子芽寄语：初心不改，执着引领敏捷安全下一个“黄金七年”

“

子芽

悬镜 CEO

09 / 09

2021

2021年9月9日，悬镜安全迎来了7周年生日，创始人兼CEO子芽在北京总部就DevSecOps敏捷安全产业趋势、悬镜安全的由来及未来发展做了内部分享。

敏捷安全从供应链开始

数字经济时代，软件定义万物，已逐渐成为支撑社会正常运转的最基本元素之一。随着软件开发过程中开源应用的使用越来越多，开源应用已逐渐成为软件开发的核心基础设施，混源软件开发也已成为现代应用的主要软件开发交付方式，开源应用的安全问题也被上升到了基础设施安全和国家安全的高度来对待。

软件供应链开源化，导致影响软件全供应链的各个环节都不可避免地受到开源应用的影响。尤其是开源应用的安全性问题，将直接影响采用开源应用的相应软件供应链的安全。开源应用除了因开发者疏忽导致的开源应用安全缺陷，还可能存在具有非法目的开发者故意预留的开源应用安全缺陷，甚至还有恶意攻击者伪造的含有隐藏性恶意功能的异常行为代码，被故意上传到上游开源代码托管平台，实施定向软件供应链攻击。前述种种开源应用中存在的众多安全问题，导致软件供应链的安全隐患大大增加，安全形势更加严峻。

而现代软件应用的供应链非常复杂，软件供应链安全管理是一个系统工程，亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力，整体提升软件供应链安全管理的水平。

为此，需要开展全方位的软件供应链安全检测防御方法和技术研究：

第一， 开展软件成分动态分析及开源应用缺陷智能检测技术研究，突破高效、高准确性的开源应用安全缺陷动态检测技术的瓶颈，解决基于全代码遍历和代码片段级克隆技术比对的应用安全检测难题，进一步实现对全球开源应用的全面安全检测，从源头堵住软件供应链安全隐患的源头。

第二， 建立全球开源应用的传播态势感知和预警机制，攻克软件供应链中软件来源多态追踪技术，实现对供应链各环节中软件来源的溯源机制。通过软件来源多态追踪技术监控开源应用的使用传播和分布部署态势，全面把握有缺陷的开源应用传播和使用渠道，实现对全球开源应用及其安全缺陷的预测预警。

第三， 建立国家级、行业级软件供应链安全监测与管控平台，具备系统化、规模化的软件源代码缺陷和异常行为代码分析、软件漏洞分析、开源软件成分及风险分析等关键能力，为关键基础设施、重要信息系统用户提供日常的自查服务，及时发现和处置软件供应链安全风险。

第四， 严格管控软件供应链上游，尤其重点管控开源应用的使用，积极推动AI深度学习算法、云原生安全、区块链等跨界新技术在软件供应链安全领域的推广和应用，从根本上提供软件供应链安全的可靠保障。

白帽子心中的使命，止黑守白

2013年6月6日，斯诺登事件爆发；2014年2月27日，中央网络安全和信息化领导小组正式成立，习近平总书记担任小组组长，网络安全被提上战略新高度。在当时的大环境下，作为安全行业的从业者和研究者，我们一群北京大学白帽黑客师兄弟们致力于挖掘安全的本质，探寻下一代安全技术的未来，在自由创新、执着勇敢的理念驱动下，“XMIRROR”悬镜安全应运而生。

网络安全就像是现实世界和虚拟世界的碰撞，虚拟世界就像现实世界的镜像，“Mirror”是“镜像”的意思，“X”代表着未知，探索未知是一件既酷又很有挑战的事情，所以命名为“XMIRROR”。后来中文品牌即取名“悬镜”，寓意“明镜高悬，止黑守白”。

XMIRROR团队一直专注漏洞的研究和挖掘。在这个过程中，如何将白帽黑客的能力固化到平台上去，如何实现攻防技术自动化，使之成为一种自动又稳定的输出，是悬镜一直在研究的问题。DevSecOps的核心思想之一就是“安全左移”，即在应用上线前找到它存在的风险，而上线后更加关注现有防御措施的有效性。这与我们悬镜攻防自动化的思想不谋而合，用所学技术来实现攻防自动化也是团队的一个初衷。

早期在实验室期间，我们团队参与了多项国家级纵向学术课题，沉淀了许多利用二进制插桩技术进行运行时情境感知的经验，为后来DevSecOps核心技术IAST产品的推出打下了坚实的基础。虽然当时DevSecOps概念还没有普及起来，但悬镜已经开始摸索如何建立一套相对完善的DevSecOps智适应威胁管理框架。

DevSecOps敏捷安全，下一个“黄金七年”

DevSecOps敏捷安全技术最早于2017年在国际上开始有力度地宣贯和推行，国内从兴起到落地要相对滞后一些。在国内，从2017年到2019年是DevSecOps概念的普及期，自2020年开始，大量的甲方企业开始建设DevSecOps，明显感受到市场需求的快速攀升。比如，在2019年和2020年，悬镜的用户更多聚焦在金融行业，但今年车企、酒店、电商、能源、交通，还有泛互联网，各个行业都在启动DevSecOps建设。当用户需求来源于各行各业的时候，意味着大家开始形成共识，即需要从源头做威胁治理，做DevSecOps敏捷安全开发。

去年以来，新冠疫情的常态化管理促使企业业务纷纷上云，云原生带来微服务和容器安全等新技术的兴起，DevSecOps作为关键技术之一被大范围地应用。在后疫情时代，甲方企业对于厂商支撑的需求有所变化，要求厂商具备本地化支撑能力，对软件供应链安全提出了更高的要求，也促进了DevSecOps的应用与发展。

在被誉为“安全奥斯卡”的RSAC峰会上，我们可以发现，近几年DevSecOps技术频频出现，其中入围创新沙盒竞赛的应用安全厂商中接近一半都在做DevSecOps，今年更是由以色列DevSecOps厂商Apiiro获得了全球总冠军。由此可以看出未来7到10年网络安全创新技术的走向。

作为DevSecOps敏捷工具链最有规模化应用前景的核心技术之一，RASP于2014年就被国际咨询机构Gartner提出，但业界更多是把它当作WAF（防火墙）来用。我们可以看到，网络安全的技术演进规律是从网络边界的过滤分析，比如说WAF，演进到主机环境检测响应，一些EDR解决方案开始在国内逐步普及。主要是因为在边界做应用包过滤的时候，我们无法看到更精细的高级攻击，而在主机上部署EDR检测响应设备可以检测更细粒度的高级威胁，和更精细的入侵行为。

从边界到主机，技术进化的下一个方向是下一代应用安全，叫做“运行时情境感知”。无论外界通信过程中流量是否加密，在内存里一定会解析成明文，在内存中可以很清晰地看到解析后的流量，感知业务运行过程的上下文，具体定位其中的漏洞和威胁。悬镜灵脉IAST和RASP技术里统一的探针和agent（代理）软件不一样，它相当于把疫苗注入到应用内部，也就是我们说的运行时情境感知技术。

RASP主要应用在软件供应链防护中。首先，它可以对发现的已知漏洞及时打上热补丁，阻断攻击者利用已知漏洞进行入侵的行为；其次，对于一些未知的0Day漏洞进行预免疫，阻断攻击进入到应用内部提权，或者进行其他敏感操作；第三，它具备业务透视和实时监测能力，可以从内存里感知到业务上下文。

印在骨子里的文化，做更好的自己

安全从来都是有国界的，在今天的DevSecOps敏捷安全赛道上，产业界主要的创新力量来自中国、美国和以色列三个国家。在国际上，有很多创新的同行企业，比如Synopsys、Contrast、Checkmarx,以及今年RSAC创新沙盒总冠军Apiiro等，都是每个国家在该领域的技术佼佼者，长期看来他们与悬镜既竞争又合作。中国在几千年的华夏文明里，沉淀出了自己的发展体系，与世界经济体系高度关联、深度融合，悬镜也希望以创新的技术驱动方案和产品更深地跟随国家整体战略，更好地走向世界。

求学期间，导师曾这样要求过我们：“如果把人类现有的认知实践比作一个圈，那么当博士毕业时，我们的研究实践成果至少可以带领人类从这个圈向外再踏出一步。”悬镜安全的使命亦是如此，我们希望在这个新涌现的技术领域，凭借独有的技术创新和发明，帮助中国自己的安全产业向新的未知空间做更深入的探索。

如果要探寻悬镜最强的技术壁垒，那应该就是过去七年中，悬镜沉淀出了一个以七位技术合伙人为主导的高度信任、快速学习、自由稳定并强大内驱的核心管理框架，并且持续从外部引入新的“血液”，让团队每年都在变得更强。从成立那天起，悬镜不断探索新技术、新模式，极致的口碑得到了众多行业客户、业界同行的高度认可，并且每一年的悬镜都在向更好的方向演进。“做更好的自己”是悬镜印在骨子里的团队文化。

 X MIRROR 

关于悬镜安全

悬镜安全，DevSecOps敏捷安全领导者。由北京大学网络安全技术研究团队“XMIRROR”发起创立，致力以AI技术赋能敏捷安全，专注于DevSecOps软件供应链持续威胁一体化检测防御。核心的DevSecOps智适应威胁管理解决方案包括以深度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等多个维度的自主创新产品及实战攻防对抗为特色的政企安全服务，为金融、能源、泛互联网、IoT、云服务及汽车制造等行业用户提供创新灵活的智适应安全管家解决方案。更多信息请访问悬镜安全官网：www.xmirror.cn。