本期嘉宾:酷德啄木鸟CEO 杨临庆
采 访 人:安全419创始人 MT
采 访 人:安全419创始人 MT
Q1 第一个问题大家肯定很关心,公司为什么叫酷德啄木鸟?
其实是从英文译音过来的,“酷德”是“code(代码)”的译音,而我们所做的代码静态检测就是要从代码里找bug,寓意为捉虫子的啄木鸟,比较形象。
Q2 酷德啄木鸟已经成立很多年了,咱们所属的软件供应链安全赛道是近几年才火起来的,请介绍一下团队的由来,为什么会做这样一家公司?
我们的核心技术团队曾经就职于启明星辰攻防实验室,在公司成立前大概2011年-2012年期间,该团队承担了国家的一个核高基课题,做源代码静态检测技术的攻关,这项技术的门槛比较高,此前都掌握在美国和以色列公司手里,他们在课题中完成了产品原型的开发。2013年,这个团队从启明星辰离职,我们私交很好,曾经做过Fortify(代码审计安全厂商)的代理商,这类产品在国内还处于空白,我们也希望从一家集成商转变为一家研发类的厂商,于是决定大家一起合作,我们投入了一部分资金,在2013年成立了酷德啄木鸟,到现在已经走过11个年头了。
在最开始的头三年,公司主要往产品化、客户化方向推进。比如,当时的产品原型只能扫描C++、Java两种语言,但我们在市场上发现其实Python、PHP很流行;产品刚做出来的时候也没有参照,整个页面就参考Fortify去做,这是一个单机版的产品,但是在国内我们发现客户更希望相关能力能融入到整个开发流程中,所以我们把产品又改成B/S结构;此外还包括语言种类的丰富,缺陷检测规则的丰富等等。产品化道路走了三年,在2017年的时候正式在市场中去推广。
Q3 软件供应链安全赛道中的企业蛮多的,酷德啄木鸟和其他厂商最大的区别是什么,最大的优势在哪里?
在我们刚进入这个领域的时候,去看当时的行业全景图,我们的业务还不是一个独立的赛道,只是一个产品的品类,在应用安全板块中包含了静态检测,有小小的一块位置。随着近几年热度攀升,尤其是2021年底Log4j漏洞的爆发,大家开始更关注软件供应链安全。
目前很多厂商把软件供应链安全归类为软件成分分析,可能更多地去关注第三方开源组件的漏洞。在我们看来,软件供应链安全的范围很大,比如我们的很多客户在选择一个软件开发商的时候,会考虑很多资质,CMMI三级认证、CMMI五级认证,包括整个开发团队人员的水平等等,归根结底是要看最核心的软件供应链,也即整个代码的安全。包括刚才讲的开源组件的漏洞,也是由于其代码编写得不够规范,所以才产生了漏洞。
整个软件供应链,包括自己编写的代码、引入的开源框架,包括有没有含恶意代码、开发团队有没有足够的资质,其实最核心的就是要考核代码的质量。类似于我们买任何一个东西,比如买个电脑,它会有国标,相应的生产标准、安全标准,那其实代码也一样,有国标、有开发规范要求,我们在思考,怎么能够通过一个具象的工具,把代码的问题检测出来,真正地能把代码的质量提高,这个才是整个软件供应链安全的核心问题,而不仅仅是开源组件成分分析的问题。所以,我们的优势就是聚焦在代码静态检测工程能力的建设上。
Q4 公司目前主要的产品或者业务都有哪些?
最核心的产品就是源代码静态检测分析,通过静态检测技术,把代码里的安全缺陷以及质量缺陷挑出来。随着我们业务的逐步扩大,前两年也开始拓展到软件成分分析、代码溯源分析等。尤其在目前信创的环境下,我们怎么来测评软件代码,它的自研率有多少是需要格外关注的。我们采用了一些自己的压缩技术、快速搜索技术,把网络上比较流行的、主流的开源框架所有的源代码库都下载了,大概可能得有几千万亿行。这个规模客户没办法直接使用,我们通过自己的压缩技术把它压缩到4T以内,这样就可以很好地在客户现场去做实施。
同时,随着AI技术的火爆,尤其去年开始LLM大模型的应用,出现很多的生成式代码,我们公司自身也在用。生成式代码仅单行质量来看,其实要比人写得更好,因为它不会疲惫,且完全遵从代码编写规则。但是我们发现它也会产生新的问题,一是整段代码本身还是会有漏洞和缺陷,这就需要我们的产品去进行扫描。二是基于生成式代码,会导致代码恶意投毒更加方便,开发者可能是让某个平台帮你生成了一段你需要的代码,但是它有可能被恶意训练过之后,就暗藏了后门或恶意代码,这种隐患需要我们去检测。
此外还涉及知识产权的问题,因为这些代码是通过公共资料学习而来,那可能有些代码的原作者有严格授权,不能随便商用,如果这个时候没法溯源,可能一不小心就触及知识产权问题,会有法律风险。可以通过我们的代码检测、缺陷检测、成分分析溯源等等一系列的技术手段,能够把相关的所有的问题都依次来解决。
Q5 AI这块确实存在很多问题,据了解咱们有一款产品叫作AI审计助手,请简单介绍一下。
AI的问题有两个维度,第一个维度就是使用我们目前的工具,可以帮助客户审核生成代码的安全缺陷,以及可能面临的法律风险。
另一个维度,就是我们自己也在应用AI做自动化审计。白盒工具最为大家诟病的缺点就是误报率特别高,包括我们刚才讲的这些,以及国外所谓的顶尖产品,如果全量扫描不做个性化配置的话,它的误报率大概能达到30%。白盒产品一直没有得到很好地推广的原因也在这里,因为它需要一个专业的代码审计人员的配合。对人员的素质要求非常高,第一需要懂编程,涉及语言很多,如Java、C++、Python,而且不断有新的语言在出现,第二只懂编程还不够,还需要懂安全。如此高的要求导致实施起来特别困难,这就是为什么只有诸如四大行这样的行业头部客户才会使用这类产品,他们具备能力和人力,可以在机器检测完之后,再通过人工去剔除误报。
我们在产品推广中也会遇到这个问题,基本上是靠我们的工程师,带着客户的开发工程师,指导他怎么去做代码审计以减少误报。这样的实施成本挺重的,正好AI出来,三四年前我们已经开始关注融合AI技术,但那时候AI的能力还没那么强,我们主要是通过AI学习审计结果来提高效率,但效果并不是很好。随着去年大模型能力的整体提升,我们先训练然后把它小型化,方便在客户现场实施。我们现在的测试结果,大概能够准确达到80%-90%,不用人再去审核了,即审计结果出来之后通过AI直接帮助客户把整个代码进行审计,排除误报,如果确实是一个缺陷,可以把整个的修复代码展示给客户。
Q6 我们了解到,酷德啄木鸟在去年搬到位于北京义庄的新办公区,是因为跟中国移动达成了深入合作,联合成立了信创实验室,主要是做些什么呢?
主要是两个方面,一是刚才讲到的需要做信创适配,比如许多原来基于X86系统的软件需要迁移到信创环境下,统信、麒麟等操作系统都有适配中心。但是目前的模式存在局限性,信创环境相对比较复杂,比如主流芯片可能最少得有五、六种,规模较大的操作系统有统信、麒麟等等,主流的国产数据库至少有六种。那如果一个软件厂商要把这个这些都适配齐的话,他需要分别找所有的厂商进行适配,比较麻烦。因此中国移动希望能够搭建一个第三方平台,把所有的资源整合在一起,利用移动云本身的优势,比如通过云上的设备中心,大家可以像选择菜单一样,把需要的芯片、操作系统、数据库都一站式地完成适配,而不用再分头去找每个厂商。包括中国移动本身也开始走国产化路线了,在推广自己的操作系统和数据库,将来可能要为移动提供相关软件服务的厂商,其产品也需要跟移动进行适配。我们希望通过这个实验室,能够帮助这些厂商更好地解决信创适配的问题。
第二点在于,目前信创软件相对来说在安全性上还存在一些薄弱的环节,尤其在代码方面,无论是漏洞的问题,或是知识产权的问题,也希望通过我们的实验室能够帮助这些信创软件厂商提高他们整体的代码安全,包括规避法律层面的风险。
Q7 公司发展多年,目前的经营状况大概是怎样的?是否考虑过融资?
刚才有讲到,我们从2017年正式在市场中推广产品,彼时正好赶上《网络安全法》实施,大家对代码安全越来越重视,我们在2019年实现了盈利。随后疫情这几年,也一直保持盈利状态,业绩基本上维持在1,700万到2,000万之间。去年通过跟中国移动达成合作,我们的营业额做到了4,100万左右,自有产品加定制开发达到了3,000万,然后还做了一些系统集成服务的项目。
融资我们前几年也谈过,但因为赶上疫情,时间节点不是特别合适,基于整个市场大环境,从投资的角度可能本身资金也不是特别充足,从我们的角度可能也没那么着急,我们更希望有一些国企或者是上市公司能给我们带来战略上的投资或资源助力,找到合适的合作伙伴,而不是纯财务层面的投资。
Q8 软件供应链安全赛道比较卷,您怎么看待这个问题?
现在各个行业都很卷,从大的IT行业,再到安全,再到细分的软件供应链安全赛道。我们觉得,软件供应链安全可能比其他赛道要稍微好一点,相比传统的防火墙等品类,我们这个赛道相对来说厂商还没有那么多。再一个关键点,这个赛道的技术门槛其实还是存在的,并不是说哪个大厂花点钱、投入人,就能把产品开发出来并且做得好。我认为从技术壁垒到技术积累,还是需要挺长时间沉淀的。
产品方面,即使立于国际视角看,白盒就是白盒,软件成分分析就是软件成分分析,解决的问题不一样,但其实从客户的角度而言,输入的是同样的代码,首先通过白盒扫描一次,把自己编写的代码问题找出来,再通过软件成分分析扫描一次,找出第三方组件的缺陷。我们由于产品完全是自主研发的,能够把所有的产品能力都整合在一块,可以直接解决代码的安全缺陷和质量缺陷,软件成分里的漏洞,软件溯源,代码里的数据合规检测,恶意代码检测,二进制检测,所有跟静态相关的能力全部集中在一个平台下,让客户只要通过一次动作就把他需要的所有项目完全检测出来。这个能力可能放到国际上也是第一家,目前国际上基本还都是完全分割成独立的产品的。我们和同赛道的很多厂商相互也有合作,在行业内卷的情况下,不打架而是进行生态上的合作,也是我们的特点之一。
Q9 网络安全行业不断细分新的赛道,涌入新兴的企业,作为创业多年的行业老兵,请分享一些经验点或者心得。
我个人因为一直在持续创业,最开始做系统集成,经过很多年总结出系统集成是一个需要一定技术能力的融资平台,因为你要给厂商垫资,给客户垫资,因此整体的利润空间已经越来越小。上游厂商都是诸如新华三、思科这样的大厂,面对的客户可能是政府机构,集成商夹在中间,日子过得很艰难,所以为什么我们也想做自主研发,有一款我们自己能够掌控的产品。
自己做厂商,我觉得第一核心还是产品得过硬,不是说我们写个PPT,或者从国外抄个概念,或者国内哪个开源项目还不错就拿过来改改。最核心的竞争力还是产品,一定要有自己的技术优势,一定要拿产品说话。公司活得再久,对投资人和客户如果没有达到一个实际的效果,早晚也是要被市场淘汰的。
第二,我们要根据自己的产品特色,把市场更好地拓展开,去触达更多的客户,哪怕可能前期我们先忽略利润,因为产品是需要打磨的。举个例子,原来我们为了节约成本,没有设置专门的测试人员,就依靠开发人员顺便给产品做测试,按照开发的思路测试后觉得产品很稳定。结果给到客户,他们的使用思路完全不一样,就发现有bug了,系统用不了了。我们发现这个钱不能省,所以专门建立了测试团队。产品要想能更好地去售卖,提升客户体验,就一定要真正的客户帮你来用,才能真正把产品打磨好。
我觉得这两点是相互促进的,无论从销售的角度还是技术的角度,能够不断地两个轮子去互相推动,这样才能更好地把我们的这个公司经营好。我们现在整个团队大概30人出头,80%都是技术团队,由于还是小厂商,职能分工还不是特别细,除了测试团队独立出来了,研发、售前、售后还是同一拨人。
我们希望未来三年,每年业绩能翻番,团队人数达到60-80人左右的规模。尤其在AI被大规模采用之后,可能最底层基础的开发工程师就不再需要了,会更需要深入的、高精尖的、在AI及大模型领域的专业人士的加入,同时扩充市场销售团队,让组织架构更加清晰。