查看原文
其他

人物 | 悬镜安全宁戈:高山流水遇知音,湖畔筑梦中国心

悬镜安全 悬镜安全 2022-12-29



2022年3月22日,悬镜安全宣布完成B轮融资。三年前,悬镜的CEO子芽,这位未名湖畔的筑梦人,接受了安在的采访,那时的悬镜刚刚完成产品由十年磨一剑的前沿技术研究到商业化落地的打磨实践阶段。作为公司战略层面的决策者,子芽对安在的记者说,三年内,要完成创业之初的所有主要设想,要通过更加优越的产品体验服务和更加接近用户的本地化技术支持,更好地帮助用户建立健全的DevSecOps内生积极防御体系。


现在,三年之期已到,子芽当初的设想已经一一实现。从PreA轮的红杉独家领投、A轮腾讯产业生态投资的战略投资,到近期B轮融资又有两家全球的顶尖资本加持以及红杉的再次跟投,如今的悬镜已经成为在DevSecOps领域拥有头部地位的一线安全厂商。


悬镜能够在短短三年内完成B轮融资,离不开自身对技术的精益求精、对产品的精雕细琢,也离不开那些长期沉浸于技术创新研究的合伙人大佬,尤其是悬镜内部公认的“大神”,子芽敬仰的师兄——悬镜CTO宁戈


走一条不同寻常的路


十年前,如果让计算机专业的同学选择未来的求职方向,绝大部分都会毫不犹豫地选择开发。但是对于宁戈而言,相对于开发,他更愿意走一条艰难且充满挑战的路——开发安全


这种不愿随波逐流的态度也是他选择悬镜的原因之一。在北大读研期间,宁戈与师弟子芽在同一个实验室钻研二进制安全。那时的子芽就已经准备创业了,宁戈听他谈了很多关于创业之后的预期和打算。


宁戈毕业后进入了中国信息安全测评中心(以下简称“国测”),但他渐渐意识到,相比于在国测的按部就班,自己更希望加入一家初创公司去感受创业带来的压力和激励,这能使他更快速地提升。因此,为了进一步提高自身能力,也为了展现自己的全部价值,宁戈选择加入悬镜,与子芽一起创业。


在其他人看来,宁戈与子芽是高山流水遇知音,很多子芽画出去的“饼”都是宁戈和其他技术合伙人一点一点帮他完成的。这种合作的基础在大学实验室里就已经形成,那时他们的分工便不同,子芽负责制定产品创新方向和团队管理,宁戈带头负责前沿新技术突破和人才技术赋能。到了悬镜,他们仍继续沿用这一合作体系,让悬镜能够快速茁壮成长。


当然也有过摩擦,宁戈表示,很多时候产生的分歧,都会交由最终的实践效果以及用户的态度去解决,如果没有测试的条件,那么往往都会听子芽的。“没办法,他是CEO嘛!”宁戈打趣道。


任何一家初创公司都会遇到这样那样的难题,悬镜也不例外。宁戈表示,创业初期悬镜专注于运行时插桩技术研究,在网络安全人才本就缺少的环境下,人手不够,一人承担多个工作任务是悬镜的常态。在人员不足的情况下,对一些关键技术的突破就显得更加重要。


另一方面,考虑到市场大环境,悬镜创立早期一直没有决心将核心技术商业化。当时国内国外并没有明确的DevSecOps概念,悬镜最初只是想提升深度扫描漏洞的能力和自动化程度,鉴于当时的黑盒测试工具都有很多明显的缺点。此时,他们在北大的学习研究成果派上了用场,子芽、宁戈等师兄弟将在研究生学习期间钻研出的运行时插桩技术与黑盒技术深度结合,研发出了悬镜的第一款商业化产品,也是明星产品之一的灵脉IAST灰盒安全测试平台


早先,在DevSecOps的概念刚开始在国际上被提出的时候,宁戈就敏锐地意识到,原来悬镜正在摸索的路与DevSecOps出奇的一致。不过一开始,作为一个全新的概念,DevSecOps在国内的认可度、厂商的接受度等方面还是一个未知数,这让宁戈对此产生过怀疑。


谁解伯牙意,唯有钟子期。让宁戈打消顾虑、坚持这条路的还是子芽。在多次的深入讨论中,子芽与宁戈对DevSecOps的前景和未来产生了高度的默契和共鸣,他们坚信DevSecOps和软件供应链安全是一个巨大的市场,悬镜钻研的代码疫苗技术就是这个赛道的未来,可以为社会提供巨大的创新价值。


最初,大多数软件开发模式都是瀑布式开发,遵循预先制定的计划按部就班地完成。这种方式自由度较低,难以根据实际需求进行调整。后来,随着互联网行业的逐渐兴起,DevOps研发运维一体化成为主要手段,这种将一个又一个小型功能区块以模块化的方式组合的开发模式让DevSecOps市场拥有了很大的增长潜力。悬镜整个团队对这个判断深信不疑。


脚踏实地的探索


方向确立之后,悬镜还面临一个情况就是团队过于学术化。作为悬镜的“大神”,宁戈表示,悬镜的每一位工程师都具备精益求精的“学究”气,也正是因为这样的气质,尽管让悬镜早期商业化的步子走得极慢,但每一步都踏踏实实。行稳方能致远,这与子芽三年前接受专访时的观点一致。


宁戈带领团队在接下来的日子里,针对产品开始夜以继日地测试、升级,一做就是七年。在这七年中,他们已经记不清构建了多少场景,哪怕在自动化漏洞渗透的检出率和误报率方面都提升到了97.7%,他们也并不满足。


PreA轮融资完成后,悬镜合伙人团队内部多次讨论,这个大赛道后续将异常竞争激烈,需要加大前瞻性布局从而进一步提升领先的竞争门槛。此刻的宁戈异常淡定,主要原因还是产品。宁戈表示,最开始,悬镜的步子虽然迈得很慢,产品不多,但整个悬镜都在不断突破代码疫苗的最关键技术,可以做到足够的专注,产品体验可以快速迭代到极致。


悬镜产品的核心是技术,宁戈表示,他们的技术是比较扎实的,产品核心参数优秀,其他性能指标和检出率等方面都足够吸引人。比如悬镜安全旗下明星产品之一灵脉IAST灰盒安全测试平台,作为悬镜DevSecOps智适应威胁管理体系中上线前测试环节的应用风险发现平台,通过新一代全场景实时数据流情景分析技术,如运行时应用插桩(含动态污点追踪及交互式缺陷定位)、终端流量代理、旁路流量镜像、主机流量嗅探、启发式爬虫、Web日志实时分析等和原创AI启发渗透测试技术赋能传统IT从业人员,在甲方用户的组织内部快速建立安全众测模式,使传统安全小白(如研发、测试、QA等)完成应用功能测试的同时即可透明实现深度业务安全测试,运行时动态监测开源风险,可以非常精准覆盖95%以上中高危漏洞,有效防止应用带病上线。


宁戈自始至终对于产品的商业化以及悬镜的未来并没有太多担心,一方面是有子芽的存在,另一方面是他认为,只要好产品被认可,能让耳熟能详的公司使用就足以证明悬镜的实力。


这次B轮融资后,宁戈的压力更大了。一方面是悬镜正在将DevSecOps整个体系的工具和平台推向市场,产品线延伸了。另一方面的压力来自于悬镜搭建的开源社区——OpenSCA社区。悬镜将旗下企业级SCA技术开源,通过社区与企业技术人员、大众开发者进行技术分享和交流,用开源的方式做开源风险治理,让悬镜多年沉淀的SCA技术能力高效赋能给更多行业用户。“所以动力也更足了。”宁戈期待道。


悬镜CTO宁戈出席2021年全球首款企业级

OpenSCA技术开源发布会圆桌论坛


回首往昔,更进一步


回忆从创业到今天的变化,宁戈表示,当初的悬镜包括他在内,站在业务和用户视角看待问题是很大的挑战。宁戈坦诚自己更专注于技术钻研,不过他很快意识到“用户才是我们的超级产品经理”。宁戈将用户驱动的产品及技术迭代理念应用在实践中,并因此受益良多。现在,宁戈对于产品迭代和升级的灵感大多都是从用户处获取的。在与用户的交流中,宁戈将悬镜从“向内认知”带向了“向外成长”。


随着悬镜的快速发展,宁戈表示,这几年团队最大的变化就是人员多了。随着员工的不断增加,如何提升自己的管理能力、如何将每一位员工放在合适的位置上等都是他着手要面对的挑战。


另一方面,相比早期产品在用户场景的精雕细琢,对每一位用户的需求他都能很好地洞察和把控,现在,悬镜的用户数是之前的数十倍,与用户保持共同成长的节奏以及快速的响应与交付都让宁戈承受很大的压力。对此,宁戈表示要进一步提升团队管理能力,结合自动化工具,将自身和团队的效率提升到更高水平。


纵有千般变化,却有一样始终如一,那就是悬镜的文化。悬镜的每一位员工都本着解决问题的态度。同事之间关系简单,配合默契。无论是社招还是应届,在悬镜这个大环境中,大家都比较纯粹。宁戈认为,这样的企业文化使大家都能够专注于自己应该做的事,让整个悬镜稳步有序地快速发展。


三年前,子芽对安在说,悬镜未来要成为一家有技术、有干货的公司。如今三年过去了,悬镜已然完成了B轮数亿元人民币的融资,不仅让PreA轮领投方红杉继续加持,还收获了源码资本、GGV纪源资本等全球顶尖资本的大力支持。除此之外,悬镜还联合中国信息通信研究院发布了中国首个《软件供应链安全白皮书(2021)》;成功斩获“Next-Gen in Open-Source Security(下一代开源安全奖)”,成为中国首家获得国际领先的电子信息安全媒体机构CDM颁发“2021 Global InfoSec Awards ”奖项的厂商;成为《2021年度中国数字安全能力图谱》权威认证的DevSecOps唯一代表者。悬镜旗下产品灵脉IAST灰盒安全测试平台成为国内首个通过中国信息通信研究院《交互式应用程序安全测试工具能力要求》检测认证产品。《中国DevOps现状调查报告》最新发布,悬镜IAST代码疫苗技术引领国际同行,牢牢占据市场应用率第一,是成绩,更是市场和权威机构的认可。


对宁戈而言,这种种成就仅仅是对当前工作的肯定,更重要的还是未来的发展,悬镜的未来不止于此。


心怀壮气,提戈执节


悬镜的意义是什么?对宁戈来说,悬镜目前最大的价值和意义就是推动了DevSecOps的发展。作为国内第一家成功实践DevSecOps的企业,悬镜每年都会通过举办DevSecOps大会以及发布白皮书,向业界和用户分享自己的实践成果,也让悬镜的产品帮助更多的企业。


DevOps正在快速普及,企业的相关转型也是必然结果,而安全,是目前中国乃至全世界企业都格外关注的一个重点。悬镜用其精雕细琢的产品以及快速迭代上线的能力为所有选择DevOps的企业提供了安全保障。


对于悬镜的未来走向,宁戈表示,目前悬镜不会盲目开拓新的赛道,先在自身扎根的领域做好做深做精,在此基础之上依托核心技术再开拓新的产品。当然对于用户关注的新领域,悬镜也不会置之不顾,比如基于运行时插桩的代码疫苗技术和BAS威胁模拟技术等,都会继续深入。


此外,去年的Apache Log4J事件向业界传达了一个讯息,那就是开源安全管理需要尽快提上日程。对此,宁戈表示,希望悬镜打造的开源社区可以成为国内开源爱好者的根据地,让悬镜可以通过社区与业界的专业人士进行交流,也让更多人清楚地了解悬镜的技术。


对于悬镜来说,DevSecOps敏捷安全体系就是悬镜这些年持续深耕沉淀的主方向。当前,在DevSecOps这条赛道上的厂商逐渐增多,悬镜不可避免地要面对竞争局面,而悬镜在行业中的核心竞争力可以概括为三个层面。


首先,从技术层面来看。悬镜沉淀多年的“代码疫苗技术”可以做到像疫苗一样注入到应用内部,在内部清晰看到解析后的数据流,感知业务运行过程的情境上下文。这样一来,既能诊断应用自身存在的漏洞和缺陷,也能积极防御外部威胁,进行自主检测和响应。在这条赛道上,悬镜拥有的原创专利级核心技术和智能算法构筑了巨大的行业技术领先优势。


其次,从产品层面来看。悬镜走的是技术聚焦战略,也叫做“单探针”产品战略,在代码疫苗技术“单探针”的基础上,独创性将由上线前测试环节的应用风险发现平台灵脉IAST,运营环节的自动化威胁模拟和安全验证平台灵脉BAS,运营环节的检测响应平台云鲨RASP等构成的DevSecOps全流程敏捷安全赋能平台,能帮助用户逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系,持续升级在华北、华东、华南、华中、西南、港澳等地区的规模化产品服务交付和运营能力,深度覆盖金融电商、能源电力、智能制造、电信运营商及泛互联网等企业级安全市场。


第三,从顶层设计的角度来看。在软件开发以开源驱动、IT基础设施加速云化、安全环境日趋复杂的未来,悬镜致力于深化在中国软件供应链安全关键技术创新研发及上下游产业生态前瞻性布局上的战略投入,探索出了一套基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系,在DevSecOps敏捷安全、软件供应链安全和云原生安全等新兴应用场景下打造战略生态闭环。


写在最后


人称“大神”的宁戈并不神秘,在采访中沉厚寡言、不慌不忙,即便提到悬镜B轮融资成功,他也并没有表达出特别的情绪。可只要一提到技术,一说到产品,宁戈的话语中总是充满自豪。对于自己和团队夜以继日的劳动成果,他认为,最大的嘉奖和鼓励是来自于所有悬镜用户的认可。


当初从国测来到悬镜的目标已经基本实现,但在提高个人能力方面,宁戈从未止步。格物致知,厚德载物,在悬镜多年的磨炼让他受益匪浅。“坚持与执着,是我在悬镜的最大收获。”宁戈道。


诚然,无论是宁戈还是子芽,抑或悬镜的每一位成员,都在用实际行动向外界表达:找对方向并且不断坚持,热爱执着追求的过程,离成功也就不远了。


在网络安全领域,宁戈以技术为琴,奏的是《高山流水》。他能敏锐地洞察到未来的技术趋势并进行超前的研究创新工作。但曲高并不和寡,有子芽,有团队与他和奏。宁戈和子芽,这对一同从未名湖畔走出来的北大师兄弟,在悬镜的目的非常纯粹,是想在DevSecOps这个新的领域,凭借自身独有的技术创新和发明,帮助中国的安全产业向新的未知空间做更深入的探索,从由人类已有的认知实践画成的圈内向外再踏出宝贵一步。


未来等待宁戈和悬镜的势必是机遇与挑战并存,对此宁戈已经做好了充足的准备。或许,正是有像宁戈这样的“大神”,才能让悬镜在网络安全领域大放异彩,才能让中国网络安全包罗万象。


推荐阅读

1. 守护中国软件供应链安全,「悬镜安全」完成B轮数亿元融资

2. 子芽:新一代代码疫苗技术,让数字化应用从容免疫未知威胁!

3. 悬镜子芽 | 新一代代码疫苗技术,持续赋能敏捷安全

4. 技术分享丨RASP将代码疫苗技术“注入”到业务应用中

5. 悬镜:用开源的方式做开源风险治理


关于悬镜安全


悬镜安全,DevSecOps敏捷安全领导者。由北京大学网络安全技术研究团队“XMIRROR”发起创立,致力以AI技术赋能敏捷安全,专注于DevSecOps软件供应链持续威胁一体化检测防御。核心的DevSecOps智适应威胁管理解决方案包括以深度学习技术为核心的威胁建模、开源治理、风险发现、威胁模拟、检测响应等多个维度的自主创新产品及实战攻防对抗为特色的软件供应链安全服务,为金融、能源、泛互联网、IoT、云服务及汽车制造等行业用户提供创新灵活的智适应安全管家解决方案。更多信息请访问悬镜安全官网:www.xmirror.cn


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存