海云安谢朝海：大幅降低安全合规成本--为开发者提供全面的安全赋能

近年来，伴随着DevOps敏捷开发框架的出现，软件开发和部署过程变得更快，迭代更加频繁。在这样的背景下，安全已不再是一个独立的检查项，而是要更深度地与开发工具、与流程进行深度的融合，让安全向开发侧“左移”，将安全性嵌入到整个软件开发生命周期中。

与此同时，随着全社会对数据安全、个人隐私保护重视程度的提升，国家也颁布了一系列政策法规来加强在数据安全和隐私合规领域的监管和执法力度。在这样强监管的大背景下，安全合规已成为开发人员必须面对的的“必修课”。如何解决开发人员的痛点和诉求，帮助开发人员在在开发过程中更好的解决合规问题也已经成为了安全厂商们探索的重要方向。

安全419获悉，开发安全领域代表性厂商海云安在安全左移方面做出了全新的突破，即将发布一款名为“「开发者安全助手」”的产品，将SAST白盒测试、SCA开源组件检测和应用安全合规检测等安全能力进一步左移到开发者环境中，在软件开发的早期阶段引入安全和合规措施，帮助企业开发团队全面提高安全保护能力，降低安全合规成本，实现降本增效。

日前，安全419采访到了海云安创始人兼董事长谢朝海博士，围绕「开发者安全助手」这一产品的设计初衷、价值和优势，并围绕自身对于安全左移的理解进行了一次深度分享。

                                                             敏捷开发场景下

                                                   安全应向开发编码阶段左移

谢朝海博士首先谈到，随着「安全左移」的理念在安全领域受重视程度不断提升，整个行业都在围绕安全左移来思考全新的安全模型。但事实上，大多数开发安全产品还是安全人员在用，真正做到将安全左移到开发者场景中的产品少之又少。安全并未能融合到开发流程中，而是在整个项目开发完成后，提交一个代码包来做整体的安全检测，或是在业务上线后，在运行的同时开展安全检测。显然，这样也造成了漏洞响应的滞后。

此外，传统的代码安全产品，普遍也都没有帮助开发者解决好“快速定位问题代码”的问题。也就是说，传统的开发安全检测产品将整个代码包作为检测对象的模式，不能将代码与开发者相对应起来，每个开发人员必须拿到整体代码包的安全检测报告，从大量的安全问题、合规问题中找到归属于自己的那一部分，再去进行修改和优化，极大的降低了安全响应的效率。

为了帮助开发者群体解决这些现实问题，海云安打造了名为「开发者安全助手」的平台型产品，面向软件开发人员、编程人员提供安全赋能，将白盒安全检测、开源组件检测、应用安全合规、安全大模型等多方面安全能力嵌入到开发环境中，实现安全左移。

                                          图：海云安开发者安全助手使用界面

谢朝海博士表示，之所以将这一产品命名为「开发者安全助手」，也正是因为开发人员的基数要远远大于安全人员，「开发者安全助手」希望更好地把安全能力嵌入到开发者所熟悉的开发环境中，在开发者编写代码的过程中实时推荐更安全的编码建议，让开发者享受到更直接的安全能力加持。如果开发人员在代码编写之初便能够直接代码安全性，那么整个企业IT团队的安全效能必将得到显著提升。

从漏洞修复的成本来看，当安全被左移到开发者一侧时，单个漏洞的修复效率和成本也会得到大幅的降低。根据IBM研究人员的数据统计，在产品发布后修复安全问题的成本是在设计阶段解决成本的4到5倍，而在运维阶段修复安全问题的成本则可能达到甚至超过100倍。软件工程学家卡珀斯·琼斯也指出，80%的软件缺陷发生在编码阶段，而在后端测试修复缺陷的成本是开发阶段的40倍。因此，从漏洞检测时效、修复效率和修复成本三个角度来看，「开发者安全助手」都将会带来一次全新的变革。

                                                                   填补市场空白

                                                在开发者环境下提供全面的安全赋能

谢朝海博士告诉我们，“当前在整个开发安全赛道中，将白盒检测产品能力，开源组件检测能力以及合规检测能力内置到开发环境中的尝试，海云安尚属首创。”

他表示，代码可以大致分为两类，其一是纯自研的原创代码，其二是引用开源或者商用的第三方组件。过去行业中将关注的重心主要放在软件供应链安全这一侧，在开发环境下对软件成分分析做出了比较多的探索。在海云安看来，做好软件成分分析固然重要，但也还远远不够。

一方面，开发人员自己编写的业务逻辑代码同样存在安全问题，需要更好地识别和消除；另一方面，即便是调用第三方组件，也需要开发者自己编写调用接口的代码，这部分由调用编码函数引发的安全问题同样需要予以关注。 

因此，基于这一思考，海云安决定将SCA开源组件检测能力以及更高难度的SAST白盒检测能力内置到开发环境中，实现在开发者环境下对自研部分代码和第三方开源组件的深度检测。

众所周知，在安全左移概念践行以来，作为一个天生应用于开发生命周期“左侧”的安全检测类工具，SAST白盒检测产品得到了广泛的应用。但其居高不下的误报率，一直是白盒检测类产品的技术突破难点，也在一定程度上导致了“安全左移”进程的受阻。

据此前采访了解（跳转阅读：海云安谢朝海博士：安全赋能 研发自治 以敏捷白盒带来组织协同方式变革），海云安采用了自主的检测引擎，通过一系列的技术创新对其进行了大幅度的参数的训练和优化，使得白盒检测的误报率大幅下降。据悉，业内传统白盒测试的误报率基本在30%—50%左右，海云安敏捷白盒已将误报率控制在10%以内，目前已在多家客户现场的大规模应用中得到了验证。这也正是海云安将白盒测试产品嵌入开发者环境中的底气所在。

                                        图：海云安开发者安全助手使用界面

除开源组件检测和白盒检测外，海云安「开发者安全助手」的另一大亮点在于，该平台创新地将安全合规检测能力内置到开发环境中，帮助开发者在代码层面进行安全合规的检测，这一针对开发者需求场景的创新举措，解决了长期困扰开发者群体的合规痛点，也填补了国内市场的空白。

基于海云安在应用安全合规方面长期的积累和能力，「开发者安全助手」已经开发了一些功能，包括数据安全问题、个人隐私问题。拿个人隐私问题来说，当前国家在APP隐私合规层面上也出台了一系列标准和要求，包括允许收集数据的范围、时间等等。“如果产品已经开发完成了，再想整改就会比较费时费力，注定会影响业务上线的时效，但不整改又会违反国家法律法规。所以说我们现在希望把安全合规也左移到开发环境中，帮助大家解决好合规的问题，这也是开发者当前面临的一个真实痛点。”

从合规功能的角度，很多法律法规条文可能会有些不太容易理解，海云安会将这些法律法规先自我消化一遍，把书面语言转化为技术语言，转化成更直接的安全建议，对于开发者来说，这种场景化的提示，也能够提供很好的体验。

更值得一提的是，随着全球范围内大语言模型技术的火热，海云安也一直在积极探索大语言模型在开发安全领域内的应用场景。日前，海云安业内首创将大语言模型（LLM）技术引入静态白盒检测场景，进一步降低了白盒测试的误报率，突破了AI技术在源代码审计领域的应用难题。

将大语言模型技术引入静态白盒检测后，海云安也将这一功能融入到「开发者安全助手」中，为开发者提供自动生成针对性的缺陷成因解释、自动生成修复代码等功能，在提高代码质量的同时，通过对话的交互，开发者还能够参考大模型生成的代码编写用例，来大幅提高编程效率。对于开发者而言，安全大模型的加入将带来肉眼可见的增益。

                                         持续推动更好的安全左移

                                    助力安全开发实现跨越式提升

在采访最后，谢朝海博士表示，当前很多行业都在实践并落地安全左移，但由于大型的央国企单位和政府单位会更多地采用外包开发的模式，更多还是在采购环节进行把控。对于外包的开发工程师、供应商提出一些具体的要求，进而去符合包括法律法规上的和技术标准上、国标上的规范。

“但往往写代码的时间和周期都是比较长的，到验收和上线的时候已经是一个完整的整体了，如果这个时候再发现安全问题，再去根据检测结果做整改的话，一方面是系统已经成型，第二个来说就是时间上对于整个系统的开发效率上和项目验收上都有很大的压力。”

因此他认为，如果能够真正将安全左移到开发，左移到需求和设计阶段编码阶段，那么对于整个IT团队来说都将带来一次跨越式的提升。当前，网络安全人才缺口大已经成为社会性话题，而提升开发人员个体的安全开发能力，是提升整个IT团队信息安全水平，乃至影响到整个国家信息安全水平的重要方式，而这也是海云安打造「开发者安全助手」的初衷。