re:Invent全球大会引领风向重塑未来 了解详情
写点什么

火线安全卢中阳:通过开源,可以做出一款极致的安全产品 | QCon

  • 2021 年 11 月 02 日
  • 本文字数:2594 字

    阅读完需:约 9 分钟

火线安全卢中阳:通过开源,可以做出一款极致的安全产品 | QCon

随着数字化发展,安全变得越来越重要,尤其是对企业来说,安全风险几乎无处不在。作为全球第一款开源的 IAST 产品,洞态 IAST 支持 SaaS 访问及本地化部署,基于“值匹配算法”和“污点跟踪算法”,帮助企业在应用上线前发现应用安全风险。


近日,InfoQ 记者在 QCon 2021 全球软件开发大会·上海站上,采访了火线安全联合创始人卢中阳,和他聊了聊企业应用安全的话题。



火线安全联合创始人卢中阳


InfoQ:您好,卢老师,请您先简要介绍一下自己和火线安全


卢中阳:大家好,我是卢中阳,火线安全的联合创始人。火线安全是一家基于社区的云安全公司,主要运营火线安全平台和洞态 IAST,通过自研的自动化测试工具和海量的网络安全专家,帮助企业保障应用生命全周期的安全。


在 2018 年,我们开始聚焦于网络安全漏洞领域,研发了黑盒扫描器。之后,开始筹备火线安全平台,于 2020 年 4 月正式上线。我们对火线安全平台的定义是白帽子开发者社区,通过给白帽们提供火线自研工具,提高其挖洞效率,为企业提供更好的安全众测服务。基于平台数据,不断迭代产品。后来,IAST 技术与市场前景进入我们的目光,因此,在去年便开始研发可用于 DevSecOps 的 IAST 工具,于今年 9 月 1 日开源发布。


2020 年 6 月,我们拿到陆奇博士的天使投资,后续又获得经纬中国、五源资本投资。


InfoQ:您觉得企业为什么会越来越重视应用安全?


卢中阳:我觉得有几点原因:第一,法律层面上,《网络安全法》、《数据安全法》和《个人信息保护法》发布并施行。以前,企业的应用和数据发生泄露,大家觉得企业也是受害者。现在,国家从法律层面明确规定:企业有义务保护其应用和应用上的用户数据安全。如果因安全事故导致数据泄露,企业负责人要承担法律责任,这是一个比较大的变化。


第二,应用的开发和部署方式发生了比较大的变化。以前,一个应用单独跑在一台机器上,只做好对它的防护就行。但是现在,应用和应用间以及服务器与服务器间的调用与连接变得越来越多。比如,有些 App 会用到第三方登录系统,如果接入的第三方登录系统本身存在安全问题,那么应用的安全基本不可能得到任何保障。因此,安全不再是一个认证或一个证书的问题,而应该是应用本身的一个产品属性,也是评价应用价值的一个非常重要的指标。同样,对一些服务提供者来说,如果提供的服务导致甲方发生安全事故,这个责任怎么认定,在后续合作过程中,如何让甲方认可供应商产品和服务的安全性,这也是企业需要思考的问题。


第三,信息化。信息化发展到今天,整个信息化程度已经很高,企业内部的应用和系统越来越多,接入的第三方系统也越来越多,应用所承载的数据价值变得非常大。可能一个很小的漏洞,就会导致非常大的安全事故,这也是企业越来越重视应用安全一个非常重要的原因。


InfoQ:针对应用安全风险,火线开发了洞态 IAST 这款产品,希望帮助企业在应用上线前便发现安全风险,当初为什么会考虑开发这款产品?


卢中阳:最初,我们公司内部 owefsad 同学分享了 IAST 的应用场景。我们觉得 IAST 应用的场景,不管从检测准确度上,还是检测效率上,它都是一个非常优秀的技术方案,一个非常酷的产品方向,所以很快决定进行产品化,把它做出来。现在 owefsad 是洞态 IAST 产品线的负责人。


InfoQ:洞态是全球首个开源 IAST 产品,火线为什么会选择开源发布?


卢中阳:其实我们内部也讨论过这个问题,也和一些行业专家探讨过。最开始,大家觉得这是一个非常新的技术,还可以做成产品,为什么不直接拿来赚钱?为什么要开源?毕竟,我们是一家商业公司。


但是,从产品角度而言,好的产品不再是工程师和产品经理一起思考需求,然后开发出来的,特别是 to B 产品,一个非常优秀的产品应该是在真实场景中,一点一滴打磨出来的。我们希望通过开源的方式,把甲方客户、安全的从业者连接在一起,在诸多的安全场景下,做出更好的产品,并通过开源的方式回馈给行业。


现有的一些安全扫描工具,其效率和准确性还不够好,我们希望通过开源的方式,让国内更多厂商和企业通过使用洞态 IAST 这款产品提升公司内部的安全能力。


InfoQ:洞态 IAST 作为一款交互式应用程序安全测试工具,其典型应用场景有哪些?


卢中阳:洞态 IAST 提供了非常专业的漏洞检测能力,可以用于开发过程中,对应用进行上线前的安全检查。同时我们也提供了相应插件,可以让开发人员在编写代码过程中完成代码漏洞检测。另外,合作厂商也可以基于开源版本,搭建自己内部的 DevSecOps 流程,将洞态 IAST 作为里面某一环的工具。或者基于 IAST 和一些沉淀的调用链数据,做有特色的逻辑漏洞检测,这也是一种比较好的应用场景。


InfoQ:对企业来说,洞态 IAST 如何做到在应用开发阶段实现低成本、高产出的代码漏洞检测?


卢中阳:安全扫描工具一般有白盒和黑盒,基于原代码的白盒检测工具在某些情况下可能有误报,一般会配合安全工程师一起来使用白盒产品,使用成本相对较高。黑盒会发各种包测试,这个接口是不是有漏洞,不断发出各种请求,这会带来一些脏数据,测试过程比较长。


IAST 通过在服务端部署 Agent 探针的方式,收集应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST 会检测执行时的每一行代码,以及应用程序响应每个 HTTP(S) 请求时的堆栈跟踪、内存值和实际数据流。


IAST 在企业应用测试过程中,可以直接拿到最真实代码的调用链,从最开始参数的请求到最后执行的一些代码。因此,IAST 的检测效率比较高,准确度也比较高,无脏数据、支持数据包加密/一次性签名/验证码等不支持重放的场景下的漏洞检测,非常适合用于 DevOps 流程中,以无侵入的方式对应用进行安全扫描。


InfoQ:据悉,洞态 IAST 目前支持 Java、Python 两种编程语言的漏洞检测,未来会考虑加入对其他编程语言的支持吗?


卢中阳:我们未来会支持所有主流的编程语言,比如 PHP、Go、C#等语言。


InfoQ:DevSecOps 的落地,除了使用 IAST 这样的工具外,还有哪些方面对企业很重要?


卢中阳:一是文化和认知,DevSecOps 的安全开发理念 让开发、安全和运维一起对安全负责,尽可能让安全问题在开发和测试阶段就暴露出来,不像之前责任划分那么明确。二是流程,原来的一些安全工具对开发和测试工作造成比较大的阻碍,影响其工作,侵入性比较强,这也是比较大的问题,而洞态 IAST 以一种比较柔和的方式辅助整个 DevSecOps 更好的落地,因此选择合适的工具也比较重要。

2021 年 11 月 02 日 19:111810
用户头像
万佳 InfoQ编辑

发布了 637 篇内容, 共 250.1 次阅读, 收获喜欢 1661 次。

关注

评论 3 条评论

发布
用户头像
我看源码不全啊,比如iast-core.jar。https://github.com/HXSecurity
2021 年 11 月 03 日 09:27
回复
2021 年 11 月 04 日 12:26
回复
是的,看到了.
2021 年 11 月 04 日 13:35
回复
没有更多了
发现更多内容

第三周总结

Geek_5d0795

极客大学架构师训练营

设计模式练习及感想(训练营第三课)

看山是山

设计模式 极客大学架构师训练营

架构师训练营-第 02 周作业

Eric

ARTS 第 3 周

乌拉里

Go:使用Delve和Core Dump来调试

陈思敏捷

debug gdb Go 语言

组合设计模式

Karl

架构师训练营第三周作业

CATTY

单例模式和组合模式

Arvin

十万同时在线用户,需要多少内存?——Newbe.Claptrap 框架水平扩展实验

newbe36524

程序员的晚餐 | 6 月 21 日 自制小火锅

清远

美食

三周作业

飞雪

架构师训练营 - 第三周总结

teslə

ARTS-WEEK3

Allen

架构师训练营-第 03 周总结

Eric

极客大学架构师训练营

week3 学习总结

任小龙

ARTS-WEEK4

一周思进

ARTS 打卡计划

故障演练利器之ChaosBlade介绍

心平气和

故障演练 故障注入

138 张图带你 MySQL 入门

cxuan

MySQL 数据库

代码重构-学习总结

飞雪

Open-Falcon安装注意事项

wong

Open-Falcon Nightingale Monitor

技术学习进阶(死磕法)

dudu

学习 技术

架构师训练营 - 第 02 周学习总结

Eric

手写单例

Karl

架构师训练营-第 03 周作业提交

Eric

极客大学架构师训练营

架构师训练营 - 第三周作业

teslə

第三周总结

Karl

架构师训练营 - 学习笔记 - 第三周

心在飞

极客大学架构师训练营

易纲:上海可以在人民币自由兑换等方面先行先试

CECBC

数字货币 区块链技术 金融科技中心

搞定 HTTP 协议(三):如何严谨地描述一个 HTTP 报文?

零和幺

https HTTP

信息的表示与存储-整数的运算

引花眠

计算机基础

ARTS打卡 第4周

引花眠

ARTS 打卡计划

撑起瞬时千亿交易额的云数据库是怎么炼成的?

撑起瞬时千亿交易额的云数据库是怎么炼成的?

火线安全卢中阳:通过开源,可以做出一款极致的安全产品 | QCon-InfoQ