數(shù)字時(shí)代傳統(tǒng)安全理念應(yīng)對(duì)復(fù)雜威脅顯得滯后，企業(yè)需要圍繞發(fā)展目標(biāo)建設(shè)安全新范式。為此，騰訊安全聯(lián)合IDC發(fā)布了數(shù)字安全免疫力模型框架，以免疫的視角助力企業(yè)兼顧安全建設(shè)與企業(yè)發(fā)展企業(yè)建設(shè)免疫力。

框架中，底層圍繞數(shù)據(jù)安全治理和業(yè)務(wù)風(fēng)險(xiǎn)控制，設(shè)置了防御縱深，以保護(hù)企業(yè)兩大關(guān)鍵生產(chǎn)要素。第二層也是整個(gè)體系的中樞，它以人為核心，貫穿企業(yè)戰(zhàn)略、組織流程等全部運(yùn)營(yíng)模塊，各個(gè)系統(tǒng)之間高效合作，是保障企業(yè)長(zhǎng)期、健康、穩(wěn)定的運(yùn)行，實(shí)現(xiàn)風(fēng)險(xiǎn)可控的基礎(chǔ)。

通過(guò)構(gòu)建邊界安全、端點(diǎn)安全、應(yīng)用開發(fā)安全，牢固基礎(chǔ)屏障，能在對(duì)外部攻擊進(jìn)行控制和阻斷的同時(shí)，對(duì)內(nèi)部實(shí)現(xiàn)動(dòng)態(tài)化防御，以確保端點(diǎn)及應(yīng)用開發(fā)安全性。數(shù)字安全免疫力模型強(qiáng)調(diào)前置投入，其將安全要素融入各個(gè)環(huán)節(jié)，從戰(zhàn)略組織與人才層面、技術(shù)層面、流程和運(yùn)營(yíng)層面破局，幫助企業(yè)提高韌性，抵御未知風(fēng)險(xiǎn)。

而在9月22日下午，為了更好地將此框架展現(xiàn)給眾人，騰訊聯(lián)合安在新媒體推出線上直播，以此作為騰訊安全先行者系列活動(dòng)之一。此次直播由易寶支付信息安全總監(jiān)郭東升，騰訊開發(fā)安全產(chǎn)品規(guī)劃負(fù)責(zé)人劉天勇共同分享，他們分別從甲乙兩方的角度，通過(guò)在軟件供應(yīng)鏈安全上的具體實(shí)踐，為我們解讀了數(shù)字安全免疫力模型框架的重要性。本次直播的主持人為安在新媒體創(chuàng)始人張耀疆。

特別鳴謝：直播期間，感謝觀眾對(duì)于直播內(nèi)容做了完整的梳理筆記，對(duì)照筆記中的幾處重點(diǎn)邏輯，我們也重新進(jìn)行了更詳細(xì)的內(nèi)容梳理和擴(kuò)充，下文會(huì)將更為完整的解讀呈現(xiàn)出來(lái)。

軟件供應(yīng)鏈安全到底是老問(wèn)題還是新問(wèn)題？

張耀疆：軟件供應(yīng)鏈安全的概念非常多，五花八門，因此總會(huì)給人產(chǎn)生一種疑惑，我們關(guān)注的到底是一個(gè)老問(wèn)題還是新問(wèn)題？像業(yè)內(nèi)專家提出的那樣，安全這條道路上，可以用老技術(shù)解決老問(wèn)題、用新技術(shù)解決老問(wèn)題用、老技術(shù)解決新問(wèn)題、用新技術(shù)解決新問(wèn)題，所有的創(chuàng)新都會(huì)在這四個(gè)象限之中，那軟件供應(yīng)鏈安全又屬于哪一象限？

劉天勇：SDL、DevSecOps再到軟件供應(yīng)鏈安全，這三個(gè)名詞的演進(jìn)，代表著軟件供應(yīng)鏈安全從老問(wèn)題發(fā)展為了新問(wèn)題。SDL的中文意思是軟件生命周期的安全，其更多解決的問(wèn)題是，在傳統(tǒng)的軟件開發(fā)環(huán)節(jié)，把安全檢測(cè)融入進(jìn)去，做一個(gè)相對(duì)來(lái)講更偏第三方的檢測(cè)。

而從SDL到DevSecOps，其實(shí)象征著軟件供應(yīng)鏈安全從老問(wèn)題變成了新問(wèn)題，因?yàn)檠邪l(fā)模式變了。相當(dāng)于研發(fā)模式從原來(lái)的瀑布式開發(fā)變成了流水線開發(fā)，變成了DevOps開發(fā)，所以以前SDL理念對(duì)應(yīng)的問(wèn)題就變成了DevOps對(duì)應(yīng)的新問(wèn)題，而為了解決新問(wèn)題，于是有了DevSecOps。研發(fā)模式帶來(lái)的新問(wèn)題，有流水線的集成效果，集成之后的落地方案，以及對(duì)于整個(gè)流水線效率的影響和安全效果之間的平衡。

軟件供應(yīng)鏈安全和DevSecOps，更像是一個(gè)大問(wèn)題的兩個(gè)維度。DevSecOps是從甲方的研發(fā)視角入手，和研發(fā)模式掛鉤。而軟件供應(yīng)鏈安全，是站在一個(gè)更宏觀的視角來(lái)看待所有供應(yīng)鏈上的問(wèn)題，包括第三方開源組件會(huì)帶來(lái)的風(fēng)險(xiǎn)。所以說(shuō)軟件安全這個(gè)概念相當(dāng)于是一個(gè)新的問(wèn)題。

以上是四象限的橫軸，在坐標(biāo)的縱軸上，還有SST、DAST、AST、RASP這些技術(shù)，除了RASP外，其他很多技術(shù)早已被gartner提出。而騰訊安全在技術(shù)領(lǐng)域，尤其是SAST和SC這兩個(gè)技術(shù)方向上，都做了相應(yīng)的創(chuàng)新，是面向DevSecOps理念而做成的新一代SAST和SC技術(shù)，所以從四象限來(lái)看，確實(shí)是新技術(shù)解決新問(wèn)題，同時(shí)這個(gè)技術(shù)本身也能解決老問(wèn)題。

對(duì)甲方來(lái)說(shuō)，如何看待軟件供應(yīng)鏈安全？

張耀疆：從用戶的角度來(lái)看，在實(shí)踐的時(shí)候，需要這么明顯的區(qū)分?jǐn)啻鷨幔窟€是可以無(wú)所謂各種概念？

郭東升：甲方做體系化建設(shè)時(shí)，主要還是根據(jù)需求出發(fā)。業(yè)內(nèi)的這些名詞和解釋，做的是一個(gè)具象化的定義，其落到甲方帶來(lái)的是能力的增長(zhǎng)。而甲方更關(guān)注的是痛點(diǎn)，即“能不能解決問(wèn)題”，這是最重要的。

比如早期安全人員會(huì)采用一些黑盒掃描器，在上線前對(duì)產(chǎn)品做一些測(cè)試和掃描，最終在上線之前推動(dòng)漏洞的修復(fù)。而這個(gè)過(guò)程成本很高，因?yàn)榇a已經(jīng)開發(fā)完畢，如果測(cè)出漏洞就會(huì)耽誤產(chǎn)品上線的時(shí)間，因此安全部門常會(huì)和業(yè)務(wù)部門在上線前后起沖突，這也就導(dǎo)致了甲方的安全工作很難推動(dòng)。這是第一階段。

隨著產(chǎn)品的開發(fā)方式變化之后，這種模式已經(jīng)不適用于甲方的安全工作了，這時(shí)甲方的掃描工具會(huì)基于規(guī)則，像灰盒檢測(cè)等。但這也產(chǎn)生了新的問(wèn)題，比如誤報(bào)率比較高。像第一代的白盒掃描工具，誤報(bào)率可達(dá)70、80以上，這就導(dǎo)致安全部門需要安排大量人員去排除這種誤報(bào)，人員不夠，反過(guò)來(lái)就是增加開發(fā)的工作量，而開發(fā)部門則會(huì)認(rèn)為安全部門的能力是不夠的，便不會(huì)愿意配合修復(fù)漏洞，這是惡性循環(huán)。

因此對(duì)甲方而言，其所要求的安全工具不能只基于一種規(guī)則，而是要基于比如動(dòng)態(tài)的靜態(tài)掃描，比如解析器能夠覆蓋大量的語(yǔ)言腳本，然后能幫助甲方更準(zhǔn)確的發(fā)現(xiàn)漏洞，同時(shí)要能提高發(fā)現(xiàn)效率。就像如果有工具能在整個(gè)代碼倉(cāng)庫(kù)里，對(duì)一些增量代碼做一個(gè)快速、全量的識(shí)別，這樣就可以大大減輕甲方安全人員的工作時(shí)間，甲方安全人員因此可以聚焦在某些告警出來(lái)的問(wèn)題上。

不同的發(fā)展階段，安全人員的管理職能有何變化？

張耀疆：不同的發(fā)展階段，安全角色的職責(zé)也發(fā)生了改變，從最初的獨(dú)攬安全大權(quán)，到現(xiàn)在，往往會(huì)需要其他部門的配合，那在此過(guò)程中，安全人員在管理職能、治理方式上有著怎樣的變化？

郭東升：首先，工作模式的變化帶來(lái)了工作量的增多。早期，安全人員通過(guò)挖漏洞、滲透測(cè)試和黑盒掃描，在產(chǎn)生相應(yīng)的報(bào)告后，可直接給到開發(fā)人員做修復(fù)。這種方式的漏洞檢出率比較高，但因?yàn)榛诘膫€(gè)人經(jīng)驗(yàn)，其局限性也比較強(qiáng)。所以之后通過(guò)白盒審計(jì)的方式，安全人員可把整個(gè)代碼參數(shù)，全量的、增量的都通過(guò)相應(yīng)的形式過(guò)一遍，這樣就能夠覆蓋完整，安全上也不會(huì)有遺漏。而帶來(lái)的工作量增加，就需要和組件部門或開發(fā)人員做一些前期的安全培訓(xùn)，以及安全漏洞修復(fù)工作，這個(gè)過(guò)程會(huì)變成安全運(yùn)營(yíng)人員一項(xiàng)重要的工作。

劉天勇：DevSecOps有一個(gè)非常重要的指導(dǎo)原則和理念，叫做人人對(duì)安全負(fù)責(zé)。在踐行這個(gè)理念時(shí)，會(huì)把安全任務(wù)和安全責(zé)任，從單純的只讓SDL團(tuán)隊(duì)負(fù)責(zé)，變成讓整個(gè)業(yè)務(wù)一起來(lái)為這部分內(nèi)容負(fù)責(zé)。而在這個(gè)角色的變化過(guò)程中，有幾個(gè)特別明顯的點(diǎn)，第一是身份的變化。在以前的邏輯下，安全SDL團(tuán)隊(duì)的定位更像第三方審計(jì)，而在現(xiàn)在的DevSecOps框架之下，其更多變成了安全能力的提供方，而安全能力的使用方變成了業(yè)務(wù)本身。

第二是角色的變化。以前角色比較簡(jiǎn)單，可能就是開發(fā)和安全兩個(gè)角色，而在DevSecOps里，可能還有第三、第四個(gè)角色，就是除了安全和開發(fā)外，還有運(yùn)維和研效（研發(fā)效能）。研效團(tuán)隊(duì)負(fù)責(zé)整個(gè)公司企業(yè)內(nèi)部DevOps平臺(tái)建設(shè)，因此人員角色分配上，就變成了由安全團(tuán)隊(duì)提供能力和工具，由研效團(tuán)隊(duì)實(shí)現(xiàn)集成和耦合，以及整個(gè)鏈條的打通，再由真正的業(yè)務(wù)團(tuán)隊(duì)、開發(fā)團(tuán)隊(duì)來(lái)進(jìn)行實(shí)際的使用，使用之后的結(jié)果，再回到安全團(tuán)隊(duì)來(lái)進(jìn)行修復(fù)的指導(dǎo)。整個(gè)安全團(tuán)隊(duì)會(huì)把更多的重心放在運(yùn)營(yíng)角度、度量角度，而不是純檢測(cè)的維度。

數(shù)字安全免疫力具體是什么概念和狀態(tài)？

張耀疆：數(shù)字安全的免疫力不是簡(jiǎn)單的工具和產(chǎn)品，不是在某個(gè)環(huán)節(jié)就能夠?qū)崿F(xiàn)的，因此它的概念是圍繞體系化建設(shè)要有一個(gè)平臺(tái)級(jí)的整合，需要不同部門共同來(lái)協(xié)作，還是單純的只是各個(gè)產(chǎn)品的組合？

劉天勇：在公認(rèn)的DevSecOps理念方法論上，會(huì)拆成三個(gè)維度。第一個(gè)維度叫技術(shù)工具，第二個(gè)維度叫組織架構(gòu)，第三個(gè)維度叫流程制度，三個(gè)維度要三管齊下，才能真正去落地實(shí)踐。技術(shù)工具方面，安全團(tuán)隊(duì)是所有方，安全人員需要把工具放到大的開發(fā)平臺(tái)里，并基于工具設(shè)置相關(guān)的基線、相關(guān)的流程制度，以及一些管理上的要求。

流程制度方面，包括了制定公司的安全代碼規(guī)范，包括內(nèi)部和研發(fā)團(tuán)隊(duì)共同形成的公司的某個(gè)語(yǔ)言框架使用規(guī)范，包括基于外部開源框架來(lái)形成的公司內(nèi)部的二開框架，還有編碼規(guī)范，以及人員的培訓(xùn)和考試，當(dāng)然也會(huì)包括一些在流水線中的阻斷判斷。

組織架構(gòu)方面，需要不同的團(tuán)隊(duì)圍繞DevSecOps平臺(tái)共同協(xié)作。騰訊內(nèi)部，各部門會(huì)共同依托于整個(gè)大的平臺(tái)，把安全作為一個(gè)柔和的、嵌入自動(dòng)化的集成。因此對(duì)于開發(fā)來(lái)講，并不會(huì)有很強(qiáng)的任務(wù)感受，覺(jué)得安全部門又在搗騰新標(biāo)準(zhǔn)了，而是相當(dāng)于在原有的使用場(chǎng)景之下，加入了一些柔和嵌入的環(huán)節(jié)，這樣大家的分工就會(huì)清晰很多。研效團(tuán)隊(duì)負(fù)責(zé)平臺(tái)運(yùn)營(yíng)，安全團(tuán)隊(duì)負(fù)責(zé)安全工具的運(yùn)營(yíng)，等等。

對(duì)甲方來(lái)說(shuō)，軟件開發(fā)安全是怎樣運(yùn)作的？

張耀疆：軟件開發(fā)是安全人員的日常工作，在具體實(shí)踐中，甲方用戶平時(shí)會(huì)怎么去做？有沒(méi)有可擴(kuò)展的地方？

郭東升：在具體落地過(guò)程中，每一家公司的體量、企業(yè)文化、發(fā)展階段、研發(fā)團(tuán)隊(duì)的成熟度，決定了最終會(huì)如何落地。安全屬于后端部門，和中臺(tái)和前場(chǎng)的聯(lián)動(dòng)時(shí)，需要提供安全能力的展示，通過(guò)對(duì)其他部門的服務(wù)，來(lái)改變眾人對(duì)安全的認(rèn)識(shí)。

如何讓其他部門感受到安全服務(wù)的價(jià)值？這就需要安全部門在前期提供很多的能力，比如真正把工具落地到企業(yè)內(nèi)部，能讓研發(fā)團(tuán)隊(duì)使用起來(lái)，這需要安全部門結(jié)合很多攻擊事件、漏洞發(fā)生的概率，包括能夠提高產(chǎn)品代碼質(zhì)量的能力，以此來(lái)影響研發(fā)人員對(duì)安全的重視。

安全人員要以技術(shù)高地的立場(chǎng)要求自己，要能提供真正有價(jià)值的東西，而不是基于合規(guī)壓力或者基于需要體系化的建設(shè)，才去買什么工具，不然最終在落地之后，往往會(huì)把安全在整個(gè)技術(shù)團(tuán)隊(duì)里的形象拉低。只有通過(guò)重要的安全事件推動(dòng)，來(lái)影響高層對(duì)安全團(tuán)隊(duì)的支持，同時(shí)提供真正的能力，讓產(chǎn)品研發(fā)團(tuán)隊(duì)能夠切實(shí)感受到在安全人員的幫助之下，把他們的代碼，比方從100個(gè)漏洞變?yōu)榱?0個(gè)漏洞，這才是甲方能把工具和制度流程真正落下來(lái)的一個(gè)關(guān)鍵因素。

軟件供應(yīng)鏈安全中一些痛點(diǎn)和經(jīng)驗(yàn)

張耀疆：DevSecOps運(yùn)作過(guò)程中，或說(shuō)軟件安全工作中，會(huì)有不少曾經(jīng)踩過(guò)的坑和疑難雜癥，印象最深刻的有哪些？

郭東升：產(chǎn)品上線之前，安全部門會(huì)對(duì)一些小功能做一些抽查，在這個(gè)過(guò)程就會(huì)遇到一些問(wèn)題。比如一些創(chuàng)新產(chǎn)品項(xiàng)目在立項(xiàng)過(guò)程中，在其第二次大版本的更新時(shí)，只走了老的流程，就是只做了小版本的流程申請(qǐng)，而這對(duì)安全部門來(lái)說(shuō)，是一個(gè)比較大的代碼更新，因此安全部門就需要對(duì)其做一些覆蓋，而這個(gè)過(guò)程中，只使用過(guò)去的安全工具，效率會(huì)比較低，從掃描到復(fù)測(cè)，到最終上線，這一整個(gè)流程時(shí)間非常長(zhǎng)，其周期已遠(yuǎn)遠(yuǎn)大于了它上線的節(jié)奏，而這卻是個(gè)不可調(diào)和的矛盾。

在使用了新的工具后，安全人員可以給開發(fā)人員的開發(fā)工具設(shè)置插件，或者給開發(fā)人員做培訓(xùn)，但其中也會(huì)牽扯到一些問(wèn)題。開發(fā)人員是流動(dòng)的，他們不會(huì)在公司一直持續(xù)不停的工作，因此在流動(dòng)過(guò)程中，安全能力就無(wú)法覆蓋到新的人員，即使安全部門可以對(duì)新員工進(jìn)行一些培訓(xùn)，但培訓(xùn)的效果，新員工的接受程度在他工作中能體現(xiàn)多少，這是一個(gè)不可控的變量。

所以，甲方需要一個(gè)強(qiáng)有力的抓手，這個(gè)抓手要高效，要準(zhǔn)確，要能夠在安全部門做完所有的流程和培訓(xùn)之后，也能夠讓安全自主的去發(fā)現(xiàn)這些漏洞。而這就對(duì)工具能力提了更高的要求，不是讓工具基于規(guī)則引擎，而是基于一些新的解析器，或者其他新的開發(fā)方式，其最終目的是能夠?yàn)殚_發(fā)安全提質(zhì)、提效，降低安全部門的運(yùn)營(yíng)成本，降低安全部門整個(gè)的修復(fù)周期，這是目前而言甲方最關(guān)心的一個(gè)痛點(diǎn)。

騰訊相關(guān)產(chǎn)品如何？

郭東升：騰訊產(chǎn)品和傳統(tǒng)的代碼審計(jì)工具不一樣，其能通過(guò)掃描引擎快速的覆蓋整個(gè)代碼倉(cāng)庫(kù)，包括增量代碼，這就大大提高了檢出效率。其次，產(chǎn)品對(duì)一些常見(jiàn)主流框架的支持度較高，可以覆蓋不同商業(yè)化的產(chǎn)品和第三方的引入制品，對(duì)安全短板的覆蓋比較好。第三，產(chǎn)品對(duì)常見(jiàn)的漏洞支持比較好，比如top ten的這些漏洞，其基于污點(diǎn)分析技術(shù)，對(duì)漏洞檢出率會(huì)比較準(zhǔn)確。具體例子，比如原來(lái)做20萬(wàn)行代碼掃描需要大概幾個(gè)小時(shí)，現(xiàn)在能提高到20秒左右。

劉天勇：騰訊開發(fā)的Xcheck產(chǎn)品，在做整個(gè)白盒代碼安全審計(jì)的時(shí)候，采用了全新的技術(shù)路線。過(guò)去騰訊作為甲方的時(shí)候，也采購(gòu)過(guò)市面上一些知名的SAST產(chǎn)品，結(jié)果發(fā)現(xiàn)這些傳統(tǒng)品牌在流水線場(chǎng)景，在DevOps平臺(tái)上的集成效果不太好，因?yàn)樗乃俣冗^(guò)慢，嚴(yán)重影響了迭代的效率，同時(shí)誤報(bào)很高，讓安全團(tuán)隊(duì)沒(méi)有辦法真正的踐行DevSecOps。

所以，騰訊自研的這套全新一代技術(shù)原理產(chǎn)品，就是在這樣的背景下誕生的。首先，其具備自研的模糊解析器技術(shù)，可以在完全無(wú)需編譯的情況下，直接進(jìn)行整個(gè)代碼的解析，因此在這個(gè)邏輯之下，其對(duì)于掃描速度的提升是非常明顯的，以及在解析之后，產(chǎn)品的漏洞檢測(cè)也不再基于傳統(tǒng)的規(guī)則匹配（規(guī)則越多，掃描的時(shí)間會(huì)呈線性增長(zhǎng)），而是用了一套模擬執(zhí)行的算法，模糊解析器加模擬執(zhí)行算法，兩套方式互相疊加，因此就使得掃描速度有了極大的提高。

此外，接近五年的時(shí)間，整個(gè)模擬執(zhí)行的算法被每天幾十萬(wàn)個(gè)任務(wù)不停的千錘百煉，如此打磨，可說(shuō)每一個(gè)漏洞都是實(shí)錘，將漏洞交到開發(fā)手中，他們看到結(jié)果之后也就省去了再次溝通的時(shí)間成本，下個(gè)環(huán)節(jié)如何修復(fù)一目了然，同時(shí)在流水線的過(guò)程中，其能夠?qū)⒄`報(bào)控制在一個(gè)極致的水平，對(duì)開發(fā)的接受度會(huì)更高，也更友好，因此也就更有助于落地。

產(chǎn)品在誤報(bào)方面有著怎樣的優(yōu)勢(shì)？

郭東升：首先技術(shù)路線是在持續(xù)增長(zhǎng)的，因此沒(méi)有辦法斷定其能夠百分之百的排除誤報(bào)，但是基于之前的產(chǎn)品已經(jīng)有了非常大的提升，而且是可運(yùn)營(yíng)的?？蛇\(yùn)營(yíng)的意思是，在安全部門投入了少量的人力后，可以快速的對(duì)這些漏洞做研判，最終形成真實(shí)的漏洞報(bào)告，然后給到產(chǎn)品研發(fā)側(cè)去“推修”（推動(dòng)開發(fā)人員修復(fù)漏洞的簡(jiǎn)稱）。目前騰訊的產(chǎn)品對(duì)甲方用戶而言，只需要兩到三個(gè)人就能運(yùn)行，從投入上看，其效率非常可觀，整個(gè)產(chǎn)出也很讓人滿意。

產(chǎn)品對(duì)人員有著怎樣的要求？

張耀疆：軟件開發(fā)安全是技術(shù)活，其對(duì)人員的要求具體有哪些？

郭東升：要求會(huì)比傳統(tǒng)的測(cè)試人員高一些。首先其要求相關(guān)人員不僅能做滲透測(cè)試，還要懂整個(gè)軟件代碼的安全編碼規(guī)范，要能夠?qū)σ恍┏Ｒ?jiàn)的漏洞成因有所了解，以及需要具備開發(fā)能力、安全能力，同時(shí)還要具備一些漏洞的演示講解能力。

張耀疆：如此看來(lái)，對(duì)用戶端使用人員的要求還是挺高的，這樣會(huì)不會(huì)造成一種現(xiàn)象？就是產(chǎn)品雖好，但不一定有適合的用戶具備足夠?qū)I(yè)的人員，因此導(dǎo)致產(chǎn)品的普及率不高？

劉天勇：對(duì)大部分公司而言，其分為兩種情況，一種是具備專業(yè)的人員，但人員精力有限，因此產(chǎn)品的作用是把專業(yè)人員的人效發(fā)揮出來(lái)，比如公司業(yè)務(wù)、代碼量、應(yīng)用的版本數(shù)量都是持續(xù)增長(zhǎng)的，難道安全檢測(cè)人員也要配套增長(zhǎng)嗎？這不現(xiàn)實(shí)，所以對(duì)于很多公司來(lái)講，目的是要把整個(gè)檢測(cè)的效率提高，把整個(gè)誤報(bào)控制在更低的水平，然后才能提高人效。

第二種情況，有些企業(yè)的開發(fā)安全并未到達(dá)一定的階段，比如處在從零到一的建設(shè)階段，他們往往沒(méi)有自己的開發(fā)安全，所以針對(duì)這些從零到一的用戶，騰訊產(chǎn)品擁有和自身配套的技術(shù)服務(wù)，相當(dāng)于工具+服務(wù)，也就是說(shuō)這些企業(yè)每次做檢測(cè)和掃描時(shí)，不會(huì)像單獨(dú)買一次滲透測(cè)試或者買一次代碼審計(jì)一樣，需要過(guò)高的成本，因?yàn)轵v訊產(chǎn)品本身可以無(wú)限次掃描，而配套的服務(wù)能力可以幫助用戶做整體的落地、運(yùn)營(yíng)和維護(hù)。

就目前而言，產(chǎn)品還有哪些問(wèn)題亟待解決？

郭東升：首先，一個(gè)基礎(chǔ)的認(rèn)知，沒(méi)有百分之百的安全。騰訊工具比起過(guò)去的代碼審計(jì)產(chǎn)品已經(jīng)有了非常大的進(jìn)步，如果非要提一些建議的話，可能需要從識(shí)別框架自身的安全機(jī)制入手。很多現(xiàn)有的框架，其自身具備一些安全能力，比如某場(chǎng)景里，框架做了一些參數(shù)的拼接，這個(gè)參數(shù)拼接是一個(gè)高危動(dòng)作，但它過(guò)了框架本身的安全審核機(jī)制，最終拼接完之后，不一定具備注入或命令執(zhí)行，但是在白盒審計(jì)工具的識(shí)別過(guò)程中，安全人員可能會(huì)對(duì)這個(gè)動(dòng)作打標(biāo)簽，但是最終在安全人員研判的時(shí)候，會(huì)發(fā)現(xiàn)其可能也不一定有風(fēng)險(xiǎn)，或者說(shuō)有一定的風(fēng)險(xiǎn)，但可能并不會(huì)造成漏洞。類似于這樣的情況，需要產(chǎn)品做進(jìn)一步提升。

劉天勇：郭總提到的這個(gè)場(chǎng)景我們稱為防護(hù)識(shí)別，這是一個(gè)問(wèn)題，比如框架自身的一些特性會(huì)帶來(lái)一種防護(hù)邏輯，而默認(rèn)的規(guī)則引擎很難去識(shí)別這種邏輯，如果勉強(qiáng)識(shí)別，很有可能會(huì)帶來(lái)漏網(wǎng)，相當(dāng)于識(shí)別的不準(zhǔn)，所以防護(hù)識(shí)別確實(shí)是整個(gè)技術(shù)的一個(gè)難點(diǎn)，也是騰訊目前在處理的一件事。

當(dāng)前針對(duì)防護(hù)識(shí)別，更推薦的方式是通過(guò)自定義來(lái)解決，因?yàn)檎麄€(gè)防護(hù)的概念和邏輯一定不是無(wú)限發(fā)散的，比如公司用的框架就那幾個(gè)，這幾個(gè)框架的特性做了適配之后，一定是逐漸收斂掉的。或者說(shuō)公司整個(gè)的防護(hù)邏輯就那么幾種，因此只要自定義能力足夠強(qiáng)大，就能夠收斂這個(gè)問(wèn)題。

所以騰訊把整個(gè)研發(fā)的重心放在了自定義能力的開放性，以及自定義能力的覆蓋度上，這也是今年騰訊產(chǎn)品一個(gè)很大的迭代能力。此次新的自定義能力，可以用低代碼的方式去編寫，意味著成本降低了，另外，在這個(gè)自定義的能力之上，對(duì)于原生底層引擎的能力開放會(huì)變高，所以更復(fù)雜的框架適配，更復(fù)雜的防護(hù)邏輯都能夠通過(guò)自定義方式來(lái)解決。

未來(lái)軟件開發(fā)安全會(huì)有怎樣的趨勢(shì)？

郭東升：我們知道，人員的成長(zhǎng)需要時(shí)間和精力，就國(guó)內(nèi)趨勢(shì)而言，高端信息安全人才一直處于緊缺狀態(tài)，而人才不會(huì)無(wú)限增多，從整個(gè)招聘市場(chǎng)可以看到，招聘中高端安全人員的周期會(huì)變長(zhǎng)，同時(shí)企業(yè)配備的人員投入也不會(huì)無(wú)限增多，因此還是希望乙方能夠把工具的門檻做得更低，準(zhǔn)確度做得更高，誤報(bào)率更小，給甲方帶來(lái)更多的便捷。

甲方安全不僅有開發(fā)安全，還有應(yīng)用層、邏輯層、網(wǎng)絡(luò)流量層，以及數(shù)據(jù)安全，所以甲方要做的工作非常多，會(huì)依賴于市場(chǎng)上一些標(biāo)準(zhǔn)化的安全能力和產(chǎn)品，因此希望乙方能夠更好、更快地去迭代一些能力，讓甲方能夠更好地運(yùn)作起來(lái)。

劉天勇：可以從幾個(gè)點(diǎn)來(lái)展望。第一，從技術(shù)本身而言，性能、效果等，一定會(huì)持續(xù)優(yōu)化，同時(shí)我們?cè)诩夹g(shù)上還有一個(gè)比較新的變量，就是騰訊的大模型技術(shù)。我們會(huì)把大模型的這套代碼理解能力放到整個(gè)修復(fù)的指導(dǎo)當(dāng)中，以形成“智能審計(jì)助理”的能力，這在后續(xù)會(huì)推出。

短期內(nèi)，靠大模型技術(shù)掃漏洞還不現(xiàn)實(shí)，但是漏洞掃完之后，它能夠幫助開發(fā)人員提效。比如開發(fā)人員的安全修復(fù)素質(zhì)不那么強(qiáng)，一個(gè)智能的AI審計(jì)助理能夠通過(guò)對(duì)話的方式，幫助開發(fā)人員一步一步地提高修復(fù)速度，或用這種方法提供更針對(duì)性的修復(fù)建議，這是技術(shù)上的一些暢想。

理念方面，大家會(huì)面臨一個(gè)共性的問(wèn)題，就是不同的工具太多了，因此集約化是發(fā)展趨勢(shì)。比如像SCA，它是開源組件的一個(gè)檢測(cè)，它和第三方開源組件的檢測(cè)，和自研代碼的檢測(cè)就是一個(gè)應(yīng)用的兩部分，因此這兩塊兒能合到一起，不同的檢測(cè)技術(shù)都是在解決同一個(gè)問(wèn)題，只是技術(shù)路線不一樣，因此完全可以趨向于一體化的集成。

當(dāng)下，騰訊Xcheck產(chǎn)品已經(jīng)包含了SAST的能力、SCA的能力，以及二進(jìn)制制品掃描的能力，在整體的使用上，相當(dāng)于已經(jīng)做到了三合一，未來(lái)還會(huì)具備更多的合一。接下去的趨勢(shì)里，all in one是大家共同的目標(biāo)，安全工具的提供方，會(huì)把更多的工具和平臺(tái)進(jìn)行更緊密的結(jié)合。

面向安全研究者、白帽子等個(gè)人用戶，騰訊 XCheck提供免費(fèi)的saas體驗(yàn)版本，SAST和二進(jìn)制SCA的能力可以直接登錄下面的地址體驗(yàn)：

https://xcheck.tencent.com

https://www.binaryai.net

面向企業(yè)用戶，歡迎直接聯(lián)系我們，會(huì)有專門的商務(wù)和技術(shù)支持同事來(lái)提供免費(fèi)的poc 測(cè)試。