2021年9月,火线安全平台正式发布了全球首个开源的IAST项目。安全419观察到,该项目的发布在引起甲方安全研究团队关注的同时,也让业界产生了一些不解,为什么这样一家以白帽子安全众测业务为核心的厂商却推出了一款开源的IAST产品?是火线安全正在谋划向开发安全领域发力?还是它背后有着怎样的商业发展规划?
近日,安全419再次连线火线安全创始人邬迪,请他来阐述一下发布开源的洞态IAST产品前后的思考。
用户真实需求驱动社区原生的洞态IAST诞生
邬迪表示,关于向开发安全领域转型的猜测基本可以否定,他们未来会持续推出更多的新产品和业务,可能是开发安全,也可能是其他细分领域相关的产品,但最终都会围绕社区原生、社区共建的思路来推进。
他表示,火线安全的定位是一家以白帽子安全社区为基石的安全公司,社区原生是他们的最大特点,因此,联合我国的白帽子安全专家开展安全众测是一个天然衍生出来的业务。
由于安全众测主要是面向企业已经发布或是已经上线的业务系统去做测试,如果站在用户和企业的角度来看,众测是发生在业务上线后的,用户需要更早的介入安全措施和手段发现安全风险,更前置性的解决安全问题。因此,火线安全基于用户的核心需求,综合了大量用户的建议,打造了这款洞态IAST产品。
之所以选择研发IAST类产品,还有一个十分重要的原因,那就是当前DevSecOps生态下,IAST与SAST、DAST类产品相比拥有明显的优势,IAST比较有效的结合了DAST、SAST二者的特点,能够覆盖到更多的应用安全检测场景,可以更及时、准确的发现漏洞。与此同时,在产品部署方面,IAST产品无需配置的即插即用方式,对用户而言也相对更友好。
邬迪谈到,洞态IAST与业内其他的IAST工具本质的区别在于,它是唯一一个社区原生的开源IAST产品。“在我们看来,IAST是一款可以与社区一起合作开发的工具,社区成员们的技术经验和真实的产品体验会对它进行持续的赋能和加持。就目前来说,这款工具中很多重要功能的代码都是由用户提交上来的,包括agent的启停功能、漏洞的通知功能等等,未来还会有更多的功能由社区用户来共同开发,我们也希望能够有更多的社区用户参与进来。”
“火线安全做出一款产品的核心判断依据只有一点——能否通过社区共建的方式,去满足当下企业用户还没有被满足的需求。洞态IAST也是在这个基础上诞生的。”
开源的决定 来自于对技术天生的热爱和分享精神
邬迪坦言,“就开源与否这个问题,其实我们想的比较久,考虑很久才决定开源。洞态IAST实际上从2019年就开始开发了,但直到今年我们才正式决定把它以开源的形式发布出来,中间经历了一个很长的心路历程。”
回到技术创新的初衷,火线安全本身是一个技术氛围浓厚的团队,成员也均以技术出身为主,因此对整个团队而言,当大家看到一项很好的技术时,会按耐不住自己想要分享的喜悦,大家一致认为,洞态IAST这款好的产品值得分享给更多的人了解和使用,所以最终做出了将它开源的决定。“任何一家重视软件安全的企业,都会在接触过洞态IAST后看到它的价值。”
在这款产品开源后,火线安全得到了很多正向的反馈。一方面,许多安全团队的研究人员通洞态IAST的开源代码了解到了整个IAST的原理,对IAST有了更深层的认知。另一方面,这个项目在不少开源社区发布后,一些非安全从业者也阴差阳错的接触到了IAST,通过看代码学习后,最终投入到安全工作,成为了网络安全行业的一份子,这是让火线安全既感到意外却又十分惊喜的。
除了上述这些原因以外,开源背后实际上也暗含着邬迪自己的一些商业思考。
“安全在DevSecOps流程里面其实是很重要的一环,因为DevSecOps它意味着开发、安全和运维三者的有机结合,他们是一个三角形的关系。在真实的工作环境下,一款软件产品如果只是提供给开发、运维和安全中的任意一者,是比较容易让大家接受的。但如果一款产品涉及到多个部门,特别是在一些大企业内部推进一款DevSecOps工具是有阻力的。”
他表示,在开发领域和运营领域,使用开源产品和技术应用已经比较广泛。如果能提供一款开源的安全产品给三方来使用的话,允许开发团队和运维团队查看到这个安全产品的全部代码,在一定程度上能够增强开发和运维部门对安全部门的信任。从这个角度思考,如果一款安全产品能够在企业内部获取到更多部门、更多用户的信任,它在最终的商业发展上面也能够收获更广阔的想象空间。
邬迪透露,目前开源的社区版本会包含当下企业需要用到的全部功能,把常用语言的检测,包括像Java、PHP、Python等语言的检测,以及一些最常用的通用漏洞类型的检测,都会放在社区版中。同时,他们也正在开发洞态IAST的商业版本,将一些特殊漏洞、复杂漏洞的检测,以及一些特别的管理功能会放在商业版本中来为企业用户提供服务。
让渡更多的知识产权和控制权 为用户创造价值
狭义地来看,一个企业将一个项目开源就是在部分放弃自己的知识产权和控制权。在采访最后,安全419也请邬迪就这个话题聊了聊自己的看法。
他认为,站在企业的角度看,开源在一定意义上确实是等于把产品代码的控制权让渡给了用户,之所以他们会对是否开源的事情考虑比较久,也说明了开源它本身就是很难做出的选择和决策。
“虽然放弃了知识产权会让我们减少一部分收入,甚至还会之制造一些潜在的或原本不必要的竞争,但回到我们做这款产品的初衷,如果将这款产品开源,无疑会为用户创造很大的价值。无论何时,为用户创造价值是第一位的。”
邬迪告诉我们,在洞态IAST产品开源后,有许多安全公司也找到了火线安全来主动的开展商业合作,这代表着国内对知识产权的保护意识正在向好的方向发展。“平时也会有人问我对开源怎么看,其实在中国开源的趋势是会越来越好的,未来也会越来越健康。所以在我看来,洞态IAST开源的尝试是有价值,有意义的。”