2021年9月,火線安全平臺正式發布了全球首個開源的IAST項目。安全419觀察到,該項目的發布在引起甲方安全研究團隊關注的同時,也讓業界產生了一些不解,為什么這樣一家以白帽子安全眾測業務為核心的廠商卻推出了一款開源的IAST產品?是火線安全正在謀劃向開發安全領域發力?還是它背后有著怎樣的商業發展規劃?
近日,安全419再次連線火線安全創始人鄔迪,請他來闡述一下發布開源的洞態IAST產品前后的思考。
用戶真實需求 驅動社區原生的洞態IAST誕生
鄔迪表示,關于向開發安全領域轉型的猜測基本可以否定,他們未來會持續推出更多的新產品和業務,可能是開發安全,也可能是其他細分領域相關的產品,但最終都會圍繞社區原生、社區共建的思路來推進。
他表示,火線安全的定位是一家以白帽子安全社區為基石的安全公司,社區原生是他們的最大特點,因此,聯合我國的白帽子安全專家開展安全眾測是一個天然衍生出來的業務。
由于安全眾測主要是面向企業已經發布或是已經上線的業務系統去做測試,如果站在用戶和企業的角度來看,眾測是發生在業務上線后的,用戶需要更早地介入,通過安全措施和手段發現安全風險,更前置性地解決安全問題。因此,火線安全基于用戶的核心需求,綜合大量用戶的建議后,打造了洞態IAST產品。
之所以選擇研發IAST類產品,還有一個十分重要的原因,那就是當前DevSecOps生態下,IAST與SAST、DAST類產品相比擁有明顯的優勢,IAST比較有效的結合了DAST、SAST二者的特點,能夠覆蓋到更多的應用安全檢測場景,可以更及時、準確的發現漏洞。與此同時,在產品部署方面,IAST產品無需配置的即插即用方式,對用戶而言也相對更友好。
鄔迪談到,洞態IAST與業內其他的IAST工具本質的區別在于,它是唯一一個社區原生的開源IAST產品。“在我們看來,IAST是一款可以與社區一起合作開發的工具,社區成員們的技術經驗和真實的產品體驗會對它進行持續的賦能和加持。就目前來說,這款工具中很多重要功能的代碼都是由用戶提交上來的,包括agent的啟停功能、漏洞的通知功能等等,未來還會有更多的功能由社區用戶來共同開發,我們也希望能夠有更多的社區用戶參與進來。”
“火線安全做出一款產品的核心判斷依據只有一點——能否通過社區共建的方式,去滿足當下企業用戶還沒有被滿足的需求。洞態IAST也是在這個基礎上誕生的。”
開源的決定 來自于對技術天生的熱愛和分享精神
鄔迪坦言,“就開源與否這個問題,其實我們想的比較久,考慮很久才決定開源。洞態IAST實際上從2019年就開始開發了,但直到今年我們才正式決定把它以開源的形式發布出來,中間經歷了一個很長的心路歷程。”
回到技術創新的初衷,火線安全本身是一個技術氛圍濃厚的團隊,成員也均以技術出身為主,因此對整個團隊而言,當大家看到一項很好的技術時,會按耐不住自己想要分享的喜悅。大家一致認為,洞態IAST這款好的產品值得分享給更多的人了解和使用,所以最終做出了將它開源的決定。“任何一家重視軟件安全的企業,都會在接觸過洞態IAST后看到它的價值。”
在這款產品開源后,火線安全得到了很多正向的反饋。一方面,許多安全團隊的研究人員通過洞態IAST的開源代碼了解到了整個IAST的原理,對IAST有了更深層的認知。另一方面,這個項目在不少開源社區發布后,一些非安全從業者也陰差陽錯的接觸到了IAST。通過看代碼學習后,最終投入到安全工作,成為了網絡安全行業的一份子,這是讓火線安全既感到意外又十分驚喜的。
除了上述原因以外,開源背后實際上也暗含著鄔迪自己的一些商業思考。
“安全在DevSecOps流程里面是很重要的一環,因為DevSecOps意味著開發、安全和運維三者的有機結合,他們是一個三角形的關系。在真實的工作環境下,一款軟件產品如果只是提供給開發、運維和安全中的任意一者,是比較容易讓大家接受的。但如果一款產品涉及到多個部門,特別是在一些大企業內部推進一款DevSecOps工具是有阻力的。”
他表示,在開發領域和運營領域,使用開源產品和技術應用已經比較廣泛。如果能提供一款開源的安全產品給三方來使用的話,允許開發團隊和運維團隊查看到這個安全產品的全部代碼,在一定程度上能夠增強開發和運維部門對安全部門的信任。從這個角度思考,如果一款安全產品能夠在企業內部獲取到更多部門、更多用戶的信任,它在最終的商業發展上面也能夠收獲更廣闊的想象空間。
鄔迪透露,目前開源的社區版本會包含當下企業需要用到的全部功能,把常用語言的檢測,包括像Java、PHP、Python等語言的檢測,以及一些最常用的通用漏洞類型的檢測,都會放在社區開源版中。同時,他們也正在開發洞態IAST的商業版本,將一些特殊漏洞、復雜漏洞的檢測,以及一些特別的管理功能會放在商業版本中來為企業用戶提供服務。
讓渡更多的知識產權和控制權 為用戶創造價值
狹義地來看,一個企業將一個項目開源就是在部分放棄自己的知識產權和控制權。在采訪最后,安全419也請鄔迪就這個話題聊了聊自己的看法。
他認為,站在企業的角度看,開源在一定意義上確實是等于把產品代碼的控制權讓渡給了用戶,他們會對是否開源的事情考慮比較久,也說明了開源它本身就是很難做出的選擇和決策。
“雖然放棄了知識產權會讓我們減少一部分收入,甚至還會制造一些潛在的或原本不必要的競爭,但回到我們做這款產品的初衷,如果將這款產品開源,無疑會為用戶創造很大的價值。無論何時,為用戶創造價值是第一位的。”
鄔迪告訴我們,在洞態IAST產品開源后,有許多安全公司也找到了火線安全來主動的開展商業合作,這代表著國內對知識產權的保護意識正在向好的方向發展。“平時也會有人問我對開源怎么看,其實在中國開源的趨勢是會越來越好的,未來也會越來越健康。所以在我看來,洞態IAST開源的嘗試是有價值,有意義的。”
