悬镜子芽 | 新一代代码疫苗技术，持续赋能敏捷安全

北京商报/徐语聪

互联网的发展，使得一场场博弈在网络入侵和反入侵之间拉开帷幕。尤其在数字化建设浪潮席卷而来的当下，网络安全和风险问题更为突出。纵观互联网发展的历史长河，网络攻击、数据窃取等全球范围内的网络安全重大事件频发，让网络安全成为经久不息的话题，如何加强网络安全建设成为国家发展路程的重中之重。

对此，悬镜安全创始人兼CEO子芽表示，根据自身组织的特点搭建配套的弹性敏捷安全体系，将是未来网络安全技术演进的重要趋势。

跨出现有认知边界探索前沿技术

2013年6月，英国《卫报》和美国《华盛顿邮报》先后向公众披露：美国国家安全局（NSA）和联邦调查局（FBI）于2007年启动了一个代号为“棱镜”的秘密监控项目，监听全球民众的通话记录及网络活动。此事一出，顿时掀起国际社会的轩然大波，给传统网络安全技术和产品带来了严峻挑战。

网络安全是互联网发展的基础和前提，常态化的互联网治理必须建立在网络安全的基石之上，这一震惊全球的“棱镜门”事件让广大网民对网络安全的呼声更加强烈，世界各国开始不断加强网络空间安全的部署。我国也于2014年2月27日正式成立了中央网络安全和信息化领导小组，将网络安全提升到国家战略新高度。

在当时的大环境下，作为安全行业的从业者和研究者，子芽和他的师兄弟们明确感知到传统网络安全技术正在面临严峻的技术变革挑战。与此同时，作为白帽黑客，他们致力于挖掘安全的本质，探寻下一代安全技术的未来，在追求创新的理念驱动下，核心创始团队一拍即合，“XMIRROR”悬镜安全应运而生。

在早期确定公司的细分方向时，子芽坦言，作为高校科研创新力量，我们要做的是要帮助整个网络安全行业跨出现有的技术认知范畴，最终选择了一个具备技术挑战但并不被大众所熟知的领域——运行时插桩技术。“在我们看来，运行时插桩技术具有极大突破性，虽然当年还没有在国内兴起，但我们依然专注地投入到这项技术的探索研究当中。为了获取足够的研发经费，我们甚至会将在其他攻防演练等网络安全服务中挣到的钱，倒贴在这项技术的研究和研发实现当中。”

但是显然，一项技术的成功研发并不代表它就能广泛适用于客户所有的业务系统。子芽表示，由于这项技术需要插桩到应用服务器当中，因此会对适配的开发语言、应用系统兼容性提出非常高的要求，容易对客户的业务产生影响。“所以，我们迟迟不敢把打磨的产品放到用户系统里进行规模化应用，而是不停迭代，致力于打磨出更加成熟的商用化产品。”

“如果时间能倒退，我们或许会换一种做法，不再单方面追求某个检测算法的高精度，而是只要有一两种开发语言适配的足够好、检测率和兼容性表现优秀就可以迭代上线了”，子芽笑称，“但是，虽然技术的研发跨越了四年时间，但好在，它终于发展起来并被行业认可。这让我坚信，选择的事情要执着坚持做下去，好的成果终究会出现。创业如此，生活亦是如此。”

核心竞争力源于战略专注

在子芽看来，一家公司要想走得长远，一定要懂得坚守“专”和“精”。众所周知，网络安全行业中的细分领域非常多，据不完全统计已经超过150种。面对这样一个行业，如果侧重点太多，将很难做出沉淀。因此，子芽坦言，网络安全领域的公司一定要选择一个细分长远方向，专心沉淀一类技术，并把它做好、做深、做精，最后再结合具体场景沉淀打磨成独有的一套闭环产品体系。

对于悬镜来说，DevSecOps敏捷安全体系就是悬镜这些年持续深耕沉淀的主方向。子芽表示，当前，在DevSecOps这条赛道上的厂商逐渐增多，悬镜不可避免地要面对竞争局面。那么在他眼中，悬镜在行业中的核心竞争力可以概括为三个层面。

首先，从技术层面来看，悬镜将旗下DevSecOps体系中核心的运行时插桩技术定义为代码疫苗技术。顾名思义，就是把这项技术像疫苗一样注入到应用服务器内部，在内部清晰看到解析后的流量，感知业务运行过程的上下文。这样一来，既能诊断应用自身存在的漏洞，也能够防御外部危险，进行自主检测和响应。子芽表示， “在这条赛道里，悬镜拥有多年的技术沉淀和技术算法，这构成了悬镜的技术优势。”

其次，是对品牌的认知。子芽坦言，“现在，部分客户在认知上还存在一定的惯性思维，认为国际厂商的产品在能力上相较于国内厂商更有优势。对此，我认为最好的方法就是在对比测试阶段，通过实打实的技术验证来解决这个问题，这种方式也确实为我们赢得了不少优质客户。”

为了更好的推动敏捷安全技术发展，悬镜主办或承办了行业内多个DevSecOps论坛，并与中国信通院共同主导了行业内第一个IAST（交互式应用安全测试）标准等。

最后，从产品层面来看，子芽表示，悬镜走的是技术聚焦战略，也叫做“单探针”战略，沉淀出“代码疫苗”这项核心技术，将探针注入到国内数个企业的应用服务器上，用来解决客户不同的问题，或配套成不同的产品体系，从而为用户搭建一个完善的敏捷安全体系。

“总之，悬镜的产品在应用场景支持的深度以及使用体验方面均占有一定的优势，再加上作为国内本土厂商，具备分布式的本地化服务支撑能力，这些都让我们对未来的市场竞争充满信心。”子芽说道。

以竞合关系走出创新研发之路

随着国家对网络安全领域的愈加重视与积极布局，子芽认为，未来网络安全的市场发展空间将会持续扩大，达到千亿规模。顺应着这样的潮流，未来的网络安全行业将会呈现诸多积极的发展趋势。

长久以来，客户都更愿意采购传统网络安全大厂的产品和解决方案，普遍认为大厂的产品更有保障。然而，随着细分领域的厂商越来越专注于单一技术的打磨，客户也在这个过程中，更倾向于选择各细分领域的头部厂商。子芽举例道，“比如在DevSecOps领域，客户更加重视技术好、体验好的细分领域头部厂商，能为他们提供长期安全的体系化支撑，这对创业型技术公司来说是一个很好的现象，为他们带来了更多的生命力和竞争力。”

其次，从软件供应链的完整生命周期来看，子芽将软件供应链周期分为左侧和右侧，例如WAF、防火墙、主机安全等大家所熟知的网络安全产品就属于右侧，即业务上线后的运营安全。这就会导致一个问题，风险已经发生再去维护，难免“亡羊补牢”。

“那么，如果换一个思路，在软件开发的源头，甚至在写代码的初始阶段，就进行自动化检测和积极防御，从源头做风险治理，安全投入不仅更加高效，也更加贴合敏捷安全体系落地的理念。”子芽表示，安全左移将会让软件供应链的安全保障获得切实可落地的支撑。

最后一个趋势，则是行业和国家层面开始集体重视软件供应链安全。子芽强调，“事实上，任何一家厂商开发的任何一款软件都不是纯自研，而是在开源的基础上组装而成。由于开源盛行，因此在软件供应链的一些关键环节进行开源治理显得尤为重要。”

其次，据知名智库“大西洋理事会”发布的报告，2010-2020年10年间的公开报道中，具有较高影响力的软件供应链攻击和泄露事件层出不穷，呈现逐年递增趋势。所以从国家安全发展的角度，整个行业和国家也更加重视供应链的安全保障。

“当然，这些积极的发展趋势都会让网络安全行业的竞争越来越激烈，但同时也会让我们更有活力，如果行业能够在这样的发展下联合起来，形成一个整体的创新实践解决方案，覆盖在各种不同的应用场景下，那么中国的网络安全产品也能够走出一条以创新驱动的产品路径。”子芽说道。