我觉得软件安全的本质其实是“软件质量”,安全是其中的一部分,这是开发安全更朴素、更底层、最贴近于真实的一个理念。我希望未来比瓴不仅仅是一个纯粹的开发安全提供者,而是以“软件质量”, 或者 “软件可信性”这样一个更大的话题来展开的、真正解决好客户面临的问题。
当下对于客户来说,痛点并不是没有足够的开发安全工具,而是大部分工具并没有被用起来。
——比瓴科技CEO 付杰
近两年在大家的感受上用户在网络安全上支出是紧缩的,但唯独软件开发安全、供应链安全依然是一个热点,客户预算呈现出了高增长的状态,与此同时,国内的软件供应链安全相关企业也如雨中春笋风起浪涌,比瓴科技就是其中比较有特色的一家公司。
比瓴科技如何与客户同频对话,通过与客户达成共识快速占领市场?在激烈的竞争中比瓴科技活的怎么样?应用安全态势管理平台(ASPM)究竟有何创新之处?在2024比瓴科技新产品发布会上,赛博英杰创始人谭晓生(老谭)为我们采访到了比瓴科技联合创始人&CEO付杰,欢迎观看本期老谭煮酒会英雄,我们一起走进比瓴科技。
经验分享
与客户同频对话,快速达成安全共识!
老谭:今天在比瓴科技2024新产品发布会上我们采访到了比瓴科技的创始人付杰先生。如果请您用一句话来介绍比瓴科技,您会怎么介绍?
付杰:比瓴科技是一家从事软件安全行业的公司,我们专注于去构建一个自动化的软件安全开发平台,帮助企业去构建安全可信的软件及代码。
其实试图在5秒-10秒的时间内用一句话说清楚开发安全还是挺难的,所以我们会在几个重点的词汇上先与客户们达成共识,包括“安全左移”、“应用全生命周期的安全管理和风险可视”、“漏洞数据和研发过程的闭环管理”。
老谭:安全圈的人知道什么叫安全左移,开发人员知道吗?
付杰:知道,但不care。安全这个词儿对开发来讲就天然不是一个感兴趣的话题,不过今天客户其实已经不会去谈什么叫安全左移,为什么要安全左移了,大家在讨论的是“怎么去做”。
简单来说比瓴以一个平台级的产品,在早期为客户识别风险(TMA威胁建模);在中期降低研发干扰(自动编排),无缝地把工具介入到整个研发过程;在后期进行数据降噪(降低安全漏洞的噪音),让研发可以更加专注于真正对业务构成威胁的漏洞,快速修复、上线。
老谭:也就是说您这个平台负责了一整套工作,从威胁建模到自动编排,再到漏洞优先级的排定(数据降噪),让用户关注最需要关注的漏洞。
付杰:是的,为用户解决效率问题,而不是去做一些低价值的重复工作,不让用户被安全数据所淹没,这些理念其实非常容易被客户理解。客户现在更关心的是我们会怎么去做,以及如何与他现有的研发体系做融合,包括DevOps工具链、项目管理工具链、研发管理的组织结构和管理模式。
老谭:业务的资产清单是做安全的管理的起点,一个大型企业的数字资产是相当复杂的,比瓴如何解决这个问题?用户的实施难度有多大?
付杰:事实上我们没有去帮客户梳理顶层的数字清单,数字清单是个抽象的存在,所以这层数据需要用户告诉我们。一个客户有100个应用系统这件事情是我们没法用技术手段来知道,客户需要告诉我他有多少个系统、子系统,因为这是管理层面的事情。而再往下探,用户的软件是什么状态?一个子系统是由多少容器、微服务、API、组件、模块构成的?这些是比瓴要告诉客户的内容,这也是比瓴ASPM(应用安全态势管理)要做的第一件事情。
新品发布
ASPM魅力何在,平台功能是否实用?
老谭:今天是2024年比瓴ASPM的发布会,这次有哪些新的内容和能力公布出来?
付杰:有几大部分。
第一是细颗粒度的软件资产管理。实际上开发和运维眼里的“软件”并不是一个东西,他们二者心目中的软件定义很可能是“鸡同鸭讲”,所以我们通过“软件资产管理”的概念拉通了各方的分歧。
第二是软件全生命周期的风险可视。知道有这些软件资产之后,需要让用户直观地看到,从源代码的构建到发布、上线整个生命周期中所有软件清单到底有什么漏洞,以及是什么状态。
第三是梳理软件资产之间的关系。这是更复杂的一部分,软件的复杂性决定了它不是一个独立的存在,所有软件资产之间是有关系的。例如两个容器之间会存在调用关系,一个API可能会被两个不同的子系统所使用,我们要知道资产之间的风险传导,这不是一个树状概念而是网状概念。
在这个环节,漏洞优先级就很重要,所以第四个我们正在持续强化的能力就是VPT技术,我们知道了整个软件的清单以及之间的关系,知道了漏洞的传播链,会更好地去定义漏洞的严重性。举一个非常简单的例子,如果一个容器的某个API有问题,左边影响的是一个交易系统,右边影响的是一个OA系统,这个时候我们对它整个风险的认知就会发生变化,而不只是一个注入漏洞,更加清晰地以一个开发、运维和业务都能理解的视角来描述这个漏洞以及漏洞的影响,真正给用户提供帮助。
老谭:那我们来聊聊VPT,漏洞对于不同用户的业务场景在优先级排定上是有差异的,比瓴如何解决这个差异?
付杰:一套技术的漏洞的可达性、可利用性其实没有差异的,对于客户来说最大的差异其实是对“重要业务”的认定。
我们在整个平台产品和解决方案部署前需要和客户探讨两个问题:“应用系统分级”和“业务要素分级”,这两方面用户也可以在我们平台上进行配置,最终比瓴把漏洞跟业务模块、应用系统进行指向和挂钩就可以了。
老谭:在比瓴的产品介绍上我看到你们有对数据安全也有一些涉及,在数据安全这个大领域比瓴也有规划吗?
付杰:开发安全一个很朴素的概念其实就是“开发过程里要搞定的安全问题”,数据安全也是其中一个。用户非常关注的一个点是,一个漏洞我不仅要知道它影响哪些业务,也要知道它会影响哪些数据。
只是说比瓴同传统运维视角的数据安全是有差别的,我们是从开发侧的角度去看待漏洞是怎样影响数据的。
老谭:客户如果买比瓴ASPM这个平台大概要花多少钱?
付杰:比瓴ASPM作为一个平台是模块化售卖,有些功能模块是必须的,有些模块和工具是可选的,整个平台级产品的价格空间大概是在100万到300区间里。
老谭:客户要把这个平台要用起来需要配备什么样的资源?
付杰:事实上不需要客户为产品做什么配备,我们的平台和工具就是为了给客户减轻负担的,客户不再需要那么多的人去使用工具、分析数据、协助研发排除误报和脏数据的清理。但我们希望的是客户能够在所有的研发项目组里面都有一个安全的岗位,兼职也可以。我们可以看到无论是国外还是国内,开发安全的最佳实践案例中,都会有一个“安全专员”的角色,甚至不需要这个人很懂安全,只要他愿意来张罗这个事,是他的职责所在,这个角色可以让客户走完开发安全的最后一公里。
落地实践
多行业覆盖,从实战中打磨产品能力
老谭:到现在比瓴在业内也小有名气,能否说几个你们的典型用户?
付杰:第一个是民生银行,他虽然不是我们最大的金融机构用户,但很有代表性。民生银行有比较清晰的安全管理层次架构和恰当的安全资源配比,是我们认为大部分金融行业的客户最终会走到的一个样子。我们的平台和产品在这个客户的业务中也有非常成功的落地效果。
第二个是中铁,中铁尽管来头很大,但在行业分类里原本不是我们最重视的,而他的典型之处是通过他让我们见识到了,一个非常传统大型企业内部的数字化转型的投入有多大,这是为国央企服务的一个非常有价值的样本。同时中铁的落地让我们也看到了相比于其他行业(例如金融),他们之间的安全管理架构、层次、研发管理模式等的差别是特别大的。
第三个客户是一家跨国车企,因为没经过客户的允许就先不透露他的名字了。过去我们认为本土的安全产品在跨国企业很难有机会,觉得跨国企业在中国无非是把在国外东西copy过来。但事实上随着他们中国区业务占比中越来越高,很多外企其实非常愿意在中国搭建一套从研发到安全都本土化的东西,这点打破了我们过去的一些认知。今天比瓴把自己的产品和工具落地在了这家相对领先的外企里面,当然我们也去兼容了他一些在国外研发的DevOps工具链和安全工具,但这确实让我们看到了,安全在外企里面也不是没有机会的。
老谭:这确实很了不起,这种客户往往是比较难以拿下的。
付杰:是的,我相信背后一个最大的驱动力倒不一定是比瓴,而是一些跨国企业在中国的业务独立性越来越强,他也应该要允许中国这边从安全到基础的技术架构都走本土化的路线。
热点赛道
希望之光,寒冬腊月中的明烛
老谭:2023年其实是很多安全公司觉得日子比较难过的一年,比瓴在过去的这一年里面感受怎么样?
付杰:所有的公司感受到的比瓴都会感受到,只是相对来说我们感觉到了一些有点不一样的东西是,在大部分的客户那里软件安全和供应链安全依然是一个建设的热点,即使在整体预算在降低的情况下,这块的预算还是一个高增长的状态,所以会让我们在整个环境中感觉并没有那么的寒冷。
老谭:2022年到2023年其实网络安全方面的投资也是比较冷的一个时期,而我们知道比瓴刚刚完成了一笔融资是吧?
付杰:是的,比瓴是在2023年获得了两笔投资, 6月份A轮的投资人是朗玛峰创投,9月份A+轮的投资是国方资本,两轮加在一起的金额大约是大几千万。
老谭:比瓴做的这个领域确实是非常好的,从2021年solar winds事件之后,后面又发生了log4j2这个漏洞,让供应链安全这件事情一下子就获得了非常高的重视。
付杰:事实上现在客户对供应链安全的认知比我们想象的要更深,我们跟一个领先的客户聊供应链安全,他们没有人会聊SCA,因为这是一个很基础的东西。客户今天对供应商提出的需求是非常高的,他们会跟我们探讨如何建立一个组织级的软件资产的清单,如何对整个资产的清单从引进到使用、到上线、到销毁甚至到退出做全生命周期的管理。
其实比瓴ASPM里面谈到的很多理念也受了当年这些事情的触动,问题的点不再是能不能扫出来,而是后续的处置过程中,用户到底是因为缺失了什么能力,才让log4j2成为了一场灾难。
AI赋能
大语言模型让开发人员不再反感“安全”
老谭:那么这次的发布会除了ASPM之外是否还有其他新的功能或者模块值得大家特别关注?
付杰:这次我们发布ASPM的时候,把大语言模型的能力运用到了TMA(威胁建模)模块里。威胁建模这个词对业务人员来说是一个比较生僻的词,但安全架构师非常喜欢。威胁建模的作用是希望它更早(例如业务人员在提各种需求的时候)就能够让人员意识到你们的需求会带来什么样安全风险。但是一切跟安全相关的东西对业务人员都是不友好的,但大语言模型能非常好地解决这个点。
老谭:那你们是怎么把大模型用到你的TMA里面去的呢?
付杰:过去我们做TMA的时候跟用户的交互方式是问卷式,向客户问一堆问题然后我们来输出一些对应的安全风险和建议。但现在从交互上可以把它变成一个语言的问答方式,所以首先从直观的交互感受上它变得友好了。
但这不是关键,关键是过去比瓴所有威胁建模的核心知识库都是公开的,比如行业规范、安全指南、最佳实践等,是一些跟漏洞和监管相关的东西。但事实上其实客户手上还有更多有价值的东西是应当作为TMA系统知识体系的一部分的,过去这部分内容我们是拿不到的,而今天当我们用大语言模型的时候,客户可以自己来投喂和训练大模型,当然前提是比瓴为用户搭建一个非常好的产品体系和框架,能够让用户来投喂。
在今年年初的时候已经有了一个落地案例,客户把他们过去十多年积累下来的小一万份高质量技术材料以及他们内部2000多份不便对外公开的资料(可能是漏洞排查报告或监管风险提示)投喂给了大模型,基于比瓴的标准知识叠加他们私有内容,建立起了一套完全属于他们的知识库,就可以解答很多问题。
比如过去的回答依据只是标准,做什么,为什么,怎么才能合规。而结合用户私有知识库之后,大模型会告诉用户过去他们这个企业面对同类的事情是怎么做的,发生过什么事情,有什么反面案例,这个答案就很有针对性了。
老谭:这个场景确实是一个亮点。
付杰:对,这件事从一开始技术路径就是通的,TMA的核心就是知识,它与大语言模型的能力是共通的。
老谭:好的,您刚刚也谈到咱们的SCA做的是比较好的,比瓴的SCA是源代码级的还是二进制级的?
付杰:都有,当然源代码级的SCA的应用场景是更广的,虽然也有一些客户需要二进制的SCA,比如车联网、物联网领域,但这个需求市场还是比源代码级的市场小不少。
发展理念
抱着赤子之心,回归开发安全本质
老谭:对于比瓴未来的发展您有哪些预期?
付杰:我先说一下比瓴长远的想法与理念。我很喜欢新思Synopsys这家公司,没事就会去看看他们的官网。我喜欢这家公司的原因倒不是说他把软件安全做的有多好(虽然做的确实很好),他吸引我的点是他在包含像芯片、代码之类的质量验证上做的非常强,安全反倒是很小一部分。
我觉得软件安全的本质就是“软件质量”,安全是“软件质量”的一部分,无论是去做辅助设计,做验证,做仿真还是任何事情,这都是看待软件安全的一个更朴素、更底层、最贴近于真实的一个理念。
所以我有个梦想是希望有一天比瓴可以成为一家像新思这样的公司,不仅是一个纯粹的安全提供者,而是以“软件质量”, 或者叫“软件可信性”这样一个更大的话题来展开的公司。我觉得这是一个更朴素的问题,而越朴素的东西生命力越长。这是我们的长期目标。
而比瓴的短期目标是希望近两年把软件安全领域上的产品线做到足够的全和强,尽快补齐工具,成为一个在软件安全上具备全解决方案并且有足够有特色的一家公司——全是我们的产品布局,平台能力是我们的特色。
老谭:那您的目标是成为中国这类企业的第几名?
付杰:第一,要做必须要做第一。比瓴从一开始就定位于平台,中国不再缺一个做SCA的人,也不再缺一个做白盒的人,即使把工具做到比别人更好,也很难改变客户的现状,客户最需要的是如何用好这些工具。
老谭:成为中国开发安全或者是供应链安全里面的No.1,您计划多少年能实现这个目标?
付杰:3-4年吧。任何一个行业要完整的成长起来需要5-8年,整个行业已经过去了3年多,如果比瓴不犯错误,不遭受太大的挫折,相信在3-4年后我们是可以实现这个目标的。
老谭:3-4年的时间是有些激进的,但从您长远的技术目标来看,这确实是一个很伟大的理想。对于网络安全来说,目前确实是看不到一个答案能够彻底解决安全的问题,确实是要像您说的一样,用各种各样的方法去提高软件质量、业务质量才能真正解决用户的问题。
付杰:是的,所以我们如何去定义“一个行业的领先企业”,刚刚我说的3-4年想要成为行业第一,但其实也许这个时间段内,我们只能做到自己认为的领先,事实上可能还要再加一个3-4年,才能把自己的能力真正变成全行业和全客户认可的TOP1。所以做网安的人都是跑马拉松的好手!
老谭:是的,要在安全行业做成一个优秀的一个企业确实是需要有跑马拉松的精神。祝愿比瓴能早日达到您的这个目标!
本文标签:#老谭煮酒会英雄 #开发安全 #ASPM #比瓴科技 #软件供应链安全
评论