2021年9月,火線安全平臺正式發(fā)布了全球首個開源的IAST項目。安全419觀察到,該項目的發(fā)布在引起甲方安全研究團隊關(guān)注的同時,也讓業(yè)界產(chǎn)生了一些不解,為什么這樣一家以白帽子安全眾測業(yè)務(wù)為核心的廠商卻推出了一款開源的IAST產(chǎn)品?是火線安全正在謀劃向開發(fā)安全領(lǐng)域發(fā)力?還是它背后有著怎樣的商業(yè)發(fā)展規(guī)劃?
近日,安全419再次連線火線安全創(chuàng)始人鄔迪,請他來闡述一下發(fā)布開源的洞態(tài)IAST產(chǎn)品前后的思考。
用戶真實需求 驅(qū)動社區(qū)原生的洞態(tài)IAST誕生
鄔迪表示,關(guān)于向開發(fā)安全領(lǐng)域轉(zhuǎn)型的猜測基本可以否定,他們未來會持續(xù)推出更多的新產(chǎn)品和業(yè)務(wù),可能是開發(fā)安全,也可能是其他細分領(lǐng)域相關(guān)的產(chǎn)品,但最終都會圍繞社區(qū)原生、社區(qū)共建的思路來推進。
他表示,火線安全的定位是一家以白帽子安全社區(qū)為基石的安全公司,社區(qū)原生是他們的最大特點,因此,聯(lián)合我國的白帽子安全專家開展安全眾測是一個天然衍生出來的業(yè)務(wù)。
由于安全眾測主要是面向企業(yè)已經(jīng)發(fā)布或是已經(jīng)上線的業(yè)務(wù)系統(tǒng)去做測試,如果站在用戶和企業(yè)的角度來看,眾測是發(fā)生在業(yè)務(wù)上線后的,用戶需要更早地介入,通過安全措施和手段發(fā)現(xiàn)安全風(fēng)險,更前置性地解決安全問題。因此,火線安全基于用戶的核心需求,綜合大量用戶的建議后,打造了洞態(tài)IAST產(chǎn)品。
之所以選擇研發(fā)IAST類產(chǎn)品,還有一個十分重要的原因,那就是當(dāng)前DevSecOps生態(tài)下,IAST與SAST、DAST類產(chǎn)品相比擁有明顯的優(yōu)勢,IAST比較有效的結(jié)合了DAST、SAST二者的特點,能夠覆蓋到更多的應(yīng)用安全檢測場景,可以更及時、準(zhǔn)確的發(fā)現(xiàn)漏洞。與此同時,在產(chǎn)品部署方面,IAST產(chǎn)品無需配置的即插即用方式,對用戶而言也相對更友好。
鄔迪談到,洞態(tài)IAST與業(yè)內(nèi)其他的IAST工具本質(zhì)的區(qū)別在于,它是唯一一個社區(qū)原生的開源IAST產(chǎn)品。“在我們看來,IAST是一款可以與社區(qū)一起合作開發(fā)的工具,社區(qū)成員們的技術(shù)經(jīng)驗和真實的產(chǎn)品體驗會對它進行持續(xù)的賦能和加持。就目前來說,這款工具中很多重要功能的代碼都是由用戶提交上來的,包括agent的啟停功能、漏洞的通知功能等等,未來還會有更多的功能由社區(qū)用戶來共同開發(fā),我們也希望能夠有更多的社區(qū)用戶參與進來。”
“火線安全做出一款產(chǎn)品的核心判斷依據(jù)只有一點——能否通過社區(qū)共建的方式,去滿足當(dāng)下企業(yè)用戶還沒有被滿足的需求。洞態(tài)IAST也是在這個基礎(chǔ)上誕生的。”
開源的決定 來自于對技術(shù)天生的熱愛和分享精神
鄔迪坦言,“就開源與否這個問題,其實我們想的比較久,考慮很久才決定開源。洞態(tài)IAST實際上從2019年就開始開發(fā)了,但直到今年我們才正式?jīng)Q定把它以開源的形式發(fā)布出來,中間經(jīng)歷了一個很長的心路歷程。”
回到技術(shù)創(chuàng)新的初衷,火線安全本身是一個技術(shù)氛圍濃厚的團隊,成員也均以技術(shù)出身為主,因此對整個團隊而言,當(dāng)大家看到一項很好的技術(shù)時,會按耐不住自己想要分享的喜悅。大家一致認(rèn)為,洞態(tài)IAST這款好的產(chǎn)品值得分享給更多的人了解和使用,所以最終做出了將它開源的決定。“任何一家重視軟件安全的企業(yè),都會在接觸過洞態(tài)IAST后看到它的價值。”
在這款產(chǎn)品開源后,火線安全得到了很多正向的反饋。一方面,許多安全團隊的研究人員通過洞態(tài)IAST的開源代碼了解到了整個IAST的原理,對IAST有了更深層的認(rèn)知。另一方面,這個項目在不少開源社區(qū)發(fā)布后,一些非安全從業(yè)者也陰差陽錯的接觸到了IAST。通過看代碼學(xué)習(xí)后,最終投入到安全工作,成為了網(wǎng)絡(luò)安全行業(yè)的一份子,這是讓火線安全既感到意外又十分驚喜的。
除了上述原因以外,開源背后實際上也暗含著鄔迪自己的一些商業(yè)思考。
“安全在DevSecOps流程里面是很重要的一環(huán),因為DevSecOps意味著開發(fā)、安全和運維三者的有機結(jié)合,他們是一個三角形的關(guān)系。在真實的工作環(huán)境下,一款軟件產(chǎn)品如果只是提供給開發(fā)、運維和安全中的任意一者,是比較容易讓大家接受的。但如果一款產(chǎn)品涉及到多個部門,特別是在一些大企業(yè)內(nèi)部推進一款DevSecOps工具是有阻力的。”
他表示,在開發(fā)領(lǐng)域和運營領(lǐng)域,使用開源產(chǎn)品和技術(shù)應(yīng)用已經(jīng)比較廣泛。如果能提供一款開源的安全產(chǎn)品給三方來使用的話,允許開發(fā)團隊和運維團隊查看到這個安全產(chǎn)品的全部代碼,在一定程度上能夠增強開發(fā)和運維部門對安全部門的信任。從這個角度思考,如果一款安全產(chǎn)品能夠在企業(yè)內(nèi)部獲取到更多部門、更多用戶的信任,它在最終的商業(yè)發(fā)展上面也能夠收獲更廣闊的想象空間。
鄔迪透露,目前開源的社區(qū)版本會包含當(dāng)下企業(yè)需要用到的全部功能,把常用語言的檢測,包括像Java、PHP、Python等語言的檢測,以及一些最常用的通用漏洞類型的檢測,都會放在社區(qū)開源版中。同時,他們也正在開發(fā)洞態(tài)IAST的商業(yè)版本,將一些特殊漏洞、復(fù)雜漏洞的檢測,以及一些特別的管理功能會放在商業(yè)版本中來為企業(yè)用戶提供服務(wù)。
讓渡更多的知識產(chǎn)權(quán)和控制權(quán) 為用戶創(chuàng)造價值
狹義地來看,一個企業(yè)將一個項目開源就是在部分放棄自己的知識產(chǎn)權(quán)和控制權(quán)。在采訪最后,安全419也請鄔迪就這個話題聊了聊自己的看法。
他認(rèn)為,站在企業(yè)的角度看,開源在一定意義上確實是等于把產(chǎn)品代碼的控制權(quán)讓渡給了用戶,他們會對是否開源的事情考慮比較久,也說明了開源它本身就是很難做出的選擇和決策。
“雖然放棄了知識產(chǎn)權(quán)會讓我們減少一部分收入,甚至還會制造一些潛在的或原本不必要的競爭,但回到我們做這款產(chǎn)品的初衷,如果將這款產(chǎn)品開源,無疑會為用戶創(chuàng)造很大的價值。無論何時,為用戶創(chuàng)造價值是第一位的。”
鄔迪告訴我們,在洞態(tài)IAST產(chǎn)品開源后,有許多安全公司也找到了火線安全來主動的開展商業(yè)合作,這代表著國內(nèi)對知識產(chǎn)權(quán)的保護意識正在向好的方向發(fā)展。“平時也會有人問我對開源怎么看,其實在中國開源的趨勢是會越來越好的,未來也會越來越健康。所以在我看來,洞態(tài)IAST開源的嘗試是有價值,有意義的。”
