都好像都不能从心理上不能信任，都可能要进一到进入一种信任的状态都不还不说到技术的任。

所以我觉得这个就爆出来这么多这种这种现象级事件，其实我觉得有一个反思，就是说真的对自己平常的生产工具，比如或者咱们企业内部的一些系统平台。它的一个所有的它的运转的行为的一个持续常态的一个监测还是挺重要的，你不能说把这个东西一开始就放到这个白名单里头，你始终要对它的一个安全性是提出质疑的，有所顾虑的，是这样，我觉得可能刚开始我们开发者总觉得是一个所有人都是善意的，我就拿这工具来做，对吧，这有什么恶意呢？后来发现叫做trust no，对吧，任何外界来的都不能相信，做很多分析，对其他有没有什么印象比较深的事情，我也想说一下的是2020年12月13号左右爆出来的那个索S这种供应链的攻击事件，对这个供应链攻击事件的话，核心是是S美国公司的一个基础设施管理平台。

对啊，通过呢，就是说它的大致的一个原理，就是说开发的工具，就厂商供应商开发的一个工具，在编译阶段，就是编译构建阶段的话，是被植入了后门，也就是我们说供应链早期的话进行了感染。来，然后在我们的后面通过那个分发或者升级我们的那种软件，就是感染到了你，比如说在美国它有1.8万米，至少是这样的，这种我们说的目标用户受到了感染，感染过程中里面，后面再涉及到我们在使用阶段的一个权限维持。整个过程中里面比较大的启发是什么呢？第一个就是我们过往的时候，对于数字化应用的风险面，我们会认为说第一个是它的这种通用漏洞，比如说像这种SQL注入，远程代码执行，这种top ten这种通用通用漏洞，第二个呢，风险面就可能是说一些业务逻辑漏洞，像什么水平越权，垂直越权等等。

啊，第三个就是现在我们都知道说，呃，当下现代的应用呢，它其实是组装的，非纯自研，你像这种大概是78%~92%的成分，其实是第三方的开源框架库等等，那么就是第三方的这种开源成分的缺陷风险等等，那么通过so wins，就是这种供应链攻击事件呢，我们拓展了我们说的那种风险面的认知，会认为说。呃，我们在整个开发上线过程中里面，另外要考虑的就是异常行为代码对他的一种实时的审查和检测，这是第一个启发，就拓展了我们对于现代软件应用风险面的一个认知。第二个点的话是什么呢？就是。

我们会需要对我们的开发，开发里面的一些开发工具啊，开发环境这种基础设施进行一个，呃，需要在安全上面进行重视起来，对。就是这两个是比较比较大的一个启发吧。当然两位讲的挺好的，就是我觉得安全方面呢，很多情况下是这个叫魔高一尺，道高一丈，或者有时候是道高一尺，魔高一丈，就相当于在双方在赛跑，越来对抗，但是近年来我觉得有一个趋势，就是这个供应链的攻击是越来越多了，就是说因为你有一个it模块被渗透，让所有的下游模块都有风险。这个时候我觉得如果上游的水被污染，那你下游所有的都有可能被污染，不知道两位在这种问题上，我们有没有什么很好的这个思路来解决？要不要这个杨总现在讲讲，呃，比如说供应链攻击的话，如果说从常我们常见使用的应应用软件，也使用的一些工具来说，呃，你看今天其实我是代表腾讯安全联合实验室嘛，就比如我们科研实验室，呃把他们自身能力最要输出的一款叫毕阿的一套。

这个二进制对，还有二进制的一个安全检测工具，就是它是一个线上平台的，就是其实可以对这些，比如大家如果对自己手头上的一些工具软件或者一些东西二零制的文件的安全性有所疑虑的话，其实可以用这个东西来大致做一些体检，所以叫相当于是the binary auditor，也他们还有个叫是真对车联网安全的联网，所以他们可能的命名风格都是属于这种这种。然后另外的话，我们那个云顶实验室也在做一些，因为是我们腾讯云的安全建设方，也是支撑我们腾讯云的整体的安全的一个防护的职责，所以其实他们也跟中国系能院也一直做了很多关于安全运营的一些标准体系的制定，也是沉淀了一些我们做在腾讯云的这个运营安全上的一些成熟经验吧，就是等于书成上的一些标准的。

我觉得就像我们刚开始讲的就是信息技术，通信技术已经渗透到了各行各业，你在开车的过程中就有很多的。设备和这个云上的这间连接之间连接，那如果出现了安全问题，说那几个车突然就停下来，对，那你你不能事后再来解决，应该还好，更奇怪的是这样子对。那个子牙，你在这方面你觉得有什么看法？嗯，整个软件供应链安全的话，其实。我觉得主要的包括两大块，一块呢，其实是数字化应用，它自身的安全，自身的安全，自身的安全呢，就比如说现在比较火热的，我们通过就是把安全的这种能力或者安全的活动融入到整个开发全生命周期的SDLC全生命周期过程中去说对整个安全做治理，第二呢是在整个数字化应用，它在分发的过程中，比如说我们的采购，我们的供应的过程中，里面的这些安全风险的一个审查和安全风险的一个监测，就是主要是在这两块核心要做到是第一个是。

从源头就是建立我们说可信的源头，比如说我们现在的数字化应用主要有，第一个就我们说的开源，开源的比例其实现在蛮高的了，占比的话是70%多到我分之九十多的开源成分。第二个呢，就是我们说的闭，闭源里面的免费，还是说我们说的一个完全商业化，就是这不同的这种，我们说的这种软件的开发方式，我们对它的风险的源头的一个监测和审查的方式，它也是不一样的。另外就刚刚说的应用自身的风险。啊，应用自身的风险里面。嗯，就是有的企业它是大的，有的企业它是会小一点，那么无论是大企业还是小一企业，我觉得就是第一个是从组织的角度，如果我们组织有开发的能力，那我们应该是从传统的说，传统的面向业务交付的开发，呃，再到我们说的现在是有一套相对完善的安全开发者生命周期或者安全开发流程。

这样的话，保证说我们的很多的应用自身的一些风险，他应该是不会带病上线，第二个呢，就是刚刚说的就是。呃，传统的我们说的这种应用啊，它其实是开发的应用，我们叫原生应用的话，接下来其实我们可以看到它是安全可信的，就是通过我们叫的一种叫代码疫苗技术实现，就是说呃，应用风险的一个自发性，还有位置威胁的一个提前的一个驻场免疫，对这样的话，我们会觉得说在整个软件供应链过程中里面，从源头和整个过程种做一个有效的管控，但是这里面也有一个比较关键的技术，就是对于这种开源的这种同源。那整个开源风险治理过程中里面就是供应链安全的治理过程中，就涉及到我们的开源的风险治理，开源风险治理里面我们讲到了一个是什么，就是同源检测，那么对于这种同源的代码，我们全球化的这种溯源技术，这种高效的这种溯源技术啊，它会发挥比较大的一个作用。

好。刚才我们也提到这个，现在的我们的软件和服务越来越智能，越来越自动，以前我们还要是手动去下载一个更新，现在他已经告诉你更新你要不要装，我说一天早上醒来你就发现。你的手机或者设备已经被更新过了，那这个带来了很多的福利，带来很多的威胁，梁主要不要谈谈看，就是说在这方面你觉得个智能化和自动化给安全带来什么样的威胁，或者带来什么样的机会？嗯，它其实像曾总所说，它安全，比如咱们更新的时候，其实可能会因为一些机制，虽然可能是一些更好的安全机制，比如OTA升级这些东西，那可能但一些攻击的。

手法也可能会穿插其中，对吧，他在这个升级中把这个安装包给你换掉了，或者他通过一些截网络截制的方式去做，对它其实都是一些我觉得网络的自动化的这种这种攻击的这种兴起吧，算是，而且其实现在我觉得嗯，就是这种工具化的网络武器，其实它在。产生的方面已经比前十年来说有一个更大的一个变化，就是他的这个加工的速度很快，加工加工很快，原来可能咱们比如说我一些高手攻击，攻击的高手可能他自己自研了一些攻击的，呃，自动化框架啊，来自动的去抓肉击也好抓一些这个这个这个包括这些深度测试的扫描器，那现在来说可能它当然也可能也是因为开源的这个。体系和生态的一个增长吧，其实大家都可能直接从一些平台上，直接拿一些框架代码，把自己的p po p OC和po直接往里放，就马上就能组装成一个武器出来，就可能像原来可能自己还要写一些这个运载部分的，然后记住那个底层的那些东西，但他现在来说它可能马上能。

下载，下载完就完成，就是组装，它只是完成了组装的论程，所以这就造成了我觉得就是其实咱们在对话的时候，可能现在七十二十四小时，无时无刻都会有在网络上各种样的自动化攻击，针对C端的，针对B端的，针对服务器的，数据器，IDC的，也有针对说加入那个用户的路由器的，原来经常出现的，就是比如说咱们的由器经常的。就是如果说它没打补丁，或者它可能有些安全的漏洞的话，它那些自动化的扫描程序自动的找到一些有脆弱路由器，要把这个路由器的DNS给换了，换成了一个它能控对，然后就变成这个僵尸网络的一员了，这个器，那这种东西每天可能它的这个量都在成倍的当上升，那原来没有这么多自动化的攻击方式的时候，可能这个东西的。这种严重性还没那么大，所以其实我觉得不管是开源还是说是这种。

生态的这种这种。这种比较好的一种美好的时候，可能也会带来一些很多这种阴暗面，或者说反反方面的一些威胁，所以说这个智能化也是一个双刃剑，双刃剑。面对着这种攻击方式也越来越智能，越来越自动，那子牙你觉得在们防卫方面会有什么变化吗？其实我觉得要结合一个大环境来看，比如说我们的开发方式，从数字化应用开发方式，从我们传统的这种瀑布式开发，引进到我们说的敏捷开发，再到当前比较火热的这种S，然后我们的刚说我们的应用架构现在也引进到我们说的微服务，是我们当前的主流，那么呢，它就会对于我们的这种安全的属性和安全的要求，安全活动的要求呢，也是产生了比较大的一个推动作用。所以如果梳理梳理下来的话，我们会发现说整个网络安全技术里面典型的有有几个迭代，从早期的我们说的这种边界安全，引进到我们说的这种主机的这种终端安全，终端对这种环境的这种检测响应，得到我们当下就是我们可能要求更高一点的这种应用的这种运行式情境感知。

对，那么在这种防守的这种，呃，攻击和攻防这种，其实它是攻防的不断的一个升级，它是一个外在的表现。那表现过程中里面防守的技术，我们会说，比如说在这种下一代的这种应用，运行式情境感知这一块，就我们说的代码疫苗技术。是一个目前看来对我们积极防御是一个比较好比较大帮助的一项关键技术吧，核心的代码疫苗技术呢，它就像我们人体的疫苗和免疫系统一样，通过注入这种运行时的这种。我们叫探针来打入到我们英雄内部之后，它能实时的就像血分析我们的血液系统一样的，实时能感知到我们的血液成分，并且基于此来动态的就是拿到我们应用的上下文，来判断出当前的应用自身的一些缺陷、风险，还有一些外外部危险。

就是呃，如果比如说我们前面提到的这种边界安全，它可能比如说对于流量进行过滤，它就会产生像机场安检一样的产生一个拥塞拥堵的现状，但是呢，对于我们说的这种情境感知，它核心的话是插撞到我们的软件应用本身里面去，它更加关注的是这种啊，发生在数字化应用业务里面的一些异常行为。也只有当。比如说。啊，我们的这种比如说一个保洁阿姨，她突然的话出现在一个公司的老板的办公桌上，打开了她的电脑，正在阅读一些资料，这种异常行为的时候，我们才去补货，或者是再去阻断这样的行为，这样的话对于我们说的流量的这种性能的消耗会极大的降低。

对，这也是随着我们说的基础设施和我们说的这种应用环境的变化而带来的这种防守技术的一个升级，我们总体把这项这种代码疫苗技术称之为是我们整个积极防御技术里面的一部分吧。所以就是说这个防御要从消极走向积极，然后你要把这个疫苗，把这些防御的因子放在你的我叫做SDC，对吧，或者叫SD LC develop c，放在全生命周期中，这样的话就能够检测这些异常行为，这个我觉得挺好的。但是刚才杨总也提到。两位都提到，就是在我们开发过程中，大公司可能会能够支付很多的安全的成本，但在小公司的话，它要做很多敏捷开发，或者是做这个微服务，他要去网上，他觉得这个API很不错，他就用了，对吧？那我们怎么样平衡这些安全性和开发成本，开发速度之间的这样一个关系呢？

嗯。杨总，要不然看一下小企业或者小微企业来说，可能更多的选择公有云的服务，公有云对对，因为其实很多时候现在就是包括我们腾讯云也好，还有其他的公有云也好，就是他们在安全的能力极限上，其实已经要比很多小微企业他们自建的上限还要高很多，其实所以这个时候他们可以选择了公有云之后呢，然后再选择一些云上的安全托管服务的能力，因为这方面的成本，其实整体来说，比如我们可能会做的。也会比较能效是比较合适的，这个其实我觉得相当于说前一个话题，就相当于说咱们如果是买宠物，咱们可能会去宠物店买，有可能是去一些市场，他可能从宠物店买的宠物呢，可能他可能打完了全套疫苗了，已经就基本上你买了家之后还是很安心的，可以就这接抚育啊，或者也不能太多问题，你要在市场买的，可能他的疫苗没打全，可能每当养一个月，可能有出现点病，你还就要带他去医院，就所以说可能尽量的还是选择一些已经有很强的一个安全水位的基准的一种这种防护能力的这种这种平台，对。

然后另外一个就是说成本上有点像现在，比如咱们很多餐饮吃饭时候那个后厨其实很多，现在咱们快餐那时还没有后厨嘛，都是料理包，但料理包它的食材和它的烹饪的这个稳定性来说，也已经超越了很多，比如真的你自己后面有一个厨师现场炒制的那种，其实是能打一个平手的，或者是更高一点的，然后人在那捡菜，对从卫生包括很多它的供应链上还是能找到一个很好的品控的，所以这样，但这样的话，他料理包反而它成本更低，然永远比你说你请厨师自己去炒，自己买菜去买这些东西。所以我觉得从这两个比较简单的一个生活实力能感觉到，就是如果小微企业的话，你可以选择更更成熟的，或者说已经别人已经走的很成熟的一个安全防护体系建设之后，这个。阶段之后的这种服务，你直接使用它就更好。

怎么看这个问题呢？嗯嗯，确实啊，就是我我也非常同意杨老师刚刚提到的观点，就是对于一些小微企业来说的话，呃，他更关心的是我们的业务交付业务的增长，那么呢，呃，对我们来说，对于这种小微小微企业或者这种目标的这种用户。呃，更重要的是什么？就是将安全出圈，或者安全技术出圈，就是比如说ist技术，就是我们监测到比如说旋进的用户，呃，我们的安全研究团队监测到旋进的用户的话，其实比如说在华南区也有很多的小型企业，其实他可能就是比如说像什么呃酒店智能畜牧业，他就直接用了我们前面提到的代码疫苗，比如说叫ist技术。都像是在整个功能测试，就是软件的功能测试阶段，就像发现bug一样的，直接就把漏洞给找出来了，那么它因为它的比较精准的特性，它是比较高效和低。

以成本的直接就修复掉了，这是在我们说开发阶段里面去就安全前置，第二个呢是在我们上线后，上线后的话，如那个杨老师提到的就是中小企业的话，往往他用公有云这种反而比较多沙子化，那么S子化上就是公有云上其实有一些现有的一些安全设施。那涉及到数字化应用本身的话，在运营阶段的话，其实就是结合我们说的这种云原生安全，云原生安全里面就包括说re，这种应用自免疫啊，很很非常方便，非常高效的，直接就能够让我们的应用获取安全的能力，因为对于小微企业来说呢，其实他可能没有安全部门，对他可能是运维的人就兼职做了安全的事情，所以更加关注的是说，诶，即使我给你发现了这些风险漏洞，你能不能一键化的这种直接就处置掉了，所以呢，也更加关注的说能不能自带这种免疫能力。所以在这种运营常态化运营阶段里面啊。

云原生安全的这种技术，或者是安全的这种产品或者是方案的话，呃，这种SaaS化的交付方式是比较适合我们中小用户的。然后我们有很多的中小用户，事实上也在做非常前沿的这种开发和服务。在这方面，就是因为这个前沿的领域，事实上是很多大厂没有注意到的，但是两位都是研究安全的专家，就说你从这个纯粹的网络安全的攻防角度来看。还有哪些是我们目前这个主流的研究人员并没有注意到，但是你觉得是很重要的前沿安全的技术的领域或者方向？还要不要提两个，其实我今天得就是聊的，其实一直离不开代码疫苗技术，代码疫苗，然后也离不开一个关键的思想，就是我们在积极做的，因为就是过去的时候，我们很多的啊啊，就是我们的安全的搭建或者安全体系，包括在互网过程中，其实从我们说的那个。

被动防御再到我们主动防御，包括当下里面一些在互网过程中效果比较好的一些技术，不管是终端的那种1DR，或者是说我们说的蜜罐，它核心解决的是什么？是看得清看得见的问题，但是看得清看得见威胁和风险之后，最后一公里的这种实时的响应，谁来做？我们会认为说这种代码技疫苗技术呢？比如说re技术，它就能够基于情境的这种感知上下文来做精准的这种响应动作。所以技术是我们认为说在接下来三五年内就是比较好的一种积极防御技术之一。那另外一个是什么呢？就是。呃，攻防的持续对抗是我们整个网络安全技术演进的持续的一个外在表现，那么在攻的层面，或者是模威胁模拟的层面，呃，前面提到了说呃das它核心解决的是说应用在上线前，我们通过一系列的一些安全活动或者自动化的活动，防止应用带病上线，解决的是应用自身的风险，那么在常态化运营之后呢，我们应该解决是什么？当我们的现有的这种防御体系，它都已经完全启启用开启的情况下，我们能不能通过自动化、智能化的这种威胁模拟的技术，持续去验证我们说的这种防御体系的有效性，就安全的验证和安全的度量。

那这样的技术呢，我们把它称之为叫BAS威胁模拟，对，那么威胁模拟这这项技术加我们前面提到的这种出厂免疫的这种技术，是我们认为在下一代积极防御技术里面的两大基石的关键技术。好一个是，嗯。一级的防御，另外一个是威胁的模拟。这两个是。比较重要的前沿方向，杨总要不要在这方面接着紫霞总的基石这个方向来说，我分享一个关于安全，安全对抗领域的一个我认为的可能。

很重要，然后现在也很多人可能也在关注，就是就是5G的安全，5G跟它交融的工业互联网，甚至未来的星力互联，5G跟6G，以及跟卫星互联网的这个相连接地带的这整体的这个场景的安全，就因为可能现在5G未来它要承载的连接能力更多，它连接的设备更多汽车智能设备，咱们的手机，甚至可能一些以后的智慧工厂的一些。一些大型的机械，它可能需要它去连接，对吧，所以这个里面它本身一个是武器终端，它的基带，然后以及它的协议本身的这些安全的方方面面吧，其实也是一个，我觉得是一个比较。有有潜力的一个或者需要关注的趋势，而且另外的话，这里头的一些自动化漏洞挖掘的一些方法，一些能力技术呢，我觉得也是一个可以值得去关注的点。

好，那个杨总是从这腾讯安全实验室来，对吧，我们知道实际上腾讯旗下有很多安全实验室。杨总能不能透露一下目前这个腾讯安全联合实验室？就是在前沿领域有没有什么相关的成果，以及对未来的一些思考，OK，我们腾讯安全联合实验室有七大实验室，就有最开始大家耳熟能详的，比如说科恩实验室，玄武实验室，云警实验室，然后还有说比如我现在负责天马实验室，然后另外我们可能还有叫朱雀实验室和安全大数据实验室，就大数据和朱雀实验室负责AI安全的一些一些东西，这些这些这些实验室都在这，他们各自领域都相当是有建树和很很深的造诣，那其实我觉得如果未来角度来说，呃，回到前面咱们聊到的贵瑞新基舰这个。场景下，比如说5G AI，然后物联网可能比如卫星网络，这些可能都是属于前沿领域，需要去持续的去研究和去对抗的，因为你要发现一些这些领域的一些新型攻击，你要在这些攻击还没有泛滥，我没有爆发之前，提前把这些可能。

这些攻击能力用的一些高危漏洞，发现给它修复掉。及时通知厂商，通知一些有关的机构、协会。那其实我们几个实验室也分别在几个领域都有所产出吧，觉得可能跟咱们的呃相关的数字啊，数字是代相关的，比如说我们反病毒实验室针对主机安全产品，也沉淀出了一些关于web shell的检测的一些东西，然后我们的玄武实验室针对说ND2类的产品。然后进行了一些在它的攻击检测与攻击防护方面提供一些核心的技术。然后以及我们之前说的科恩实验室之前有一个那个编阿it的这个专业二进制的文件的安全检安全检断工具，那其实他们还有叫C的一个奥itor的一个关于车联网的这个工具，它基本上能帮助车体来发现他们的车机物件，基本分90左右的通用目录，就常见的一些被暴露的，或者可能有些没有被暴露的这些这些风险可以用一些这种这种工具集来快速去做一个评估自检，对。

包括我们运警实验室还做很多关于腾讯原生安全上的一些各类的一些支撑恐防的一些东西。所以其实我们整体。就是通过实验室的持续的攻防对抗，然后把这些东西呈现成一些能力，能力推及到产品，然后以及我们的企业客户，以及我们还会跟很多的第三方的学校、高校和企业做一些工业实验室。这方面反正我们一直在探索。你讲到了很多，其中还有讲到一点我比较感兴趣的就是说跟这个企业以及学校的联合培建、共建，因为我们也说家家都是科技公司，实际上人人都是开发者，那对于大众开发者来说。有大家可能认为安全是我最后考虑的，一会儿我先得把这个功能写出来。

对，然后那在安全方面，我们的大众开发者应该注意什么呢？大家两位有没有什么建议给这些大众开发者，因为首先我觉得就是我肯定还提倡于说大家每个特别是开发者，因为他写这个东西未来是要承担很大的责任的，所以我觉得它本身有一个安全，安全开发的一个代码意识，开发个安全，安全意识比较重要，就包括它使用一些什么样调用模块，这些模块的安全性啊，包括一些第三方固件，第三方的一些开源的一些组件什么的。这方面首先都有安全意识，然后另外一个是说有安全意识之后，其实能大大的降低这个开发者在开出开发出这个软件的安全性，这个因为后来虽然很多东西可能是开发者开发完程序之后，还有QA，还有安全的团队去做二次的一个安全评估或怎么着，但如果你自身。你就天天的比如你。保持一好的一个运动状态之后，其实你你产生的东西就是天然它的安全的几个基准是高的，这样的话，你到后边的环节之后，你能减缓对方其他的这些书友专攻团队他们的一些工作经历，这是一个，然后自身安全开发者有这个安全意识之后呢，再服一些。

安全的自动化解决工具，我觉得不管是白盒的，黑盒的以及灰盒的，就在交互的这种观念下，比如说在开发的这种敏捷开发的时候，就直接上一些这样的一种辅助的安全测的一些工具，这样也能提高它的一个整体的一个开发效率，和那什么他可能很多东西在开发和他在测试的时候把问题暴露出来了。就不至于说等这个东西真正上线了，然后被外面的一些人发现漏洞之后，如果被攻击者发现了更麻烦了，对或者说他他刚开始的时候应该在一个比较安全的平台上开发，对吧，平台平台和体系上对在一些很好的标准之下。我说其他总要不要补充几句，对，就是就是还是那个就是我们要去，因为我们说说我们玄机安全所从事的领域吧，就是我们做的是那个软件供应链安全，就跟开发者是息息相关的，所以我们一开始呢，就是就需要去，呃分清楚或者去区分就是安全开发和开发的安全，对就是我们希望说也能看到一个积极的现象，就是现在呢，整个的我们说的业内的趋势是说安全从以前的奢侈品慢慢变，慢慢变成我们it活动，数字化应用开发活动里面的一个基本属性。

那我们回过头来说，怎么样提高我们大众开发者的这种安全的水平，安全意识，那么核心呢，就是像DES它的框架，它要求的主要就是第一个是文化，第二是流程，第三个呢是我们说的技术。具体落地到了就是，呃，安全一定是对于我们的开发者来说呢，他一定也是出圈的，也是有趣的，那么我们从基本基础的说，安全意识的培训，甚至是安全靶场的这种演练，再到我们说能不能说科技，像我们这种科技力量的这种团队和公司，提供一些好的这种像杨老师提到的这些安全工具，通过插件化的方式提供给我们的开发者，然后我们说的开发过程中，整个比较柔和的把我们的安全考虑进去。

另外呢，就是前段时间。我们玄镜也做了一件尝试的事情，就是现在我们能看到说呃，现在的应用它其实都是组装的，而非纯自研，那么在去年的时候我们就开源了我们的这种呃SC，就是这样的一个软件成分分析的这种技术。就是我们叫的发起创立了一个叫open sca的这种社区，对用开源的方式做开源风险的治理，就是也就是说还有一个比较有意思的事情，其实就是说。通过让广大的这种开发者社区里面的这些我们说的这种活跃的这种开发者参与进来，让我们的社区里面的话，对于安全这块更加关注，并且通过好的这种自动化技术，让大家日常能够用起来。

你提到了这个三点，对吧？但是我发现有意思的事情是技术在最后，第一是文化，第二是流程，第三才是技术。可能如果缺少一个安全第一的这个文化，你有再多的技术说不定没人用，或者是这个技术它被放在一个次要的位置上，导致了你虽然有很好的技术，但是你还是开发出有很多漏洞的软件或者服务。这个我觉得是一个很大的一个问题，另外还有一点就是说我们市场生活在一个开源的环境中，然后有些很多的服务，你是依赖于别人给你，这两天就有一个vuee，对它的这个上游模块就。他这个作者不管出于什么样的目的，他搞了一些东西，那VV作为一个接受方，他就我就。

那就VE的用户会来抱怨，可能VUE本身对，那你们怎么看这个事情呢？这是一个额外的问题，就是说你的服务实际上依赖于别人，别人的一些东西对，然后他的一些举措可能会影响到自己的，对它其实是一个共生问题，我觉得就是一个对从软软件开发者来说，其实也确实他其实很很纠结这个东西，其实比如说。我可能有些时候，因为很多东西第三方我觉得是个信任问题，可能多数咱们人还是可能信任自己，所以最后大家都是自人自荐，可能觉得自己的东西肯定更能掌控率更好一点，但很多时候碰见一个就是精力问题，我企业的这个资源投入的问题，其实术业有专攻嘛，应该是把你最好的精力和资源投入到你最擅长的时间，这样对。所以。所以其实为什么说我们那个，我觉得十大趋势报告，我觉得达成一个给大家达成一个共识，就是真的未来咱们锚盾一些方向的时候，就大家在这些根本的。

从一到十的这个趋势上，能共同发力，共同的去更加的信任和互助携手的方式来真的把这个东西。嗯。当然也能形成永号的通达机，对吧，其实我觉得这个还就是一个应该是一个触达，互相触达连接的问题，我真的比如说我做一个主要模块，或者一个什么样的一个能力的提供者的，如果有些什么东西，我要第一时间跟着我的生态伙伴去沟通，去打一个这样，就这种东西可能一开始建立起来比较麻烦，但我觉得慢慢的肯定只要这种习惯，习惯都是慢慢养成的，特别是在现在这种工商的体系之下，所以我觉得大家慢慢地自觉地去做一些这样，比如不管是从我们还是从全经，很多大家有些新的东西时候，会先跟生态伙伴去做一个公告，或怎么着都会提前地去说一下这。在加强联动嘛。

我觉得就像我们生活中一样，就是我们不可能不跟别人发生联动，但是你自己得打好疫苗，或者是得戴口罩，或者是做好防护，那这样的话你还是可以，这个社会，这个社区社会还是可以运作是吧，你不会说每个人都全部全部自己很隔离，然后很自闭的那种状态，那实际上我们的经济也不能发展，实际上软件开发也不能发展。最后呃，在这方面呢，啊，我想问一下，就是子牙你提的这个疫苗，在这种情况下能不能发挥一些作用。就说。我写的一个服务实际上依赖于几百个别的模块，对吧，那我不能保证每一个模块的每一个更新都是非常好的，那我怎么办，怎么能够让我更强壮，不受它的影响，首先就刚刚说的这个非常好的一个问题呢，就是回归到今天的一个主题，就是什么呢？就是供应链安全是非常重要，就是整个刚刚杨老师提到的这个啥共建，共建的话，上下游的这种生态，对包括说刚刚说的那个依赖，我们开发的这种组件和服务的依赖啊，比如说那就涉及到比如说开源治理过程中的直接依赖和多层的这种多层次的间接依赖，核心的话，呃，对于比如说供应链安全的治理，就是我们上下游这种协协同共建，在技术上呢，我们可以看到说，在开源治理的过程中里面起到了代码疫苗技术，它能发挥非常关键的作用。

对，就是在一些核心的这种组件和服务过程中里面，我们看到它能识别出来它有几大的一个关键的技术挑战吧，比如说我们通过sca的这种工具和技术，我们识别出来很多的这种组件，那这些组件里面有多少组件是真正它在运行加载过程中用到的，这是第一个痛点，第二我们找出来这些组件过程中里面的一些漏洞，被利用的漏洞，就是我一下子可能包很多，有多少是可被利用的。对，第三个是如何核心开源的治理，包括软件供应链的核心还是要去做治理，那么如何有好的方式去治理，所以呢，代码疫苗技术，无论是从我们刚刚说的这种开源的检测识别，还是有效的治理。

针对这三个痛点都有，都是比较好的效果的，OK，嗯。今天我们聊了很多很有趣的话题，然后事实上我觉得我们这个软件的安全和我们比如说生活中的医疗的安全，食品的安全也是很相关的，因为前两天我们有315也报出一个我的供应链上提供了一个个服务或者是产品，比如说酸菜，导致我后面的产品出了大问题，对吧，那这个事实上在一样的一样的一样的对吧，所以这方面事实上啊，我想跟大家。就是沟通的一点，是说网络的安全，实际上不是说只有几个黑客才关心，实际上跟每一个人，每个开发者都息息相关，然后随着我们的经济进步的发展，这个家家都是软件企业，人人都是开发者，每一个人都得注意，就是说。

软件的安全实际上是跟我们的开发文化，我们的开发流程以及我们用的各种工具是息息相关的，今天也很高兴请到了两位重量级的嘉宾给我们分享了非常有价值的这个观点和做了很多前沿的介绍。好，今天非常感谢两位重量级的嘉宾，一个是腾讯安全。天马实验室的这个杨青杨总，另外一位嘉宾是循进安全的子牙子牙总，对啊两位呢，给我们带来了很多前沿的观点，以及啊这个很多这个在安全攻防中的有趣的小故事，然后啊，我们希望呢，就是在以后的节目中会看到我们这个腾讯安全以及巡检安全能给我们广大的开发者带来更多安全的保障，让很多的开发者能真正专注于做软件的开发，带来价值的增长。然后把这些。

安全的生态交给真正的专家。好，我们今天的节目就到这里，我们下期节目再见。