根据 Gartner 统计,在软件代码实现阶段创造并纠正安全问题所花费的本钱,比软件交付后通过“上线安全评估”创造问题再进行整改的本钱要低 50~1000 倍。越早创造源代码安全问题,其修复本钱越低,而软件源代码检测产品可以帮助办理这一问题。
36氪日前打仗到的北京酷德啄木鸟信息技能有限公司(以下简称「酷德啄木鸟」)是一家专注软件源代码信息安全业务的科技企业。该公司成立于2013年,在不久前360参与主理的ISC 2020创新独角兽—沙盒大赛中得到了前10名的成绩。其自主研发的CodePecker源代码毛病剖析系统,为海内第一款完备自主知识产权的商用源代码检测产品。这款产品在效果上,能够检测出软件源代码中可能导致严重毛病漏洞和系统运行非常的安全问题、程序毛病,并准确定位告警,从而帮助开拓职员肃清代码中的漏洞、减少不必要的软件补丁升级,保障软件的信息安全。
这款产品的紧张事理是通过白盒测试的办法,针对源代码毛病进行静态剖析检测。据理解,当前为了识别软件运用中存在的漏洞并及时处理漏洞风险,业内先后出身了黑盒、白盒、灰盒为技能根本的检测产品。这三种办法各有利弊,黑盒测试准确率高,但无法访问代码细节,用爬虫抓取检测IP或者域名,爬虫抓取的覆盖面影响着漏洞的检出率,以是这种办法虽然可保障检测精度,但漏报率较高。白盒对运用程序的源代码进行剖析,这种办法比较黑盒更全面,但是在代码的静态视图上运行,这意味着代码在被检测时并没有运行,以是误报率较高。灰盒测试的办法,可以通过在测试做事器上安装的探针(可理解为插件,用作网络流量),拿到程序运行交互的要求高下文,这种基本不会涌现误报,但目前对开拓措辞的覆盖并不全面。“每种工具适宜不同的场景,实在各有优缺陷,以是须要根据实际情形搭配。”公司副总经理杨临庆先容。
针对白盒误报率较高的问题,「酷德啄木鸟」也采取了较多办法办理。第一是为不同行业客户推举更具针对性的检测规则,比如同样的操为难刁难金融行业客户和地产行业客户带来的影响不同,以是同样的规则不一定要给所有人扫描。第二是通过白名单的办法降落误报,白盒的特色是只要疑似有问题且未经由验证的数据,都是危险项。如果客户方对某些软件开白,那么这些软件则默认安全。第三,公司的产品现在还在研发人工智能审计功能,这也会帮助客户减轻人工审计的包袱。
当前,公司的紧张客户分布在银行、券商、保险、电信运营商、军队、高校等行业,标杆案例包括民生银行、三大运营商、中石油、国家体育总局体育彩票管理中央等。紧张通过license授权,以及后续的升级做事收费。
谈及客户方的考量成分,杨临庆先容对方一样平常会稽核扫描毛病的数量、扫描精确率、扫描速率等。此前在海内市场中,美国公司Fortify和以色列公司Checkmarx的产品较常见,但杨晓庆先容这些国外产品也会存在一些弊端,比如Fortify的C++扫描检测须要依赖编译环境,如果一些客户的C措辞编辑得不是很全,会造成Fortify造成去世机。而「酷德啄木鸟」当前通过自主研发类编译器(即针对每种措辞的扫描引擎),支持JAVA/JSP、C/C++、PHP、PYTHON、Object-C、JAVASCRIPT、HTML5等绝大多数常见编程措辞,可以做到不依赖于编译环境的扫描,成功率较高。并且,「酷德啄木鸟」的产品支持开源框架的扫描,并兼容国家漏洞库,Fortify也不具备此类功能。
在发卖办法上,公司目前和腾讯云、华为云达成互助关系,在腾讯云上供应软件源代码检测SaaS做事,在华为云市场上供应产品镜像,由华为渠道进行发卖。渠道互助伙伴包括天融信、启明星辰、飞天诚信等网络安全老牌企业。
公司团队方面,公司创始人兼CEO王浩锴拥有二十余年的IT行业经历,此前曾在2006年创办天和恒力科技发展有限公司,年发卖额超1.5亿元;技能总监蔡雪飞为原启明星辰积极防御实验室技能总监,主导国家安全部科研重大攻关项目(iPhone与Windows Mobile)并得到国家安全科技进步奖;开拓总监赵亮,曾任培植银行安全开拓组组长,在安卓系统安全检测与主流措辞源代码毛病检测领域具有多年项目履历;技能顾问李小军为原启明星辰源码检测做事紧张卖力人。
