據(jù)Gartner2019年統(tǒng)計(jì)，網(wǎng)絡(luò)安全92%的風(fēng)險(xiǎn)來(lái)自于軟件應(yīng)用層，應(yīng)用層的檢測(cè)顯得尤為重要。而2020年，Gartner應(yīng)用安全魔力四象限中提到了代碼分析技術(shù)(SAST)和軟件成分分析技術(shù)(SCA)是軟件研發(fā)更早階段（開(kāi)發(fā)、測(cè)試）檢測(cè)重要技術(shù)手段。據(jù)統(tǒng)計(jì)，在開(kāi)發(fā)階段的檢測(cè)成本是發(fā)布階段的1/100,發(fā)現(xiàn)缺陷的數(shù)量是部署后的10倍，研發(fā)安全“左移”也成為了軟件安全保障的主要趨勢(shì)。2021年美國(guó)著名的RSA沙盒大賽Apiiro團(tuán)隊(duì)正是運(yùn)用這個(gè)概念獲得了全場(chǎng)冠軍。在DevSecOps中采用白盒代碼分析的方式已經(jīng)成為了安全圈新的熱點(diǎn)和方向。

為什么鴻漸科技被推薦

隨著軟件產(chǎn)業(yè)的快速發(fā)展，現(xiàn)代軟件大多數(shù)是被“組裝”出來(lái)的，不是被“開(kāi)發(fā)”出來(lái)的。各類(lèi)信息系統(tǒng)的軟件供應(yīng)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問(wèn)題，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來(lái)越大。如今軟件供應(yīng)鏈已經(jīng)成為國(guó)內(nèi)外對(duì)抗的焦點(diǎn)，直接影響關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全。尤其現(xiàn)在美國(guó)的禁運(yùn)，SAST工具卡脖子的問(wèn)題愈發(fā)明顯。

放眼國(guó)內(nèi)，涉及代碼安全分析產(chǎn)品的廠(chǎng)商鳳毛麟角，能夠做到真正自主研發(fā)的團(tuán)隊(duì)更是屈指可數(shù)，大多數(shù)所謂自主產(chǎn)品都是基于開(kāi)源改造或國(guó)外產(chǎn)品封裝，并沒(méi)有自己的底層分析技術(shù)。究其原因，主要有以下五點(diǎn)：

1） 技術(shù)門(mén)檻高，多源自名校

代碼分析領(lǐng)域?qū)儆谲浖こ讨芯幾g的分支，應(yīng)用了大量的編譯算法，屬于基礎(chǔ)軟件范疇。國(guó)內(nèi)開(kāi)設(shè)編譯課程或軟件分析的高校，只有北大、清華、中科院、港科大等幾所知名高校，了解底層技術(shù)的人員更是鳳毛麟角。橫向來(lái)看，國(guó)外同類(lèi)產(chǎn)品大多數(shù)產(chǎn)自于知名高校的長(zhǎng)期積累，例如斯坦福大學(xué)的Coverity, 牛津大學(xué)的CodeQL等。

2） 人才要求高，知行合一是關(guān)鍵

即使學(xué)習(xí)了編譯課程，其分析算法的實(shí)現(xiàn)難度對(duì)于技術(shù)人員編程能力要求也是非常頂尖的，以鴻漸科技為例，底層算法的大多都是北大和中科院等知名高校計(jì)算機(jī)系的畢業(yè)生（算法和代碼能力超強(qiáng)）多年研發(fā)的結(jié)果，并不是一個(gè)普通程序員通過(guò)努力就能掌握和實(shí)現(xiàn)的。

3）研發(fā)時(shí)間久，企業(yè)考核周期短，缺乏長(zhǎng)期主義。

一個(gè)實(shí)現(xiàn)了路徑敏感、上下文敏感、對(duì)象敏感的代碼分析核心引擎需要上百萬(wàn)行代碼和多年的算法局部調(diào)優(yōu)，這個(gè)是多年積累的成果，即使一篇頂會(huì)論文的原型，也只是突破了某個(gè)點(diǎn)，對(duì)于面上的突破也需要數(shù)年的積累，而任何一個(gè)企業(yè)的考核周期最多是一年、兩年，國(guó)內(nèi)的企業(yè)很難能夠容忍一個(gè)部門(mén)在三到四年沒(méi)有大的產(chǎn)出，還不解散的。

4）興趣愛(ài)好與金錢(qián)的抉擇

從以上三點(diǎn)可以看出來(lái)，一個(gè)代碼分析工具需要具備高素質(zhì)人才，通過(guò)長(zhǎng)期不懈努力才能收獲相對(duì)好的成果，天賦、興趣、愛(ài)好、堅(jiān)持和金錢(qián)缺一不可。在互聯(lián)網(wǎng)金元經(jīng)濟(jì)大行其道的情況下，清北的本科畢業(yè)生，去互聯(lián)網(wǎng)大廠(chǎng)輕輕松松年薪五十萬(wàn)起，博士更是動(dòng)以百萬(wàn)，如果家庭條件一般，很難拒絕金錢(qián)的誘惑抑或是屈服于生活的壓力，又有誰(shuí)會(huì)在冰冷的基礎(chǔ)軟件方向默默耕耘？以鴻漸為例，核心人員都是學(xué)霸和學(xué)神級(jí)人物，家庭條件尚可，又在這個(gè)方向都是非常有興趣的Geek（迷戀數(shù)學(xué)和ACM），聚集一群這樣的人才確實(shí)可遇不可求。鴻漸的碩博比例更是高達(dá)60%以上，遠(yuǎn)高于多數(shù)安全大廠(chǎng)。

5)抬頭看天是一種方向，低頭看路是一種清醒，好工具是被罵出來(lái)的

產(chǎn)品經(jīng)理和研發(fā)人員投入到一線(xiàn)去發(fā)現(xiàn)、去感知、去挖掘、去挨罵，通過(guò)上百家客戶(hù)的試用交流，不斷的總結(jié)提升，和客戶(hù)一起成長(zhǎng)，打磨出中國(guó)真正自己的SAST靜態(tài)分析工具和SCA同源分析工具。

由此可見(jiàn)，代碼分析工具并非幾個(gè)人一時(shí)興起的激情投入，也并非國(guó)外工具和開(kāi)源工具加個(gè)殼兒就能解決問(wèn)題，也并非商務(wù)推進(jìn)低價(jià)中標(biāo)抑或是鋪天蓋地的媒體宣傳。是需要一批有情懷又不是那么差錢(qián)，高智商臉皮又足夠厚，能持之以恒又靠譜的年輕人不斷的去挑戰(zhàn)、去征服。

最后，我們歡迎有夢(mèng)想的年輕人加入，本科985計(jì)算機(jī)、軟件工程相關(guān)專(zhuān)業(yè)，高考成績(jī)630分以上，對(duì)算法感興趣。如果能來(lái)個(gè)博士那就最好了。

也歡迎各甲方客戶(hù)交流試用，多提問(wèn)題和建議，只有都用上了國(guó)產(chǎn)測(cè)試工具，國(guó)產(chǎn)測(cè)試工具才能進(jìn)步，才不至于因禁運(yùn)而受制于人！

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買(mǎi)賣(mài)依據(jù)。

關(guān)鍵詞： 安全 領(lǐng)域 新興