11月9日,安全牛發布了中國網絡安全企業100強(第九版),鴻漸科技憑借在軟件研發安全的創新技術入選安全牛100中國網絡安全細分領域【新興安全】代表廠商。
據Gartner2019年統計,網絡安全92%的風險來自于軟件應用層,應用層的檢測顯得尤為重要。而2020年,Gartner應用安全魔力四象限中提到了代碼分析技術(SAST)和軟件成分分析技術(SCA)是軟件研發更早階段(開發、測試)檢測重要技術手段。據統計,在開發階段的檢測成本是發布階段的1/100,發現缺陷的數量是部署后的10倍,研發安全“左移”也成為了軟件安全保障的主要趨勢。2021年美國著名的RSA沙盒大賽Apiiro團隊正是運用這個概念獲得了全場冠軍。在DevSecOps中采用白盒代碼分析的方式已經成為了安全圈新的熱點和方向。
為什么鴻漸科技被推薦
隨著軟件產業的快速發展,現代軟件大多數是被“組裝”出來的,不是被“開發”出來的。各類信息系統的軟件供應鏈也越發復雜多元,復雜的軟件供應鏈會引入一系列的安全問題,導致信息系統的整體安全防護難度越來越大。如今軟件供應鏈已經成為國內外對抗的焦點,直接影響關鍵基礎設施和重要信息系統安全。尤其現在美國的禁運,SAST工具卡脖子的問題愈發明顯。
放眼國內,涉及代碼安全分析產品的廠商鳳毛麟角,能夠做到真正自主研發的團隊更是屈指可數,大多數所謂自主產品都是基于開源改造或國外產品封裝,并沒有自己的底層分析技術。究其原因,主要有以下五點:
1) 技術門檻高,多源自名校
代碼分析領域屬于軟件工程中編譯的分支,應用了大量的編譯算法,屬于基礎軟件范疇。國內開設編譯課程或軟件分析的高校,只有北大、清華、中科院、港科大等幾所知名高校,了解底層技術的人員更是鳳毛麟角。橫向來看,國外同類產品大多數產自于知名高校的長期積累,例如斯坦福大學的Coverity, 牛津大學的CodeQL等。
2) 人才要求高,知行合一是關鍵
即使學習了編譯課程,其分析算法的實現難度對于技術人員編程能力要求也是非常頂尖的,以鴻漸科技為例,底層算法的大多都是北大和中科院等知名高校計算機系的畢業生(算法和代碼能力超強)多年研發的結果,并不是一個普通程序員通過努力就能掌握和實現的。
3)研發時間久,企業考核周期短,缺乏長期主義。
一個實現了路徑敏感、上下文敏感、對象敏感的代碼分析核心引擎需要上百萬行代碼和多年的算法局部調優,這個是多年積累的成果,即使一篇頂會論文的原型,也只是突破了某個點,對于面上的突破也需要數年的積累,而任何一個企業的考核周期最多是一年、兩年,國內的企業很難能夠容忍一個部門在三到四年沒有大的產出,還不解散的。
4)興趣愛好與金錢的抉擇
從以上三點可以看出來,一個代碼分析工具需要具備高素質人才,通過長期不懈努力才能收獲相對好的成果,天賦、興趣、愛好、堅持和金錢缺一不可。在互聯網金元經濟大行其道的情況下,清北的本科畢業生,去互聯網大廠輕輕松松年薪五十萬起,博士更是動以百萬,如果家庭條件一般,很難拒絕金錢的誘惑抑或是屈服于生活的壓力,又有誰會在冰冷的基礎軟件方向默默耕耘?以鴻漸為例,核心人員都是學霸和學神級人物,家庭條件尚可,又在這個方向都是非常有興趣的Geek(迷戀數學和ACM),聚集一群這樣的人才確實可遇不可求。鴻漸的碩博比例更是高達60%以上,遠高于多數安全大廠。
5)抬頭看天是一種方向,低頭看路是一種清醒,好工具是被罵出來的
產品經理和研發人員投入到一線去發現、去感知、去挖掘、去挨罵,通過上百家客戶的試用交流,不斷的總結提升,和客戶一起成長,打磨出中國真正自己的SAST靜態分析工具和SCA同源分析工具。
由此可見,代碼分析工具并非幾個人一時興起的激情投入,也并非國外工具和開源工具加個殼兒就能解決問題,也并非商務推進低價中標抑或是鋪天蓋地的媒體宣傳。是需要一批有情懷又不是那么差錢,高智商臉皮又足夠厚,能持之以恒又靠譜的年輕人不斷的去挑戰、去征服。
最后,我們歡迎有夢想的年輕人加入,本科985計算機、軟件工程相關專業,高考成績630分以上,對算法感興趣。如果能來個博士那就最好了。
也歡迎各甲方客戶交流試用,多提問題和建議,只有都用上了國產測試工具,國產測試工具才能進步,才不至于因禁運而受制于人!
