作者 | 鲁冬雪
近些年来企业数字化转型进程的加快,软件应用成为了社会的重要组成部分,随着开源主导的开发方式以及云原生的普及,软件供应链越来越趋于复杂化和多样化,安全风险日益增加。使得软件供应链安全愈演愈烈,威胁着全球各行各业的企业用户。比如最近国际上就发生了 Log4j 安全漏洞、开源代码维护者俄乌战争期间因反俄给 node-ipc 库中添加恶意代码等多起安全事故。
2022 年,Synopsys 对市场上 17 个行业的 2400 多个商用产品的代码进行了分析,其中开源软件代码率超过 78%,81% 的代码都包含至少 1 个安全漏洞,53% 的代码存在许可证冲突问题。
(相关资料图)
解决软件供应链安全问题已经迫在眉睫,于是 InfoQ 对 Seal 联合创始人及 CEO 秦小康与 Seal 联合创始人及 CTO 梁胜博士进行了一次访谈,一起讨论他们在软件供应链安全领域中的探索发现及他们创业的故事。
1
Seal 的成立是“一拍即合”,也是“三次合作”
数澈软件 Seal (下文称 Seal)成立于今年 3 月,总部位于深圳。这是一家软件供应链安全解决方案提供商,致力于构建新一代软件供应链防火墙,目前团队有数十人。虽然规模尚小,成立时间不长,但已经完成了 5300 万元人民币的种子轮融资。
公司旗舰产品 Seal 软件供应链防火墙目前还处于研发阶段,但是已经受到许多企业的关注。当你仔细去了解 Seal,你会发现 Seal 的创始团队真的是藏龙卧虎...
Seal 联合创始人及 CTO 梁胜博士,是前 SUSE 全球工程及创新总裁。加入 SUSE 之前,梁胜博士于 2014 年 9 月创立全球著名的容器管理平台公司 Rancher Labs 并担任 CEO 直至 2020 年 12 月被 SUSE 收购。早期作为 Sun Microsystems 公司核心主任工程师,领导设计和开发了 Java 中最为核心的 JVM。2008 年创立全球顶级云计算公司 cloud.com,推出著名的云计算管理软件 CloudStack,被誉为 CloudStack 之父。其后,Cloud.com 被 Citrix 收购,梁胜成为 Citrix System Inc. 公司云平台首席技术官,也是 Citrix 公司首位华人 CTO。
Seal 联合创始人及 CEO 秦小康,是前 SUSE 大中华区总裁,全面负责 SUSE 在中国大陆、中国香港、中国澳门、中国台湾的团队建设及业务发展。此前创建 Rancher Labs 大中华区分公司及团队并担任大中华区总经理直至 2020 年 12 月 Rancher Labs 被 SUSE 收购。再早一些的时候,还负责过 Oracle Linux/VM 在大中华区业务团队以及 RedHat JBoss、KVM 中国区业务团队、担任过 Citrix 云平台事业部在大中华区业务负责人。
就是这样两个在开源和云计算领域具有丰富业务及管理经验的人,当初在一次闲聊电话中两人突然共情“觉得自己是一个闲不住的人”,于是认识多年的二人决定一起创业,紧接着 Rancher 公司成立,直到现在今年 Seal 的成立,已经是二人的第三次合作。
在云计算领域已经深耕数十年的秦小康和梁胜博士经历了云计算爆发式的增长,在其中他们体会到了“技术创新深刻改变生活方式”。因此,二人对于新公司的基本理念“一拍即合”——“要做一家创新驱动、科技驱动的企业”。
此次创业并非是两人的首度合作,而是在共同经历了两家公司的共事之后的“不谋而合”。秦小康评价梁胜博士是“技术领域当之无愧的 Master”,梁胜博士的技术前瞻性得到业内众多人士的认可,也常常有资深人士向梁胜博士寻求技术发展上的建议。
梁胜博士选择和秦小康再度合作的原因是认为他是一个非常诚信的人,这是把一件事做成的基础。“他在谈业务的过程中从来都是靠产品优势取胜。踏踏实实地做产品,把客户服务好是我们两个人共同的价值观。”
“踏踏实实做产品,一切只为服务好客户”的价值观还体现在了 Seal 另外一位合伙人前 SUSE 大中华区技术总监江鹏身上。据悉,在清华大学毕业后的江鹏,在微软公司任职期间的技术栈一直都是基于 Windows 操作系统的,后来入职 Rancher 后被要求学习 Linux 技术栈,为了能够服务好客户,江鹏用三个月的时间便掌握了 Linux 命令并做到熟练地为客户演示产品。梁胜博士与秦小康二人对他的评价是:“学习能力强,技术基础扎实,可以高质量地交付每一项工作。”
这种价值观也是如今 Seal 的企业价值观,在招兵买马的过程中,相比于人才的背景,Seal 更看重踏实做产品的信念,“我们所有的员工都有全局观,不会只对自己的工作负责,而是为整个业务链条负责、为服务客户的最终结果负责。”
Seal 这一名字的由来也与踏实做事的企业价值观密不可分。Seal 既有“海豹”也有“盖章”的意思,盖章往往意味着通过。Seal 作为一家软件供应链安全解决方案提供商,希望可以保障客户软件供应链每个环节的安全,踏踏实实地为客户解决安全问题,最终给每个环节都盖上章。
如果说秦小康的盖章精神体现在完全靠产品优势赢得客户,那梁胜博士则体现在勤勤恳恳做好产品上。梁胜博士在创立 Seal 的同时,在美国还创立了 AcornLabs 公司并担任 CEO,而作为 Seal 的 CTO,为了能够给客户提供更优质的技术产品,梁胜博士会从技术战略定位、顶层架构设计层面与 Seal 国内研发团队一起持续打磨 Seal 产品。
“作为 Seal 的 CTO,我会根据业界的发展方向制定公司的技术策略,也会和国内的工程师团队讨论产品的功能研发,并且从产品的顶层设计上做一些指导。”梁胜博士提到,“另外,我也会持续关注业内动态,寻找更多的技术机会,进而积累并输出更多 Seal 技术研发相关的内容和课题经验。重点是要把产品做好,因为产品是一家公司发展的根基。”
目前 Seal 的产品主要聚焦在软件供应链安全领域,Seal 的愿景是希望帮助每一位研发人员把安全的理念融入到每一行代码里,希望可以解决过去企业软件生产过程中,开发、运维和安全部门之间存在的壁垒,Seal 认为如果企业在开发过程中就融入了安全理念,那可以减少许多由安全漏洞引发的严重问题。
之所以选择“软件供应链安全”作为创业方向,秦小康是这样说的:“云计算基础设施已经比较成熟,大家在追求应用敏捷构建的过程中发现安全问题是企业越来越不能忽视的。根据 Synopsys 发布的报告,2021 年针对开源软件供应链的攻击较 2020 年增长了 650%。Gartner 预测,到 2025 年全球 45% 的企业都会经历软件供应链攻击,这是 2021 年的 3 倍。日益严峻的形势下,Seal 应运而生。”
2
国内软件安全问题亟待解决,缩小与国外的差距刻不容缓
随着国内软件技术的发展,国内软件安全事故数量也在不断攀升,厂商预留后门、升级劫持、恶意程序等不同类型的软件供应链攻击事件频繁被曝出,比如前不久九号公司旗下国际品牌赛格威遭黑客攻击事件,其在线商店被植入 Magecart 恶意脚本长达一年时间,顾客的个人信息和结账信息存在很高被窃取风险。
国内软件供应链安全情况不容乐观,亟待解决。据 IDC 统计,国外公司的数据库产品占据了国内 80% 以上的市场份额。而像美国商务部工业和安全局(BIS)前不久正式发布的针对网络安全领域的最新的出口管制规定 ——“美国实体与中国政府相关的组织和个人合作时,如果发现安全漏洞和信息,不能直接公布,要先经过商务部审核”这样的规定频频出台,这给国内的网络安全带来了极大的挑战。
一直在见证全球云计算技术发展的梁胜博士揭开了国内软件供应链安全技术发展与国外的差距:“软件供应链安全问题是目前欧美技术圈重要的关注方向,在过去的三四年里,软件供应链安全问题在国外越来越受重视,很多企业因为出现了相关问题损失极大,其企业 CEO 可能都要因此离职,甚至今年已经上升到政府层面。而国内对软件供应链安全的重视认知还是稍微滞后的,差不多有 2-3 年的距离,但随着国内技术的发展和安全意识觉醒,很快就能追上来,这也是我们创立 Seal 的初衷。”
提及国内软件供应链安全,秦小康观察到:“国内与国外有许多不同之处。国内软件的业务复杂性往往要更高,C 端产品大规模的用户量对软件的性能、效率都提出了更高的要求。另外,随着国家监管的要求越来越高,例如,金融级软件安全管理备受重视。因此,无论是国家还是企业都在积极寻求解决方案,比如一些研究院已经开始推行制定一些安全标准。但目前企业更需要的是出现问题后可以快速产生一个处理机制,甚至可以给一个及时的解决方案,而不是说报告问题后就放任不管了。如今 Seal 也正是从这方面去推动软件供应链安全产品的研发。”
3
“Seal 软件供应链防火墙”将踏踏实实解决企业问题
如今大家都已经意识到软件供应链安全问题的重要性,但想要解决这些问题,还是要看这些问题具体发生在哪个环节。梁胜博士对这个问题进行拆解,从开发、交付和使用三个层面分别去看待软件供应链安全问题:“在开发层面,最危险的是代码,因为开发人员并不知道所引入的开源代码是否存在安全问题,甚至软件仓库本身就是有问题的;在交付层面,往往是因为工具被攻击,或者是使用的第三方组件本身就有问题;在使用层面,更多的是不法分子通过提前植入的安全漏洞对用户进行攻击,比如窃取信息等。”
为了解决这些问题,在梁胜博士的带领下,Seal 推出了自己的旗舰产品——Seal 软件供应链防火墙,该产品有两大核心技术,梁胜博士介绍道:“其一是在不影响研发流程和效率的情况下,通过一个框架、一个防火墙平台来捕捉、截获、报告软件供应链的问题;其二是构建一个软件安全的知识库,这其中包含了 Seal 许多知识产权,整合并发挥各种内置及第三方安全工具的最大效能,力求把 Seal 和其他第三方软件发现的漏洞都有效汇总起来。”
为了能够让“Seal 软件供应链防火墙”可以实实在在地解决企业问题,秦小康、梁胜博士与许多企业 CTO 和 CSO 进行了深度交流,清晰地体会到“安全左移”已经成为业界共识,当下企业需要的是一个简单易用且又可靠统一的软件供应链安全管控平台,而构建这样的平台需要思考两个问题,第一是“如何真正实现整个软件供应链安全的有效管控”;第二是“如何组织调度多个单点安全工具高效协同”。
目前 Seal 软件供应链防火墙有三个主要特点:
安全左移:在代码提交、依赖引入阶段开始进行安全防护,使用户及时发现漏洞或其他问题并以低成本对其进行修复。
全链路防护:软件供应链全流程卡点管控,阻止未经审核的代码、风险及漏洞依赖项进入用户的软件供应链。
可扩展架构:在 Seal 软件供应链防火墙中用户可以插件式集成原生或第三方解决方案,为用户打造开箱即用的便捷体验。
为了能够给企业提供全链路高度可信赖的软件供应链防护,梁胜博士提到:“Seal 的软件供应链防火墙能整合企业现有的静态代码分析(SAST)和软件成分分析(SCA)工具,使这些工具能更有效地保护软件供应链。”
当我们问及 Seal 的未来发展,二位明确表示,“我们要把产品做好,我们将会通过运营自己的社区来'集思广益',搞清楚企业在软件供应链安全方面真切的需求是什么,让技术和需求实现完美的结合。”
那接下来,就让我们共同期待 Seal 在软件供应链安全领域的未来发展吧。坚持踏踏实实做产品的 Seal,我们有理由相信它未来可期。