从Apiiro获得RSA 2021创新沙盒冠军,看国内软件开发安全市场

2021-05-21 15:16


RSA Conference的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,成为全球网络安全行业技术创新和投资的风向标。以色列的创业公司Apiiro赢得了今年的冠军。Apiiro总部位于以色列的特拉维夫和美国的纽约,该公司于2020年10月完成了3500万美元融资,是业内首先提出代码风险平台的企业,提供多维应用程序风险管理与可视化工具。


图1 Apiiro公司创始人





微软SDL到Apiiro代码风险平台



安全开发生命周期(Security Development Lifecycle,SDL)是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。安全应用从安全设计开始,软件的安全问题很大一部分是由于不安全的设计而引入的,安全设计对于软件安全的重要性尤为可见。


SDL是一个帮助开发人员构建更安全的软件和解决安全合规要求、同时降低开发成本的软件开发过程。自2004年起,微软将SDL作为全公司的强制政策,SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。SDL是侧重于软件开发的安全保证过程,旨在开发出安全的软件应用。


简单来说,SDL是微软提出的从安全角度指导软件开发过程的管理模式,在传统软件开发生命周期的各个阶段增加了一些必要的安全活动,软件开发的不同阶段所执行的安全活动也不同,每个活动就算单独执行也都能对软件安全起到一定作用。当然缺少特定的安全活动也会对软件的安全性带来影响。


图2 微软SDL安全活动简图


SDL流程是一种专注软件开发安全保障的流程。在SDL流程中,在不同的阶段需要使用不同的测试工具(例如:CI/CD上的SAST工具)。SAST通过扫描代码,获取数据流、控制流和函数调用关系以检测代码漏洞。但SAST仅关注漏洞,忽略了代码组件,数据,安全控制,部署位置,开发人员经验和业务影响等风险。这也是SAST的高误报的原因,业界商业级的SAST工具误报率普遍在30%以上,误报会降低工具的实用性,可能需要花费更多的时间来清除误报而不是修复漏洞。SCA(Soft Composition Analysis)在发现,管理、监控OSS许可证以及相关的安全漏洞上也存在一些问题。这些工具本质是查看相关的软件包或代码,缺少多维度视角的分析。


Apiiro的代码风险平台源于这两名创始人在微软工作中所面临的挑战:现有的安全性和合规性工具和流程大多是手动和定期的,为了便于集成控制同时也要满足风险管理要求,这些安全性的要求很多时间成了开发流程中的阻碍。


Apiiro处于DevSecOps、应用程序安全、DevOps生产力和云安全市场的交叉点。Apiiro代码风险平台可以帮助客户在SDL过程的早期进行有效的风险管理、加强应用程序的治理与合规性检测,同时防止针对CI/CD的高级攻击。Apiiro会分析整个开发过程中的数据,以帮助组织识别,确定优先顺序并补救有风险的重大变更。Apiiro通过提供跨应用程序,基础架构,开发人员的知识和业务影响的风险可见性,帮助组织构建应用程序风险计划。



Apiiro夺冠 意料之外 情理之中



(1)SolarWinds事件爆发,供应链安全需求迫切

有一些创新沙盒的获胜者都有“东风”助力,如2021年的SolarWinds供应链污染,导致18000家机构被攻陷,直接影响大家对软件供应链安全风险的关注度大幅提升,包括开源软件和第三方商业软件的安全性。而Apiiro公司开发的代码风险平台,关注开发者的异常行为,可以有效缓解供应链风险。


(2)DevSecOps已是重要赛道,云原生浪潮下安全左移已是趋势

随着敏捷开发模式的成熟和云原生的迅猛发展,DevOps已经成为开发团队常态,而从开发到运营如此长的链条中,安全怎么做始终是一个困难问题。其中涉及到多个团队、多种流程、多种软件协同,Gartner也是连续多年在提DevSecOps。2021年创新沙盒中出现了两家从事DevSecOps的公司,可见这个赛道已经有了足够多的玩家,客户认知和接受度也已经相对成熟。


(3)产品关注风险   

Apiiro虽然关注代码安全,但并不只是从代码本身入手,而是关注其风险,从服务API对外暴露的风险入手分析开发者的各种行为,这样能够聚焦运营时遇到的真实威胁,也能关注全面的风险,而不是检测到一些无关痛痒的代码问题,这才是客户真正想要的。



安全左移,安全团队和流程融合



今年入围RSA创新沙盒的十大公司在应用安全方向有两家,一家Apiiro,另一家就是SecDevOps厂家WABBI。


业界提出“安全左移”口号已经有两年多的时间,近年受供应链和上云趋势的影响,DevOps受到重视。SolarWinds事件的重大影响范围也直接引发了大家对供应链安全的关注,云原生的快速发展也加快了企业对DevSecOps的需求,如何保证开发安全则是首先要解决的问题。两家代表性公司中,Apiiro公司关注开发侧的各类风险,倡导与开发流程打通;WABBI公司使用自动化、智能化、平台化技术,使得安全、开发和运营流程融合,通过技术流程的合一,使得安全团队、开发团队和运营团队的合作紧密,则是企业安全运营的重要目标。




开源网安:关注风险 重新定义SDL



开源网安的产品核心价值及创新点与Apiiro不谋而合,应用安全所在的大安全行业总是不断变化的,如何将安全性和合规性融入开发生命周期需要进行根本性的重新审查。开源网安一直强调在开发生命周期的早期进行风险管理的重要性,开源网安S-SDLC平台的开发理念始终站在业务角度考虑业务真正痛点,专注风险而非局限于漏洞,多维分析应用程序,以打造安全的软件产品为核心目标,以更灵活、更智能的解决方案应对不断变换的业务环境和安全风险。



中国软件安全市场长期被国外公司主导

根据Gartner近日公布的《2020年度Gartner应用安全测试魔力象限》,进入“Gartner应用安全测试魔力象限”的11家软件安全企业均为国外企业。当前国际形势复杂,这些美国、英国、以色列企业一旦将中国区域加入禁令,不仅将带来被动更换服务商的极大损失,更有可能造成企业安全风险,甚至造成信息资产损失或业务损失。


图3 2020年度Gartner应用安全测试魔力象限



作为国内领先的软件安全全生命周期(S-SDLC)解决方案提供商,开源网安完全对标“Gartner应用安全测试魔力象限”的领导企业。目前,开源网安自主研发的6款软件安全测试工具,在产品功能、成熟度、售后服务、支持的运行环境、易用性、可扩展性、可维护性等方面,完全可以替代“Gartner应用安全测试魔力象限”的领导企业。凭借独有的技术领先优势,和自主可控的开发理念,有效填补国内软件安全产品“空白”。


图4 开源网安VS Gartner魔力象限领先企业


开源网安自2013年成立以来,专注于软件安全开发领域,始终以自主创新为发展源动力。公司以清晰的市场策略和产品规划,自研软件安全产品、解决方案和服务已成功应用于金融、央企、政府、行业监管、国内软件百强等大型企业,其中包含:工商银行、平安银行、中信银行、微众银行、国信证券、国家电网、南方电网、中国石油、华为、百度、金蝶软件、碧桂园等国内知名企业。


开源网安提供系列化软件安全产品(IAST、SAST、SCA、FUZZ、RASP)以及安全平台,实现快速交付的同时保障软件安全质量。完整产品链包含:开源网安灰盒安全测试工具IAST(简称:VulHunter)、开源网安代码审核工具SAST(简称:CodeSec)、开源组件安全及合规管理平台SCA(简称:SourceCheck)、开源网安模糊测试工具FUZZ(简称:SFuzz)、开源网安实时应用自我防护平台(RASP)、开源网安S-SDLC平台。


图5 开源网安产品一览图


在此基础上,开源网安同时提供金融行业、大型央企、政府监管机构、车联网、医疗行业的完整软件安全解决方案,以及一体化的DevSecOps解决方案和软件上线安全检测方案,通过强化产品技术支撑,推进应用安全测试技术在实际用户场景下的应用,以满足国内各行业软件层自主可控的迫切需求。


未来,开源网安将以突破关键软件安全开发技术壁垒、消减国外软件和技术断供风险为己任,积极推动我国网信创新工作、新型基础设施建设、国家软件重大工程等关键信息技术发展。