写点什么

火线安全卢中阳:通过开源,可以做出一款极致的安全产品 | QCon

  • 2021 年 11 月 02 日
  • 本文字数:2594 字

    阅读完需:约 9 分钟

火线安全卢中阳:通过开源,可以做出一款极致的安全产品 | QCon

随着数字化发展,安全变得越来越重要,尤其是对企业来说,安全风险几乎无处不在。作为全球第一款开源的 IAST 产品,洞态 IAST 支持 SaaS 访问及本地化部署,基于“值匹配算法”和“污点跟踪算法”,帮助企业在应用上线前发现应用安全风险。


近日,InfoQ 记者在 QCon 2021 全球软件开发大会·上海站上,采访了火线安全联合创始人卢中阳,和他聊了聊企业应用安全的话题。



火线安全联合创始人卢中阳


InfoQ:您好,卢老师,请您先简要介绍一下自己和火线安全


卢中阳:大家好,我是卢中阳,火线安全的联合创始人。火线安全是一家基于社区的云安全公司,主要运营火线安全平台和洞态 IAST,通过自研的自动化测试工具和海量的网络安全专家,帮助企业保障应用生命全周期的安全。


在 2018 年,我们开始聚焦于网络安全漏洞领域,研发了黑盒扫描器。之后,开始筹备火线安全平台,于 2020 年 4 月正式上线。我们对火线安全平台的定义是白帽子开发者社区,通过给白帽们提供火线自研工具,提高其挖洞效率,为企业提供更好的安全众测服务。基于平台数据,不断迭代产品。后来,IAST 技术与市场前景进入我们的目光,因此,在去年便开始研发可用于 DevSecOps 的 IAST 工具,于今年 9 月 1 日开源发布。


2020 年 6 月,我们拿到陆奇博士的天使投资,后续又获得经纬中国、五源资本投资。


InfoQ:您觉得企业为什么会越来越重视应用安全?


卢中阳:我觉得有几点原因:第一,法律层面上,《网络安全法》、《数据安全法》和《个人信息保护法》发布并施行。以前,企业的应用和数据发生泄露,大家觉得企业也是受害者。现在,国家从法律层面明确规定:企业有义务保护其应用和应用上的用户数据安全。如果因安全事故导致数据泄露,企业负责人要承担法律责任,这是一个比较大的变化。


第二,应用的开发和部署方式发生了比较大的变化。以前,一个应用单独跑在一台机器上,只做好对它的防护就行。但是现在,应用和应用间以及服务器与服务器间的调用与连接变得越来越多。比如,有些 App 会用到第三方登录系统,如果接入的第三方登录系统本身存在安全问题,那么应用的安全基本不可能得到任何保障。因此,安全不再是一个认证或一个证书的问题,而应该是应用本身的一个产品属性,也是评价应用价值的一个非常重要的指标。同样,对一些服务提供者来说,如果提供的服务导致甲方发生安全事故,这个责任怎么认定,在后续合作过程中,如何让甲方认可供应商产品和服务的安全性,这也是企业需要思考的问题。


第三,信息化。信息化发展到今天,整个信息化程度已经很高,企业内部的应用和系统越来越多,接入的第三方系统也越来越多,应用所承载的数据价值变得非常大。可能一个很小的漏洞,就会导致非常大的安全事故,这也是企业越来越重视应用安全一个非常重要的原因。


InfoQ:针对应用安全风险,火线开发了洞态 IAST 这款产品,希望帮助企业在应用上线前便发现安全风险,当初为什么会考虑开发这款产品?


卢中阳:最初,我们公司内部 owefsad 同学分享了 IAST 的应用场景。我们觉得 IAST 应用的场景,不管从检测准确度上,还是检测效率上,它都是一个非常优秀的技术方案,一个非常酷的产品方向,所以很快决定进行产品化,把它做出来。现在 owefsad 是洞态 IAST 产品线的负责人。


InfoQ:洞态是全球首个开源 IAST 产品,火线为什么会选择开源发布?


卢中阳:其实我们内部也讨论过这个问题,也和一些行业专家探讨过。最开始,大家觉得这是一个非常新的技术,还可以做成产品,为什么不直接拿来赚钱?为什么要开源?毕竟,我们是一家商业公司。


但是,从产品角度而言,好的产品不再是工程师和产品经理一起思考需求,然后开发出来的,特别是 to B 产品,一个非常优秀的产品应该是在真实场景中,一点一滴打磨出来的。我们希望通过开源的方式,把甲方客户、安全的从业者连接在一起,在诸多的安全场景下,做出更好的产品,并通过开源的方式回馈给行业。


现有的一些安全扫描工具,其效率和准确性还不够好,我们希望通过开源的方式,让国内更多厂商和企业通过使用洞态 IAST 这款产品提升公司内部的安全能力。


InfoQ:洞态 IAST 作为一款交互式应用程序安全测试工具,其典型应用场景有哪些?


卢中阳:洞态 IAST 提供了非常专业的漏洞检测能力,可以用于开发过程中,对应用进行上线前的安全检查。同时我们也提供了相应插件,可以让开发人员在编写代码过程中完成代码漏洞检测。另外,合作厂商也可以基于开源版本,搭建自己内部的 DevSecOps 流程,将洞态 IAST 作为里面某一环的工具。或者基于 IAST 和一些沉淀的调用链数据,做有特色的逻辑漏洞检测,这也是一种比较好的应用场景。


InfoQ:对企业来说,洞态 IAST 如何做到在应用开发阶段实现低成本、高产出的代码漏洞检测?


卢中阳:安全扫描工具一般有白盒和黑盒,基于原代码的白盒检测工具在某些情况下可能有误报,一般会配合安全工程师一起来使用白盒产品,使用成本相对较高。黑盒会发各种包测试,这个接口是不是有漏洞,不断发出各种请求,这会带来一些脏数据,测试过程比较长。


IAST 通过在服务端部署 Agent 探针的方式,收集应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST 会检测执行时的每一行代码,以及应用程序响应每个 HTTP(S) 请求时的堆栈跟踪、内存值和实际数据流。


IAST 在企业应用测试过程中,可以直接拿到最真实代码的调用链,从最开始参数的请求到最后执行的一些代码。因此,IAST 的检测效率比较高,准确度也比较高,无脏数据、支持数据包加密/一次性签名/验证码等不支持重放的场景下的漏洞检测,非常适合用于 DevOps 流程中,以无侵入的方式对应用进行安全扫描。


InfoQ:据悉,洞态 IAST 目前支持 Java、Python 两种编程语言的漏洞检测,未来会考虑加入对其他编程语言的支持吗?


卢中阳:我们未来会支持所有主流的编程语言,比如 PHP、Go、C#等语言。


InfoQ:DevSecOps 的落地,除了使用 IAST 这样的工具外,还有哪些方面对企业很重要?


卢中阳:一是文化和认知,DevSecOps 的安全开发理念 让开发、安全和运维一起对安全负责,尽可能让安全问题在开发和测试阶段就暴露出来,不像之前责任划分那么明确。二是流程,原来的一些安全工具对开发和测试工作造成比较大的阻碍,影响其工作,侵入性比较强,这也是比较大的问题,而洞态 IAST 以一种比较柔和的方式辅助整个 DevSecOps 更好的落地,因此选择合适的工具也比较重要。

2021 年 11 月 02 日 19:111816
用户头像
万佳 InfoQ编辑

发布了 640 篇内容, 共 251.1 次阅读, 收获喜欢 1662 次。

关注

评论 3 条评论

发布
用户头像
我看源码不全啊,比如iast-core.jar。https://github.com/HXSecurity
2021 年 11 月 03 日 09:27
回复
2021 年 11 月 04 日 12:26
回复
是的,看到了.
2021 年 11 月 04 日 13:35
回复
没有更多了
发现更多内容

第十三周作业&总结

胡益

架构师训练营第八周作业 - 命题作业

阿德儿

网络故障的排错思路指南

微服务架构设计与最佳实践

万俊峰Kevin

微服务 go-zero Go 语言

区块链架构下的智慧城市发展加速

CECBC

信息安全

浅谈JVM 垃圾回收原理

跳蚤

优化JAVA代码总结

跳蚤

区块链一文知

秋呈

区块链+

Elasticsearch Query Phase

escray

elastic 七日更 28天写作 死磕Elasticsearch 60天通过Elastic认证考试 2月春节不断更

秒杀系统的难点在哪?如何突破?

跳蚤

《函数式编程精粹》(3) Functional Design

陈皓07

递归的人生哲学

Nick

数据结构 算法 递归

博文推荐 | Apache Pulsar 延迟消息投递解析

Apache Pulsar

kafka 开源 RocketMQ pulsar Apache Pulsar

Java 并发系列(一):多线程三大特性

TroyLiu

Java 多线程 原子性 可见性 有序性

不写代码可以写爬虫程序吗?老师说可以,无编码学爬虫之一。

梦想橡皮擦

Python 28天写作 2月春节不断更

《函数式编程精粹》(2) 热身:A STACK BASED CALCULATOR

陈皓07

第8周课后练习-性能优化二

潘涛

架构师训练营 4 期

《函数式编程精粹》(1) 函数式思考

陈皓07

MySQL连接超时关闭问题解决

flyer0126

MySQL MySQL优化

为何要构建团队契约

Bruce Talk

敏捷 Agile

APP启动流程图

林亚超

区块链与数字货币的发展到底有什么意义

CECBC

数字货币

产品经理训练营知识汇总

SilentMacUser

产品经理 产品经理训练营 邱岳

【管理笔记16】行销的获利性分析

俊毅

28天写作

join为啥会阻塞主线程?

叫练

join

数据库规范设计说明书 整理

edd

翻译:《实用的Python编程》03_01_Script

codists

Python

译文 | 深度剖析 Pulsar Functions

Apache Pulsar

大数据 kafka 开源 pulsar Apache Pulsar

【答疑点评必看】如何从「数据范围」中找到解题「突破口」...

宫水三叶的刷题日记

面试 LeetCode 数据结构与算法

「架构师训练营 4 期」 第八周 - 001&2

凯迪

架构师训练营 4 期

并发与并行

ES_her0

28天写作

火线安全卢中阳:通过开源,可以做出一款极致的安全产品 | QCon-InfoQ