火线安全再次开源iast产品( 二 )


除了上述原因以外,开源背后实际上也暗含着邬迪自己的一些商业思考 。
“安全在DevSecOps流程里面是很重要的一环,因为DevSecOps意味着开发、安全和运维三者的有机结合,他们是一个三角形的关系 。在真实的工作环境下,一款软件产品如果只是提供给开发、运维和安全中的任意一者,是比较容易让大家接受的 。但如果一款产品涉及到多个部门,特别是在一些大企业内部推进一款DevSecOps工具是有阻力的 。”
他表示,在开发领域和运营领域,使用开源产品和技术应用已经比较广泛 。如果能提供一款开源的安全产品给三方来使用的话,允许开发团队和运维团队查看到这个安全产品的全部代码,在一定程度上能够增强开发和运维部门对安全部门的信任 。从这个角度思考,如果一款安全产品能够在企业内部获取到更多部门、更多用户的信任,它在最终的商业发展上面也能够收获更广阔的想象空间 。
邬迪透露,目前开源的社区版本会包含当下企业需要用到的全部功能,把常用语言的检测,包括像Java、PHP、Python等语言的检测,以及一些最常用的通用漏洞类型的检测,都会放在社区开源版中 。同时,他们也正在开发洞态IAST的商业版本,将一些特殊漏洞、复杂漏洞的检测,以及一些特别的管理功能会放在商业版本中来为企业用户提供服务 。
让渡更多的知识产权和控制权为用户创造价值
狭义地来看,一个企业将一个项目开源就是在部分放弃自己的知识产权和控制权 。在采访最后,安全419也请邬迪就这个话题聊了聊自己的看法 。
他认为,站在企业的角度看,开源在一定意义上确实是等于把产品代码的控制权让渡给了用户,他们会对是否开源的事情考虑比较久,也说明了开源它本身就是很难做出的选择和决策 。
“虽然放弃了知识产权会让我们减少一部分收入,甚至还会制造一些潜在的或原本不必要的竞争,但回到我们做这款产品的初衷,如果将这款产品开源,无疑会为用户创造很大的价值 。无论何时,为用户创造价值是第一位的 。”
【火线安全再次开源iast产品】邬迪告诉我们,在洞态IAST产品开源后,有许多安全公司也找到了火线安全来主动的开展商业合作,这代表着国内对知识产权的保护意识正在向好的方向发展 。“平时也会有人问我对开源怎么看,其实在中国开源的趋势是会越来越好的,未来也会越来越健康 。所以在我看来,洞态IAST开源的尝试是有价值,有意义的 。”