火线安全:洞态IAST项目开源的背后 是为用户创造价值的坚持


火线安全:洞态IAST项目开源的背后 是为用户创造价值的坚持
文章图片

文章图片
2021年9月,火线安全平台正式发布了全球首个开源的IAST项目 。安全419观察到,该项目的发布在引起甲方安全研究团队关注的同时,也让业界产生了一些不解,为什么这样一家以白帽子安全众测业务为核心的厂商却推出了一款开源的IAST产品?是火线安全正在谋划向开发安全领域发力?还是它背后有着怎样的商业发展规划?
近日,安全419再次连线火线安全创始人邬迪,请他来阐述一下发布开源的洞态IAST产品前后的思考 。
用户真实需求驱动社区原生的洞态IAST诞生
邬迪表示,关于向开发安全领域转型的猜测基本可以否定,他们未来会持续推出更多的新产品和业务,可能是开发安全,也可能是其他细分领域相关的产品,但最终都会围绕社区原生、社区共建的思路来推进 。
他表示,火线安全的定位是一家以白帽子安全社区为基石的安全公司,社区原生是他们的最大特点,因此,联合我国的白帽子安全专家开展安全众测是一个天然衍生出来的业务 。
由于安全众测主要是面向企业已经发布或是已经上线的业务系统去做测试,如果站在用户和企业的角度来看,众测是发生在业务上线后的,用户需要更早地介入,通过安全措施和手段发现安全风险,更前置性地解决安全问题 。因此,火线安全基于用户的核心需求,综合大量用户的建议后,打造了洞态IAST产品 。
之所以选择研发IAST类产品,还有一个十分重要的原因,那就是当前DevSecOps生态下,IAST与SAST、DAST类产品相比拥有明显的优势,IAST比较有效的结合了DAST、SAST二者的特点,能够覆盖到更多的应用安全检测场景,可以更及时、准确的发现漏洞 。与此同时,在产品部署方面,IAST产品无需配置的即插即用方式,对用户而言也相对更友好 。
邬迪谈到,洞态IAST与业内其他的IAST工具本质的区别在于,它是唯一一个社区原生的开源IAST产品 。“在我们看来,IAST是一款可以与社区一起合作开发的工具,社区成员们的技术经验和真实的产品体验会对它进行持续的赋能和加持 。就目前来说,这款工具中很多重要功能的代码都是由用户提交上来的,包括agent的启停功能、漏洞的通知功能等等,未来还会有更多的功能由社区用户来共同开发,我们也希望能够有更多的社区用户参与进来 。”
“火线安全做出一款产品的核心判断依据只有一点——能否通过社区共建的方式,去满足当下企业用户还没有被满足的需求 。洞态IAST也是在这个基础上诞生的 。”
开源的决定来自于对技术天生的热爱和分享精神
邬迪坦言,“就开源与否这个问题,其实我们想的比较久,考虑很久才决定开源 。洞态IAST实际上从2019年就开始开发了,但直到今年我们才正式决定把它以开源的形式发布出来,中间经历了一个很长的心路历程 。”
回到技术创新的初衷,火线安全本身是一个技术氛围浓厚的团队,成员也均以技术出身为主,因此对整个团队而言,当大家看到一项很好的技术时,会按耐不住自己想要分享的喜悦 。大家一致认为,洞态IAST这款好的产品值得分享给更多的人了解和使用,所以最终做出了将它开源的决定 。“任何一家重视软件安全的企业,都会在接触过洞态IAST后看到它的价值 。”
在这款产品开源后,火线安全得到了很多正向的反馈 。一方面,许多安全团队的研究人员通过洞态IAST的开源代码了解到了整个IAST的原理,对IAST有了更深层的认知 。另一方面,这个项目在不少开源社区发布后,一些非安全从业者也阴差阳错的接触到了IAST 。通过看代码学习后,最终投入到安全工作,成为了网络安全行业的一份子,这是让火线安全既感到意外又十分惊喜的 。