蜗牛派软件源代码检测,是逐渐被重视的一个细分安全领域。这一领域和当下关注度日益升高的DevSecOps理念相关。DevSecOps理念强调安全前置,即安全需要贯穿从开发到运营整个业务生命周期的每个关键环节,从而保证研发交付的安全与敏捷。
根据 Gartner 统计,在软件代码实现阶段发现并纠正安全问题所花费的成本,比软件交付后通过“上线安全评估”发现问题再进行整改的成本要低 50~1000 倍。越早发现源代码安全问题,其修复成本越低,而软件源代码检测产品可以帮助解决这一问题。
北京酷德啄木鸟信息技术有限公司(以下简称「酷德啄木鸟」)是一家专注软件源代码信息安全业务的科技企业。该公司成立于2013年,在不久前360参与主办的ISC 2020创新独角兽—沙盒大赛中获得了前10名的成绩。其自主研发的CodePecker源代码缺陷分析系统,为国内第一款完全自主知识产权的商用源代码检测产品。这款产品在效果上,能够检测出软件源代码中可能导致严重缺陷漏洞和系统运行异常的安全问题、程序缺陷,并准确定位告警,从而帮助开发人员消除代码中的漏洞、减少不必要的软件补丁升级,保障软件的信息安全。
这款产品的主要原理是通过白盒测试的方式,针对源代码缺陷进行静态分析检测。据了解,当前为了识别软件应用中存在的漏洞并及时处理漏洞风险,业内先后诞生了黑盒、白盒、灰盒为技术基础的检测产品。这三种方式各有利弊,黑盒测试准确率高,但无法访问代码细节,用爬虫抓取检测IP或者域名,爬虫抓取的覆盖面影响着漏洞的检出率,所以这种方式虽然可保障检测精度,但漏报率较高。白盒对应用程序的源代码进行分析,这种方式相比黑盒更全面,但是在代码的静态视图上运行,这意味着代码在被检测时并没有运行,所以误报率较高。灰盒测试的方式,可以通过在测试服务器上安装的探针(可理解为插件,用作收集流量),拿到程序运行交互的请求上下文,这种基本不会出现误报,但目前对开发语言的覆盖并不全面。“每种工具适合不同的场景,其实各有优缺点,所以需要根据实际情况搭配。”公司副总经理杨临庆介绍。
针对白盒误报率较高的问题,「酷德啄木鸟」也采用了较多方式解决。第一是为不同行业客户推荐更具针对性的检测规则,比如同样的操作对金融行业客户和地产行业客户带来的影响不同,所以同样的规则不一定要给所有人扫描。第二是通过白名单的方式降低误报,白盒的特征是只要疑似有问题且未经过验证的数据,都是危险项。如果客户方对某些软件开白,那么这些软件则默认安全。第三,公司的产品现在还在研发人工智能审计功能,这也会帮助客户减轻人工审计的负担。
当前,公司的主要客户分布在银行、券商、保险、电信运营商、军队、高校等行业,标杆案例包括民生银行、三大运营商、中石油、国家体育总局体育彩票管理中心等。主要通过license授权,以及后续的升级服务收费。
谈及客户方的考量因素,杨临庆介绍对方一般会考察扫描缺陷的数量、扫描精确率、扫描速度等。此前在国内市场中,美国公司Fortify和以色列公司Checkmarx的产品较常见,但杨晓庆介绍这些国外产品也会存在一些弊端,比如Fortify的C++扫描检测需要依赖编译环境,如果一些客户的C语言编辑得不是很全,会造成Fortify造成死机。而「酷德啄木鸟」当前通过自主研发类编译器(即针对每种语言的扫描引擎),支持JAVA/JSP、C/C++、PHP、PYTHON、Object-C、JAVASCRIPT、HTML5等绝大多数常见编程语言,可以做到不依赖于编译环境的扫描,成功率较高。并且,「酷德啄木鸟」的产品支持开源框架的扫描,并兼容国家漏洞库,Fortify也不具备此类功能。
在销售方式上,公司目前和腾讯云、华为云达成合作关系,在腾讯云上提供软件源代码检测SaaS服务,在华为云市场上提供产品镜像,由华为渠道进行销售。渠道合作伙伴包括天融信、启明星辰、飞天诚信等网络安全老牌企业。
公司团队方面,公司创始人兼CEO王浩锴拥有二十余年的IT行业经历,此前曾在2006年创办天和恒力科技发展有限公司,年销售额超1.5亿元;技术总监蔡雪飞为原启明星辰积极防御实验室技术总监,主导国家安全部科研重大攻关项目(iPhone与Windows Mobile)并获得国家安全科技进步奖;开发总监赵亮,曾任建设银行安全开发组组长,在安卓系统安全检测与主流语言源代码缺陷检测领域具有多年项目经验;技术顾问李小军为原启明星辰源码检测服务主要负责人。
