海云安谢朝海：测试驱动安全 为客户真正摸清病因来龙去脉

近两年来，随着「安全左移」、「DevSecOps」等理念在安全领域中的受重视程度不断提升，无数安全从业者似乎也看到了一个有别于传统安全的新机会，开始对“软件开发安全”这一安全细分领域展开了积极探索。这一细分领域在资本市场上也得到了足够多的关注，仅2021年上半年，就有多家初创型公司入局开发安全赛道，争相拿到各大知名投资机构的千万元级别的高额融资。综合来看，软件开发安全已经成为了网络安全领域的一个新风口。

日前，安全419接触到了一家专注于应用开发安全的高成长型企业——海云安，并有幸邀请到了海云安创始人谢朝海分享了海云安企业的发展情况，以及他对开发安全细分领域未来整体发展前景的看法和理解。

海云安创始人谢朝海博士

据谢博士介绍，海云安成立于2015年，定位为一家向金融、政府及各类企事业单位提供应用开发安全一体化解决方案的开发安全厂商，海云安的使命是“安全每一行代码”，以成就安全美好的数字化新世界作为自身企业愿景。

谈及创业初衷，谢博士表示，网络安全行业过去一直强调对网络流量、网络上的用户终端、主机等等这些对象进行安全防护，但对于应用系统的开发过程、开发完成后上线后的运行和使用过程，以及开发出来的代码而言，往往容易被传统安全思路忽视，随着移动互联网、移动应用的发展，传统网络安全防护方式的短板和不足正在逐渐暴露出来。

“尤其是当前《数据安全法》和《个人信息保护法》的相继出台后，大家都更清晰的认识到，面向流量管控的传统网络安全思路难以应对数据安全和个人隐私安全带来的全新安全挑战。数据的采集、传输、存储、使用、应用、共享，这些全部是通过应用程序和应用系统来完成的，如果只是从网络层面、流量层面去考虑，是存在很大的片面性的。因此海云安认为，想要从源头上治理数据安全的问题，还是需要在应用系统、应用程序的开发、交付和使用过程中去寻找行之有效的解决方案。”

因此，海云安致力于在应用系统、应用程序的开发、交付和使用过程中为企业客户解决隐私合规、代码安全、数据安全、业务安全等多方面的网络安全问题。

以代码安全能力为基石

移动安全、开发安全双轮驱动

谢博士介绍，创业之初海云安首先选定了当时相对“新”和“小”的移动互联网、移动应用安全的细分安全领域。相较而言，Web应用通常是通过浏览器为入口打开，前端通常是采用的轻量级的B/S架构，而移动应用安全的区别之处在于，移动应用架构介于B/S和C/S之间，移动用户普遍需要以移动客户端App程序为入口，需要发布到应用市场中下载到用户的终端来运行和使用。

换句话说，移动应用中的某一段代码是需要放到用户的环境里面去运行，研究移动终端安全的重点就在于研究移动应用代码，以及与之相关的存储与使用环节中的安全问题。也正是因此，海云安在移动应用安全方面积累了大量的代码安全研究经验。

“解决好客户移动应用方面的安全需求后，用户向我们提出，既然海云安能够解决好前端移动应用的代码安全，那么在应用的Web端和后台，以及数据库上面也在运行着大量的代码，海云安是否也可以一起解决这些代码安全问题？”因此，围绕客户的实际安全需求，海云安顺势将前端的移动应用安全，和后端的代码安全进行了横向融合，逐渐丰富Web应用开发安全产品线，并形成了海云安基于代码安全的移动安全与开发安全两大业务线。

谢博士表示，“移动应用的代码安全是我们切入开发安全的出发点，目前移动应用和Web应用安全都是我们的重要业务方向，海云安也已经成为了开发安全领域中发力较早，相关产品和解决方案较为完善的一家开发安全厂商。”

在产品布局方面，海云安主打“产品+服务+合规”的思路。谢博士谈到，根据企业信息安全建设的GRC（Governance、Risk and Compliance）理念，一个信息系统的安全，或者是一个应用程序的安全，它需要考虑的是三个方面，即治理、风险和合规。因此对于企业而言，想要做好移动应用安全就既要抵抗风险，也要做到合规，符合法律法规的标准，遵循相应的技术规范。“在用户的诉求中，由于出发点不同，不同的用户可能会对风险或合规有所侧重，但这二者像是硬币的两面，是缺一不可的。”

针对用户的开发安全需求，海云安主要提供源代码安全扫描产品，源代码安全审计专家驻场服务及培训服务，以及将监管、审计要求转化为代码检测规则，为客户提供合规规则转化服务。

深度融合DAST/IAST/SAST等多项工具

打造SISS智能交互式安全检测系统

据安全419 此前了解，在开发安全领域，开发安全厂商主要面向用户提供静态应用程序安全测试（SAST）、动态应用程序安全测试（DAST）、交互式应用程序安全测试（IAST）、模糊测试（Fuzzing）等几类测试工具，以帮助用户在应用开发过程中发现安全风险。而海云安则是创新的提出了SISS交互式安全测试的方法，将DAST/IAST/SAST三种技术进行了深度的融合和创新，打造了SISS智能交互式检测系统。

“海云安前面做移动应用安全是偏黑盒的，而后来开始做Web应用的代码安全是建立于白盒检测的基础之上的。在为用户提供服务的过程中我们逐渐摸索出来，黑盒技术和白盒技术是可以进行深度融合到一个新的体系里的，虽然现在大家也经常说灰盒IAST技术，但仅仅是做一些插桩和流量的代理还不够。黑盒和白盒技术需要一些交互的过程，需要在功能测试和性能测试的过程中，同时更好的完成安全测试，所以海云安提出了SISS智能交互式测试的方法。”

谢博士介绍，作为DevSecOps里面的一个重要的组件和工具，SISS智能交互式检测系统能够有效提高安全测试的效率和准确性，在软件的开发和测试阶段无缝集成现有开发流程，让开发人员和测试人员在执行功能测试的同时，透明地完成安全测试，解决了现有应用安全测试使用操作上的难题。

以测试驱动安全为核心理念

帮助用户发现病理、找到病因

随着DevSecOps理念的火热，专注于开发安全的初创企业也如雨后春笋般纷纷成立，相较于这些初创的，以及那些同期成立开发安全厂商，海云安有何独到的本领？

在谢博士看来，海云安与其他开发安全厂商从技术研发的视角上存在很大的区别。海云安是一家偏向发现问题，十分重视监测安全态势的安全厂商，“测试驱动安全”是海云安的核心理念。

“信息安全的问题怎么样去解决？实际上它是有一个过程在里面的，而首要的就是能够感知你的风险在哪里、问题在哪里。信息安全领域十分强调攻防对抗，针对安全问题、安全隐患的发现能力不是一朝一夕就能够拥有的，而是需要在过去大量的对抗的过程中不断提升。而针对特定对象、特定系统进行未知漏洞安全检测的经验与能力，就是海云安安身立命的根本。”

“发现问题永远是第一步，如果不能很好的发现问题就不知道如何的去解决。就像大家经常说一个人生病了，首先要判断得了哪种病，为什么会得这种病？然后再去给出诊疗方案，给出药物的组合来治疗。海云安的强项在于治病前的检查阶段，能够准确的帮助用户识别病种和病理，摸清病因的来龙去脉。”谢博士说到。

谢博士表示，海云安能够通过自动化的、深度的测试帮助用户发现安全隐患。一方面通过深度测试发现问题，采取解决措施对症下药；另一方面也可以再次验证此前采取的技术措施或者技术手段和安全的强度是不是达到它应有的这种强度，做一个反馈和验证，以这样的方式真正驱动用户自身安全能力的提升。

应用系统安全仍然存在短板

开发安全市场发展前景广阔

针对开发安全市场整体未来发展规模和前景的问题，谢博士分享了自己的一些看法。

“近两年的攻防演练成果证明，网络安全的问题经过这些年的建设，已经得到了越来越好的治理和管控。但应用系统、应用程序上面的漏洞、代码安全的问题仍然还存在很大的隐患。随着DevSecOps理念的提出，我们发现从代码安全的角度保障应用安全是一种可行的方案。这也促使开发安全走入我们的视野。开发安全厂商越来越多，也证明国内对DevSecOps理念的认知和认可程度有了显著的提高。”

那么开发安全细分领域能够有多大的规模？

谢博士认为，传统的信息安全、网络安全，主要面向的是几个大的对象，比如说面向网络、面向终端用户、面向终端、面向主机、面向数据，或者面向物联网、工业控制系统、工业互联网，这些对象的转变成为了当今网络安全行业中的众多细分领域。

“面向应用的开发过程也是一个细分领域，但是这个细分领域能不能像我们传统的网络流量上的安全有这么大的规模？我觉得是不排除的。从工信部对信息技术产业的产值统计来看，2020年软件产品和服务的营收年GDP是2.2万亿元，如果是按照现在大家公认的在信息化投入中安全占比在5%以上的投入比例的话，安全的年产值在1100亿元左右，所以说开发安全这个领域的发展空间是非常大的，市场存在非常明显的增量。”

深耕移动应用安全和开发安全

向隐私保护和数据安全等更多新场景拓展

最后，谢博士也谈了一点对于海云安未来的发展规划。他表示，下一步海云安的重点仍然是围绕着移动应用安全和开发安全，进行不断的深耕和拓展。比如数据安全和隐私安全，海云安提出基于开发安全做数据安全的融合与隐私合规，希望帮助用户在应用设计阶段、编码阶段和需求阶段，提前实现安全与合规的要求，而不是等系统上线以后再回过来做修改修订。

此外，海云安未来也会围绕着代码和应用上面的承载的新场景不断的去拓展自己的业务，通过在应用安全技术、代码安全技术方面的不断突破，向物联网、车联网、工业互联网等专用领域进行拓展，去尝试为更多信息安全领域提供海云安的技术、产品与解决方案，深入的发现和挖掘风险，真正实现“安全每一行代码”的使命和成就安全美好的数字化新世界的企业愿景。

THE END

// 推荐阅读