悬镜安全：用开源的方式做开源风险治理

随着数字化应用的高速发展，软件已被各行各业广泛应用，成为必不可少的一部分。近年来，全球范围内有关软件供应链安全的攻击事件层出不断，对个人、企业，甚至国家安全都造成了严重威胁。近期曝出的Apache log4j2漏洞的严重性、广泛性已经在各个领域显现，波及面非常大，更是让业界意识到做好开源软件安全治理已是迫在眉睫。

2014年成立的悬镜安全是一家致力以 AI 技术赋能敏捷安全，专注于 DevSecOps 软件供应链持续威胁一体化检测防御的安全公司，在悬镜安全创始人兼CEO子芽看来，“随着数字化转型的推进，软件供应链安全的市场潜力巨大。我们的初心就是要持续专注于技术创新应用，守护中国软件供应链安全。我们也希望通过努力在这一技术领域实现不断突破。”

悬镜安全创始人兼CEO子芽

山河无恙，历史从不辜负先驱者

悬镜安全成立于2014年，当时正处于网络安全行业高速发展的初期，现在看来，许多优秀的创新型企业都是在那个阶段成立。据子芽回忆，“悬镜安全创业初期的团队是来自于北京大学信息安全实验室，当时在学校做了很多相关技术的研究课题，主要方向是自动化漏洞挖掘和威胁模拟算法研究。其中，有一项涉及到运行时的动态插桩技术，其优势是能实现更高的检测精度和更低的误报率。基于这些课题和技术研究的沉淀，再加上当时国家成立了专门的网络安全领导小组以及‘斯诺登’事件等因素，让我们感觉到网络安全产业发展的时代到来了，于是就和实验室的师兄师弟们一起出来创业，成立了悬镜安全。”

从目前来看，悬镜安全当时的选择是正确的。

近些年，我国网络安全产业高速发展，无论从行业自身的活力，还是国家给予的战略政策引导和支持来看，网络安全产业都如旭日朝阳一般。要想在一个行业扎根立足，尤其是科技型企业，没有过硬的技术实力是走不长远的。从创业初期进入市场，子芽带领团队足足用了5年的时间来进行产品技术的打磨，期间拿到的投资都用于产品和技术的研发。子芽感慨道，“现在回想起来，像我们这样的技术型创业者，从象牙塔走出来多少都带有一些学院派的风格，会更在乎产品技术是否达到了要求。比如说一款产品，如果精确度、兼容性没有达标的话，我们是不会把它推向市场进行商业化。”由此不难看出，悬镜安全能做到其开发应用安全细分赛道的领先地位，正是靠着自始至终对技术的重视与执着。

一群朝气蓬勃的年轻人，从一门心思搞研究的实验室转战竞争激烈的商场，其中一定会经历不少坎坷，面对自身的优势与劣势，子芽谈道，“劣势可能就是我们会花更长的时间去研发产品，对于市场的敏感度没有那么高。比如，当市场需要某个产品的时候，一些技术经验成熟的公司能很快做出来，而我们需要更长时间进行产品技术的打磨和研发。不过在我看来，劣势其实也是优势。正是由于对产品技术研发的高要求，才能拿出过硬、经得起市场检验的高质量产品。经过长期的技术沉淀，也为今后更好更快地发展铺平道路。”

创业并不是一帆风顺，这需要有非常的强的决心和毅力，悬镜安全亦是如此。尤其是在创业初期技术沉淀的时候，团队也遇到过资金短缺、成员想要放弃的时候，面对这些问题，子芽说道，“学院派的人对技术都是有情怀的，如果不是因为内心的执着与热爱，我想我们可能也会撑不下来。面对技术难关我们要想办法攻克，面对成员的情绪我们要做好安抚。最终拿出来成熟的产品，要对得起市场和客户。经过跟一些头部客户进行合作，在客户那形成的好口碑，我们一下子就在行业里树立起了品牌，证明了我们自己。”“以用户需求为驱动，用心做好产品做好交付”这是悬镜安全这么多年的经验总结，也证明了以客户为主、做好产品打磨，满足市场需求是更好的选择，因为是金子总会发光。

7年对于一个新兴领域的企业来说，发展时间也不算短，回看这些年的发展，子芽认为，“创业就是一个把书读厚再读薄的过程，其中不免会踩一些坑，支撑着我们一路走下去的一定是因为热爱。创业会面临很多诱惑，一定要处理好产品、技术和解决方案三者之间的关系。不能因为追求热门产品而忽视了自身擅长的核心技术，而我们正是一直围绕着我们的核心技术在打磨产品和解决方案，才能在行业内有所突围，这也是受益于我们的聚焦战略。”正是如此，精于某项技术才能在赛道中处于领先，才会形成好的品牌认知。同时，子芽还认为，“基于核心技术形成产品和解决方案的闭环很重要，这有利于公司的长期发展，也有利于逐步强化公司在细分赛道的绝对优势。”

共享时代红利，弯道超车不再做观望者

2021年，国家出台了《关键信息基础设施安全保护条例》（以下简称《条例》），其中，《条例》第 19 条和 20 条，对运营者采购网络产品和服务提出了具体要求，对应对关键信息基础设施的供应链安全风险意义重大。关键信息基础设施承载了大量的个人信息和国家重要数据，其安全与否对于社会稳定及国家安全的重要程度不言而喻。子芽表示，“开源组件在关键信息基础设施领域的应用程度是很高的，做好这个领域的供应链安全工作至关重要。《条例》的出台非常及时且必要，当前，全球软件供应链安全风险激增，关键信息基础设施领域的软件运用了大量的开源组件。同时，当下国与国之间竞争日趋激烈，谁能更好的应对供应链安全风险，就能在竞争中取得主动权。”

在去年发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中，开源首次被明确列入。2021年7月工信部发布的《网络产品安全漏洞管理规定》中，对漏洞的发现、收集、发布行为也有了明确规定。我们可以看到，从国家层面是越来越重视软件供应链安全和开源风险治理。“Apache log4j2漏洞事件的爆发其实是有助于推动开源领域风险治理工作，让行业乃至国家更进一步认识到了问题的严重性。《网络产品安全漏洞管理规定》的出台，对于将行业规范化，更有效地防范网络安全重大风险，保障国家网络安全意义重大。”子芽说道。

这是一个网络安全产业发展的好时代，无论是市场的实际需求，还是国家相关政策法规的驱动，网络安全产业将迎来更加高速发展的时期。“悬镜安全非常幸运的赶上了这个时期，同时，我们也做好了相应的准备，能跟上产业发展的脚步。以我们的‘代码疫苗’技术为例，以高门槛的产品技术，让行业得以简单的应用，并解决复杂的安全问题，这是我们一以贯之的技术信念。也非常欣喜的看到，在数字经济发展的大背景下，不仅是金融业、互联网，包括轨道交通、畜牧业等传统行业的数字化进程也在逐步加快，软件应用率大幅度提升，这就意味着我们会有更为广阔的市场前景，行业发展未来可期。”子芽表示。

“代码疫苗”技术，开启软件供应链安全新引擎

Apache log4j2漏洞能有如此的影响程度和范围，也正是因为当前开源组件的广泛应用。“开源”是指源代码、文档等设计内容开放的开发模式，是群智协同、开放共享、持续创新的理念和生产方式，也是当下软件开发者乐于并广泛运用的开发方式。一旦某个被广泛应用的开源组件发生安全问题，后果不堪设想。因此，认识和了解开源安全风险情况并做好治理工作至关重要。子芽认为，“首先，安全企业自身的软件产品必须保证其代码的安全性，需要有一套安全的开发流程和体系；其次，企业应该具备自我诊断和积极防御的能力，这个就是悬镜安全提出的的‘代码疫苗’技术。我们一直专注于以AI人工智能技术为核心的DevSecOps软件供应链持续威胁一体化检测防御，自动化的威胁检测和积极防御可以大大提升工作效率。我们的源鉴OSS开源威胁管控平台也能有效应对开源风险问题。”

与传统SCA产品相比，源鉴OSS依靠独有的 IAST 技术引擎，拥有运行时分析能力，以准确识别应用程序是否实际使用了易受攻击的组件并验证漏洞有效性，使开发人员避免面对数量巨大的误报和无法利用的漏洞。同时，源鉴OSS可以与DevOps流程无缝结合，在流水线上自动发现应用程序中的开源组件，提供版本控制信息，通过第三方平台实时推送，从而实现及时的反馈和快速行动。

2021年12月3日，悬镜安全正式官宣全球首款企业级OpenSCA技术即将开源，并提出“用开源的方式做开源风险治理”。12月30日，OpenSCA开源发布会在京圆满举行，悬镜安全创始人兼CEO子芽发表《用开源的方式做开源风险治理》的主题演讲，子芽表示，希望通过“用开源的方式做开源风险治理，和大家一起，守护中国软件供应链安全！” 

相信未来，悬镜安全将继续发挥其技术核心优势，乘着“十四五”期间产业发展的东风，更好地为国家数字经济发展和数字化转型保驾护航！