软件开发 降本增效，看未来

菏泽炫佑科技

软件开发 降本增效，看未来

编者注：

告别波澜壮阔的2020年，我们即将迎来充满希望和未知的激动人心的新十年。 技术与资本的双重推动是这十年的主旋律，也很可能成为未来十年创新的主要动力。 因此，临近2020年底，我们推出了“年度行业研究”系列，选取当下*受关注的领域进行系统梳理。 这些行业可能正在改写当前新的经济格局，也可能重塑未来商业乃至国际格局，可能会引起36氪读者的兴趣，也可能产生巨大的社会影响。 我们也希望通过这种方式与我的氪读者一起“无限拓展边界”，一起“更好地看到未来”。

本文是本系列的一部分。 我们选择了这个在IT行业逐渐流行的概念。 从云计算到云原生再到云原生，我们看到IT理念的每一次转变都意味着开发流程的迭代，这为企业业务的敏捷需求提供了基础的技术支撑。 而安全作为业务合规和风险规避的基石，也必然会加入到这场变革之中——这也是它的意义所在。

通过遵守法规来降本增效还是规避风险？

过去，企业要想快速占据市场一席之地，前者或许更为重要。 然而，随着监管环境日益严格、竞争更加多元化，降低成本、提高效率，或者遵守法规、规避风险，不再是单一选择的问题。

但在实践中，两者的融合始终存在博弈。 例如，“安全”作为合规和规避风险的基础，长期以来一直处于这种状况——几乎所有甲方公司在采购/采购时都希望安全能够与业务和谐共存，至少不影响业务进度。推出安全产品或功能。 这也是安防厂商与客户达成合作的重要前提。

寻找安全与业务发展合适的节奏也成为值得讨论的话题。

就是这样一个概念。 这是将 () 嵌入到进程中的派生概念。 其核心是安全前端，强调安全需要贯穿于从开发到运营的整个软件生命周期的每一个关键环节。

自2012年提出以来，逐渐引起业界关注。 国外的一个例子是，在被称为“全球网络安全风向标”的RSA会议上，2020年排名前10的公司中有3家相关。 在中国，围绕它的讨论也日益增多。 目前，围绕这一理念开展业务的安全公司已有十余家，其中大部分专注于安全方面的发展。

从投融资情况来看，这一领域的企业近一年来也持续获得融资。 例如，“摩安科技”今年11月被曝已完成对深信服、宁德上汽的增资； “开源网络安全”今年10月宣布完成松禾资本投资、江易基金投资数千万元融资； “玄景证券”今年6月宣布完成由红杉中国种子基金独家领投的数千万元融资。

但从更广阔的角度来看，作为一个延伸的概念，认可度不如前者。 本文将从这一概念的发展历史、发展动力以及相关厂商面临的机遇和挑战入手，以期为读者提供参考价值。

1、开发模式转变：从“敏捷”到“敏捷+安全”

追根溯源，就不得不提到近年来IT概念的多次迭代。 敏捷性是企业IT架构支撑前端业务的重要考虑因素。 这个理念贯穿于云计算、云原生、敏捷开发以及本文的主题——。

进入移动互联网时代后，各种软件应用渗透到各行各业，业务迅速发展，用户数量激增。 面对这种情况，企业必须将更多的人力、物力、精力集中在业务逻辑的建设上，而不是基础设施的建设上。 换句话说，他们的追求是尽可能以*敏捷、可靠、低成本的方式响应业务需求。

云计算的出现就是一种解决方案。 它改变了IT基础设施和应用实现模式，让存储、计算等信息服务像水、电等公共设施一样，通过网络按需灵活使用。 其*终目标是，在理想的世界中，企业后续的IT系统开发只需要关心业务功能和逻辑实现，其余的IT基础设施不再关心，由云平台提供能力。 因此，云计算除了节省成本的优势外，还带来了效率和速度的提升。

再者，要实现完全的敏捷，不仅基础设施需要上云，业务（应用）的“云化”才能真正发挥出“云”的价值，这也是云的核心理念本国的。 36氪此前对云原生做过深入分析。 总之，云原生应用的兴起，让所有组件和相关服务都在云端解决，进一步提高了IT后端支持前端业务的效率。

当这个概念被实施时，IT部门的角色和流程需要相应地转变。 因此，IT部门的软件开发流程也经历了从瀑布式开发到敏捷开发，再到敏捷开发的迭代。

过去，企业的软件开发流程是传统的瀑布式，通过规划、需求分析、软件设计、程序编写、软件测试、运维六个流程串联起整个软件生命周期。 这六个过程有严格的顺序。 只有前一个流程结束后，下一个流程才能开始运行。 这种开发方法类似于瀑布的落下，因此被称为瀑布模型。

但这种开发模式迭代速度慢，会造成人力的周期性浪费。 于是，敏捷开发就出现了。

敏捷开发采用“迭代开发”，将软件项目需求划分为多次迭代，每次迭代的结果在完成开发、测试、反馈等环节后才能交付。 这种模式提高了软件开发的速度，但侧重于软件的开发阶段，没有考虑到运维。

于是，它应运而生。 它是一种重视“软件开发人员（Dev）”和“IT运维技术人员（Ops）”之间沟通与合作的文化、运动或实践，希望让软件的构建、测试和发布更加敏捷、频繁、且可靠。 随着云原生的日益普及，其配套的概念也被广泛接受。

但可以看到，覆盖的员工角色包括开发人员和运维人员，不包括安全人员。 安全性作为软件开发中的一个保障因素，仍然被忽视。 由此而生。

传统的安全方法很难满足敏捷的前提。 这是因为在传统安全（渗透测试或手动方法等）中，敏捷会影响研发交付，这是企业无法接受的。 理念是将安全融入敏捷流程，即通过设计一系列可集成的控制措施，加大监控、跟踪和分析的力度，优化安全实践，将安全融入到开发和运营的各项工作中，将安全融入到敏捷流程中。赋予每个团队能力，同时保持“敏捷”和“协作”的初衷。 在这个理念下，企业整个IT团队有一个统一的目标，即在保证敏捷开发的基础上，共同承担安全的责任。

“2017年以来，国际上有越来越多的专注厂商，国内也有越来越多的各方和厂商开始关注开发安全，其核心是解决敏捷开发模式中如何软性嵌入安全的问题。提前实现安全的问题。” 国内敏捷安全公司“玄景安全”创始人子牙曾向36氪介绍。

2.需要流程和工具。

安全的本质是保证业务的连续性和可靠性。 诞生于敏捷性的前提下，*终的目标是保证应用的可靠性。 要实现这一目标，既需要系统的标准化，也需要工具的支持。 制度上，通过流程设计和项目管理，明确职责，安全**； 在工具方面，我们需要关注整个软件生命周期的安全。 ，从代码层面保证软件质量。 两者是相互支持的。

系统将安全融入到开发过程中软件开发，那么工具对的意义何在？

认为需要重点关注以下几点：风险和威胁建模、自定义代码扫描、开源软件扫描和跟踪、考虑供应链安全问题、将预防性安全控制集成到共享源代码库和共享服务、版本控制和安全测试的自动化部署、系统配置漏洞扫描、工作负载和服务的持续监控等。

镜框

根据云计算开源产业联盟的解释，安全工具自动化、平台化是云计算的特点。 重点是在系统中嵌入自动化安全工具，以实现*佳的系统安全性。

从更深层次来说，这种类型的安全工具是会落地的抓地力。 传统研发流程中，研发与安全是分离的，主要是安全影响研发效率，但自动化安全工具可以适应当前敏捷开发的需求。

而且，工具的出现也有助于企业实施组织架构。 这是因为IT部门的安全人员比例往往有些不平衡。 一种说法是，目前大多数企业的开发、运维和安全的比例是100:10:1，安全人员只占开发人员的1/100。 而且，保安人员人才紧缺的问题早已成为业界的共识。 360联合猎聘发布的《2019网络安全行业人才发展研究报告》显示，近年来国内人才市场网络安全求职人数增长缓慢，与人才需求的快速增长极不相符，导致人才缺口不断扩大。 有专家预测，2020年网络安全人才缺口将达到140万人，因此提高安全人员比例并不现实。 *重要的是让每一个研发人员和运维人员都有安全意识，了解安全工具，尽可能成为安全专家。 ,

那么，需要什么工具呢？

答案很简单，它是确保安全软件开发的工具。 随着信息化的发展，软件应用服务正在渗透到各个行业和领域，软件应用本身的安全问题也成为人们关注的焦点。 当前，全球安全事件频发，代码程序漏洞是关键原因之一。 程序安全漏洞需要尽早发现。 如果运行系统暴露漏洞，企业将付出比安全前更高的修复价格。 根据美国国家标准与技术研究所 (NIST) 的数据，发布后执行的代码修复成本比设计阶段执行的修复成本高出 30 倍。

目前主流的工具类型包括静态应用安全测试（SAST）、动态应用安全测试（DAST）、交互式应用安全测试（IAST）、软件构成分析、运行时应用自我保护等。静态、动态、交互式应用安全对产品进行测试，以及软件构成分析，可以让软件在上线前发现可能存在的安全风险，达到安全抢先的目的。 运行时应用自我保护，实时保障软件上线后的软件安全。

目前，应用安全测试工具市场已经相对成熟，多种技术分支已经涌现。 然而，静态应用程序安全测试（SAST）、动态应用程序安全测试（DAST）和交互式应用程序安全测试（IAST）虽然名称相似且用途相同，但并不完全可以相互替代。

从技术角度来看，SAST意味着不运行被测程序本身，而只是通过分析或检查源代码或二进制文件的语法、结构、流程、接口等来检查程序的正确性。 DAST是指分析应用程序在测试或运行阶段的动态运行状态。 主要模拟黑客行为对应用程序进行动态攻击，通过分析应用程序的响应来判断应用程序是否容易受到攻击。 IAST是一种较新的技术，于2012年提出。该方法利用部署在服务器上的代理和Agent程序来收集和监控Web应用程序运行时请求数据和功能执行情况，并与扫描器实时交互，以识别安全漏洞并准确判断漏洞所在的代码。 文件、行号、函数和参数。

三种不同的技术路线也意味着这三类产品在效果和适用场景上存在差异。

从效果来看，DAST准确率较高，但无法访问代码细节，漏报率较高。 SAST 分析应用程序的源代码或二进制文件。 这种方法比前者更全面，但检测时代码并未运行，因此误报率较高。 IAST方法基本不会造成误报，准确率非常高，但目前开发语言的覆盖并不全面。 目前，IAST因其避免了前两种产品的缺点而受到业界越来越多的关注。

这三种类型的产品各有优点和缺点。 也许在适当的场景下组合各种产品，可以更全面地满足软件开发的安全需求。 例如，SAST更适合研发阶段的代码检测，而DAST和IAST更适合QA。

3、国内企业的机遇与挑战

目前我们关注的是，围绕概念创业的安全公司也在提供工具化的产品和相应的解决方案。 此外，这些工具大多数用于避免应用程序中的安全问题。 该行业的市场广义上属于应用安全，狭义上属于开发安全。

根据2019年6月发布的统计数据，2019年全球安全支出总计1209.34亿美元，预计2020年将达到1238.18亿美元。其中，2019年应用安全市场规模为30.95亿美元，预计将达到美国2020年将达到32.87亿美元，年增长率达到6.2%，明显高于整体信息安全市场2.4%的年增长率。 中国应用安全市场增速高于全球，市场规模占全球市场近三分之一。 据中国云计算开源产业联盟报告显示，2019年国内应用安全市场规模达8.48亿美元，占全球应用安全市场近三分之一。 预计2020年市场规模将达到9.45亿美元，年增长率达到11.5%，高于全球6.2%的增长率。

其中，上面重点介绍的 AST 市场增长*快。 市场规模占整体应用安全市场规模的三分之一以上。 根据2019年4月发布的报告调查数据显示，应用安全测试市场预计将以10%的年复合增长率增长，仍然是信息安全领域快速增长的一部分。 到2019年底，AST的市场规模预计将达到11.5亿美元，占整体应用安全市场规模的三分之一以上。 我们目前关注的是，注重概念的安全公司大多基于AST开展业务。

36氪此前通过与“领航资本”等安全业内人士以及“开源网络安全”等安全公司的交流了解到，该行业在中国增长的原因可能有以下几个：

然而，独立安全公司需要面对的挑战也必须提及。 首先，仅仅提供单一产品是不够的。 客户的高层需求是管理软件开发的整个生命周期，建立可量化的安全开发体系。 因此，对于第三方厂商来说，目前不仅需要提供产品，还需要提供一个能够整合新老产品的平台，还需要提供服务甚至培训。 目前，已有一些厂商针对这一需求提供了全面的解决方案。

另外，在客户端，一些技术实力雄厚的公司会采取自主研发的方式。 例如，大型互联网公司甚至云厂商都会独立开发解决内生需求的工具，并尽可能地提供给客户。 在这种情况下，安全公司需要根据自身情况，针对此类客户进行能力补充。 总体来看，目前专注该领域的企业客户主要分布在金融、能源、政府等领域。 如果客户熟悉此类产品，那么公司就可以提供轻量级的服务。 但如果客户需要更全面的贴身服务，如何通过提升产品能力来降低人力成本也成为制造商面临的挑战之一。

四、参会人员概况

目前，我们正在关注国内该领域的十余家初创公司，这里简单展示一下他们的业务概况（排名不分先后）。

悬挂镜安全

玄景安全由北京大学网络安全技术研究团队“”创立。 成立于2014年9月，专注于软件供应链持续威胁的集成检测与防御。 其独创的玄景智能自适应威胁管理系统主要涵盖从威胁建模、威胁发现、威胁模拟到检测响应等关键环节的开发与运营一体化。 实战攻防对抗的敏捷安全产品和政企安全服务。

摩安科技

摩安科技成立于2016年，是一家云计算时代新兴的网络安全公司。 公司推出了覆盖整个业务生命周期的左移开发安全和智能运营安全的新一代企业安全体系。 据介绍，该公司践行欺骗防御理念，推出“平台+工具+服务”的全流程安全开发解决方案以及南北、东西向流量监控一体化的云平台运营安全解决方案，希望帮助客户实现安全业务的前置化、系统化、实用化、精准化、智能化。

开源网络安全

开源网络安全成立于2013年，致力于使企业能够交付更安全的软件，并为软件安全开发提供全方位的服务，包括咨询、培训、解决方案、专业工具和安全服务。 公司目前为客户提供软件安全开发生命周期（S-SDLC™）解决方案、™解决方案、具有“自主知识产权”的软件安全开发工具链（IAST、SAST、SCA、FUZZ、RASP™）和软件安全开发人才发展课程体系CWASP™。

酷啄木鸟

啄木鸟成立于2014年，是一家专注于软件源代码信息安全业务的科技公司。 据该公司介绍，其自主研发的源代码缺陷分析系统是国内首个商用的、具有完全自主知识产权的源代码检测产品。

小刀科技

杭州小刀科技成立于2014年，公司专注于为用户提供下一代应用安全解决方案。 产品包括IAST、ASTP、代码安全合规检测系统、移动应用安全测试系统以及全面的泄漏扫描和安全合规检测系统。

海韵安

海云安成立于2015年，致力于“可信应用、主动防御”系列应用安全产品的研发和推广。

其产品分为四类。 一是移动应用安全检测产品，以及安全加固和监管产品； 二是源代码安全分析平台和白盒、灰盒、黑盒安全产品； 第三，开发用于安全管理中心。 主动安全防御体系和可信应用安全产品； 第四是应用级系统灾难恢复计划。

爱加密

成立于2013年，目前拥有移动安全咨询、移动安全培训、移动安全检测、移动安全加固、移动安全感知、移动安全管理等产品体系，可为用户提供基于企业移动信息安全的一体化解决方案。 计划。 这些解决方案贯穿应用设计评估、安全开发与测试、应用优化、应用安全发布、应用上线运营阶段的整个生命周期。

棱镜多彩

棱镜多彩成立于2016年，据介绍，该公司建立了国内首个全球开源项目知识库（近千万个项目，100TB+容量数据），可以检测软件源代码构成、来源、漏洞、自主率、安全协议等信息，并提供软件信息安全、科技内容和工作量信息以及知识产权评价和评价。

中科天齐

中科天启是中国科学院计算技术研究所软件安全领域的产业化平台。 公司以软件源代码漏洞检测安全智能诊断工具（）为核心产品，希望提供覆盖不同开发语言的漏洞检测技术能力，帮助软件提升安全能力。 为政府、金融、电信、科技等行业的国内外客户提供专业、全面的软件源代码漏洞检测解决方案，帮助客户在软件开发过程中发现、识别、跟踪主流编码中的大部分技术漏洞和逻辑漏洞。 帮助客户低成本控制应用安全风险。

久保

北大软件CoBOT（久保）团队由北京大学软件工程国家工程研究中心提供研发实力，由北京北大软件工程有限公司提供商业运营模式，旨在共同推动CoBOT走向更广阔的市场。 据该公司介绍，CoBOT是目前国内唯一通过美国CWE认证的安全产品。 技术上处于国内领先、国际先进，程序分析也是软件工程领域技术含量*高的领域之一。

九州安宇

九洲安宇是一家网络安全产品及解决方案提供商。 其目标是为客户构建安全、稳定、可持续的业务系统。 为业务系统提供端到端的安全，提供贯穿业务系统设计、开发、测试、运维全生命周期的安全咨询、代码安全、安全测试、安全评估、渗透测试等服务。

中科蔚蓝

中科微蓝科技有限公司是由中国科学院软件研究所创办的一家信息安全高新技术企业。 其拥有安全漏洞管理和分析解决方案，通过智能漏洞管理引擎帮助客户了解自身主机安全环境、源代码安全状况以及知识产权许可合规性。 公司表示，深耕人工智能技术软件开发 降本增效，看未来，开发出独特、领先的漏洞挖掘技术，让软件开发商、软件经销商、系统集成商、安全测试机构能够轻松执行软件开发过程中、软件交付前、交付后的任务。主机正在运行。 根据时间、环境等各阶段采取适当的预防措施。

鉴赏与解释

健石成立于2018年，其开发的“艾克石”是基于静态代码扫描（SAST）的下一代源代码分析工具。 它使用深度编译器级技术来检查数据流并分析软件应用程序，从而提高缺陷检测的准确性。 它在软件开发生命周期 (SDLC) 的早期识别代码缺陷。

光辉

上海易视信息科技有限公司是一家从事软件应用安全行业的公司。 其产品和解决方案可覆盖软件开发的全流程，致力于将安全融入软件开发生命周期（SDLC）。 该公司希望与客户合作，在软件开发生命周期（SDLC）早期采用，缩短反馈循环并降低复杂性，以便工程师能够更快速、更轻松地检测和修复安全与合规性问题，快速推进。 公司目前业务范围涵盖金融、汽车、IT/互联网等行业。

炫佑科技专注互联网开发小程序开发-app开发-软件开发-网站制作等