墨菲安全：以開發者為核心 打造産品驅動的軟體供應鍊安全平台

近年來，雲原生、AI、物聯網等新興技術的發展為資訊安全産業的發展注入了新的生命力，但與此同時也帶來了更嚴峻的安全風險，軟體供應鍊攻擊正是其中之一。SolarWinds和Log4j等事件的頻發爆發讓軟體供應鍊攻擊一詞被推到了最前沿。Gartner也預測，“到2023年，全球45%的組織都将遭受到軟體供應鍊攻擊，比2021年增加3倍。”

面對嚴峻的安全風險，軟體供應鍊安全概念在業内持續升溫，SCA軟體成分分析（Software Component Analysis）在該領域内的地位也逐漸水漲船高，利用SCA軟體成分分析工具對涉及供應鍊的商業軟體、第三方開源元件等進行全面摸底，深度挖掘元件中潛藏的各類安全漏洞及開源協定風險，已成為軟體開發安全中極為重要的一環。

安全419注意到，目前如checkmarx、Chainguard、Snyk等歐美安全公司在此方面已經提供了衆多的工具。放眼國内，目前業内軟體開發安全領域主流廠商包括懸鏡安全、海雲安、默安科技等廠商也均已推出自身旗下的SCA工具，或是在自身的平台型産品中添加SCA能力，以滿足使用者對軟體代碼中第三方元件進行研判的需求。

此外我們也注意到，有部分初創安全公司同樣将目光聚焦到了軟體供應鍊安全方向，試圖探索SCA工具在更大應用場景中的落地價值，本文的主角——墨菲安全就是其中的佼佼者。日前，安全419拜訪了墨菲安全這家成立不久即小有名氣的創新安全廠商，邀請其創始人兼CEO章華鵬圍繞自身創業方向選擇、供應鍊安全市場發展現狀，以及墨菲安全對未來供應鍊安全發展趨勢等話題分享了自身的見解。

圖：墨菲安全創始人兼CEO章華鵬

國内安全體系建設成熟度越來越高 産品型安全公司迎來發展時機

作為一名安全創業者，章華鵬相對而言或許還略顯年輕，但作為一名安全從業者，他早已經是一名行業老兵。在12年的從業經曆中，章華鵬先後在網易、百度、烏雲、貝殼擔任過安全負責人和産品負責人，以甲方和乙方的身份，走過了安全行業發展曆程中最重要的十年。

章華鵬回憶，在2015年以前，網絡安全行業還處在萌芽時期，漏洞、攻防是整個行業關注的核心，隻要先于黑客發現自身網絡系統、應用系統中的漏洞，就能夠有效防止黑客攻擊。在挖漏洞以外，再做一些防火牆、抗DDoS等基礎性安全建設，就是安全團隊最主要的工作。他表示：“在萌芽階段，企業安全能力大都依賴于安全專家個人的技術水準，行業最佳安全實踐主要也向百度、阿裡和騰訊看齊，學習頭部網際網路大廠的安全建設思路，摸着石頭過河，是這一時期的主要特點。”

時間來到2015年，随着頭部網際網路公司對安全的重視程度逐漸提高，安全團隊的規模也随之擴大。在這一時期，企業界開始讨論安全治理的體系架構和安全管理模型，并逐漸将安全部門劃分出了如SRC應急響應中心、網絡安全、主機安全、應用安全、資料安全、業務安全、安全研究實驗室等不同的職能，初步窺見了體系化安全建設的雛形。

與此同時，在網際網路行業之外，一些如銀行證券、保險所在的金融行業，雖然在安全攻防能力的建設方面并不突出，但金融行業内部在安全體系、架構和安全管理制度層面，已經表現出領先于網際網路行業的趨勢。

“從2015年發展至今，無論是網際網路企業、國央企還是傳統行業，所有人都開始講規範、講制度、講标準，講體系化的建設，大家做安全建設的目标開始變得非常清晰明确。從最早期說擔心黑客攻擊我就自己盡可能地挖自己漏洞修複掉這樣的單點攻防，到整個行業開始建設比較科學、完善的體系化建設思路，這其實是這十年來國内網絡安全行業發展中一個很明顯的變化。”

這一系列現象背後映射出的是，國内整個安全體系的成熟度越來越高，而行業成熟度高的标志在于，每一個細分方向的産品趨于标準化、成熟化的營運。在章華鵬看來，一個成熟的企業安全建設思路一定是整體的風險管理能力很強，需要依賴于包括安全制度規範、安全産品和工具、安全技術體系在内的更多确定性的能力，來支撐一整套成熟的營運體系。

“回到10年前，使用者可能會想，一款安全産品能力再強，最多也隻能解決單一的安全問題，遠不如高薪聘請一位全棧型安全專家成本效益高。但在今天的網絡安全行業，黑匣子式的安全建設已經成為了過去，在各自的細分領域内，誰能夠打造出很好解決使用者痛點的标準化、成熟化的安全産品，誰才能真正收獲使用者的擁抱，換句話說，産品型安全公司已經迎來了屬于自己的時代。”

供應鍊安全≠開源元件風險治理 而應面向整個軟體安全生态

在業内，談及軟體供應鍊安全，往往大家就會聯想到第三方開源元件的風險治理，但在章華鵬看來，軟體供應鍊安全事實上遠不止于此。

他認為，目前軟體行業與傳統汽車行業存在一定的共通之處，當一個行業發展至成熟階段時，就會衍生出大量的下遊供應鍊企業，他們分别為車企們提供标準化零部件，以幫助車企實作降本增效，任何一個汽車零部件生産方向，都足以誕生出多家成功企業。

随着數字化的飛速發展，軟體行業也已經來到了這個階段，包括資料庫、運維工具、辦公工具在内的任何一條賽道，事實上大家都在生産着某一類标準化的元件。随着軟體行業的成熟度越高，其元件化、标準化的水準也會相應地增長。而墨菲安全的使命，就是将安全的屬性嵌入到這些标準化的産品中，讓這些标準的産品在組裝到一家企業中時，天生就具備安全性。

他解釋道，一家企業内所有的應用軟體可以大緻分為兩類，一部分是自研的軟體，另一部分則是從外部引入的标準化軟體。目前業内許多人将供應鍊安全認為是，在自研軟體的過程中，往往會涉及引入外部的開源元件，在這一前提中如何保障整個應用的安全。但可想而知，這僅僅是軟體開發安全與供應鍊安全之間的一個交叉集合。

事實上，供應鍊安全應該是一個更大的概念，包括采購到企業内部獨立運作的ERP、OA等等商業化标準軟體系統同樣是供應鍊的一部分，但他們與企業的開發流程之間毫不相關，這實際上是供應鍊安全領域中獨有的部分，這些商業外采的供應鍊軟體往往成為企業被攻擊的重點，其安全性也需持續監測和提升。

是以墨菲安全定義的軟體供應鍊安全是，企業所有從外部引入的标準化元件，包括第三方開源元件、閉源元件和商業軟體，所有外部引入的軟體産品均需要納入軟體供應鍊安全持續治理的範疇。當把視角放大到建構整個軟體安全生态上時，可想而知，擺在墨菲安全面前的是一片極具想象空間的藍海。

尋求新解法：以開發者為核心，打造産品驅動的軟體供應鍊安全平台

章華鵬表示，自從log4j事件爆發之後，供應鍊安全幾乎堪稱一夜之間得到整個安全行業和IT行業的高度關注，SCA軟體成分分析技術也一夜之間受到熱捧。但事實上SCA技術已經出現了許多年，隻是恰巧趕上了軟體供應鍊安全的風口，技術本身仍然沒有很成熟的落地。

“雖然今天很多安全廠商都提供SCA工具，也的确能夠給使用者分析出來使用了哪些第三方元件，哪些元件可能存在漏洞風險，但如果隻是做到這一步，我相信這個市場它一定是火了一年兩年就熄滅了。這個市場最後能不能發展起來，取決于最終你真正幫客戶解決了多少問題。”

在他看來，目前市面上大多數SCA産品并沒有解決好兩個核心問題：首先是發現元件中存在一個漏洞，但無法判斷漏洞可達性，是否真的會對使用者的業務系統造成影響；其次是修複成本過高，如果檢測出來的每一個風險元件都需要修複的話，正常的業務運轉是否會被幹擾？當一件事情的産出價值具備不确定性，同時又需要為此付出較大的成本，那它注定是無法落地的。

為了突破過去SCA難落地的困境，墨菲安全的産品選擇優先服務好軟體開發者，這些開發者們最終真正解決軟體安全問題的人，一方面通過漏洞可達性分析，幫助使用者識别出來真正需要高優去解決的問題；另外一方面嘗試去降低使用者的漏洞修複成本，進而大大提升安全問題的處置效率，最終有效的閉環解決軟體供應鍊安全問題。

是以，在漏洞的可達性分析層面，墨菲安全一手搭建安全實驗室，深入分析漏洞成因和真實影響，包括漏洞在什麼條件下會觸發，比如說哪個函數哪個類哪個方法會導緻反序列化漏洞，以及使用者真實的代碼邏輯中是否包含了這樣的風險場景，最終去判斷漏洞是否真的存在殺傷力；另一手還會進一步評估漏洞本身的影響範圍，修複工期成本，讓使用者直覺地看到漏洞的真實影響；

在降低修複成本層面，墨菲安全同樣分為兩步走政策。第一步是要讓産品真正“有用”，當一個漏洞事件爆發後，墨菲安全會第一時間對各個修複方案進行驗證，向使用者推送最低成本、最可靠的修複方案。

第二步是讓産品真正“好用”，為了實作這一點，墨菲安全開發了一個名為“MurphySec Code Scan”的IDE插件給到研發人員，與開發流程深度耦合，幫助開發人員在代碼編寫環節快速識别和修複存在風險的開源元件。

簡單來說，在安裝墨菲安全這一IDE插件後，研發人員就如同在飛書、WPS等文檔編輯軟體中打開了自動校對功能插件，在編寫的過程中程式會自動化識别并提示可能存在的風險，并結合上下文給出修改建議。借助這一強大功能，開發人員便能夠根據程式提示，一鍵修複存在風險的代碼，實作在代碼編寫階段治未病的效果。

資料顯示，目前墨菲安全這一IDE插件的修複代碼推薦準确率已經達到近90%，也就意味着，經過這一插件的自動化檢測後，90%的漏洞都能夠實作一鍵修複，真正站在開發人員實際需求的角度，極大地降低了漏洞修複成本，讓産品變得真正好用。

章華鵬談到，在他看來，無論是軟體開發安全還是軟體供應鍊安全，其背後最終修複問題的人仍然是開發者。是以墨菲安全目前的定位是國内唯一一家面向開發者提供SCA産品的軟體供應鍊安全廠商，其超過70%的使用者都是開發人員。是以這也決定了墨菲安全的發展路徑，紮根到使用者真實需求場景中去，以産品力建構自身的核心能力和壁壘。

圖：墨菲安全軟體供應鍊安全平台使用者界面

軟體供應鍊安全是一件長期的事情 把未來交由市場檢驗

采訪最後，談及對墨菲安全發展的規劃以及未來供應鍊安全整體市場發展的話題，章華鵬認為，軟體供應鍊安全應該是一件很長期的事情，如果把整個軟體供應鍊治理視為100分，那麼墨菲安全目前隻是從漏洞預警和SCA軟體供應鍊平台兩個落腳點做了其中20%，未來還有巨大的市場空間去持續性探索。

“我們今天距離未來供應鍊安全要實作的目标還有很遠。我們去看大家今天喝的飲用水，每一個人從超市買過來一瓶水，事實上并不用擔心飲用水的安全問題，也不用每個人自己在喝水之前自己做安全檢測，為什麼呢？因為從整個飲用水的生産、運輸、分發到上架超市，這背後有至少幾十道檢測流程，有一整套成熟的法律法規、水質檢測技術、行業标準和管理體系，最終一瓶水才能來到消費者面前，這個産品也會被預設為安全。”

是以在整個供應鍊安全治理的環節中，最終要實作的目标就是從整個軟體生産的源頭到最後經過軟體市場的分發過程中，由不同的廠商來共同做好軟體生态的安全保障。萬物互聯的時代下，随着AI、IoT、智能網聯車等一系列新技術的蓬勃發展，軟體最終會定義一切。想象一下，沒有經過軟體供應鍊安全評估的軟體将會給社會造成什麼樣的混亂？

章華鵬認為，他表示，在任何時候想要颠覆、創新，就要選擇不一樣的視角和切入點，是以墨菲安全選擇軟體供應鍊安全賽道，實際上是選擇了一條很難走的路。是以，面對軟體供應鍊安全這片藍海，墨菲安全也需要持續疊代自身對軟體供應鍊安全認知和了解，着眼于真實使用者需求和整個供應鍊安全治理生态，最終真正幫助使用者解決問題。“我希望5—10年後，墨菲安全能夠真正成為一家受到使用者信賴的軟體供應鍊企業，當大家想做軟體供應鍊安全治理的時候，自然而然就會想到墨菲安全，并對墨菲安全的軟體供應鍊治理能力充滿信任，這或許會是墨菲安全這家企業的未來終章。”

“為了實作這一目标，墨菲安全選擇與開發者使用者們站在一起，持續推出更多有用且好用的供應鍊安全産品，幫助使用者解決更多問題，去擷取使用者的認可與信任。至于未來墨菲安全會長成什麼樣子，不如把這個問題交給市場。”

#網絡安全##DevSecOps#