墨菲安全章华鹏：与开发流程深度耦合 探索软件供应链安全治理新解法

近年来，云原生、AI、物联网等新兴技术的发展为信息安全产业的发展注入了新的生命力，但与此同时也带来了更严峻的安全风险，软件供应链攻击正是其中之一。SolarWinds和Log4j等事件的频发爆发让软件供应链攻击一词被推到了最前沿。Gartner也预测，“到2023年，全球45%的组织都将遭受到软件供应链攻击，比2021年增加3倍。”

面对严峻的安全风险，软件供应链安全概念在业内持续升温，SCA软件成分分析（Software Component Analysis）在该领域内的地位也逐渐水涨船高，利用SCA软件成分分析工具对涉及供应链的商业软件、第三方开源组件等进行全面摸底，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险，已成为软件开发安全中极为重要的一环。

安全419注意到，目前如checkmarx、Chainguard、Snyk等欧美安全公司在此方面已经提供了众多的工具。放眼国内，当前业内软件开发安全领域主流厂商包括悬镜安全、海云安、默安科技等厂商也均已推出自身旗下的SCA工具，或是在自身的平台型产品中添加SCA能力，以满足用户对软件代码中第三方组件进行研判的需求。

此外我们也注意到，有部分初创安全公司同样将目光聚焦到了软件供应链安全方向，试图探索SCA工具在更大应用场景中的落地价值，本文的主角——墨菲安全就是其中的佼佼者。日前，安全419拜访了墨菲安全这家成立不久即小有名气的创新安全厂商，邀请其创始人兼CEO章华鹏围绕自身创业方向选择、供应链安全市场发展现状，以及墨菲安全对未来供应链安全发展趋势等话题分享了自身的见解。

图：墨菲安全创始人兼CEO章华鹏

作为一名安全创业者，章华鹏相对而言或许还略显年轻，但作为一名安全从业者，他早已经是一名行业老兵。在12年的从业经历中，章华鹏先后在网易、百度、乌云、贝壳担任过安全负责人和产品负责人，以甲方和乙方的身份，走过了安全行业发展历程中最重要的十年。

章华鹏回忆，在2015年以前，网络安全行业还处在萌芽时期，漏洞、攻防是整个行业关注的核心，只要先于黑客发现自身网络系统、应用系统中的漏洞，就能够有效防止黑客攻击。在挖漏洞以外，再做一些防火墙、抗DDoS等基础性安全建设，就是安全团队最主要的工作。他表示：“在萌芽阶段，企业安全能力大都依赖于安全专家个人的技术水平，行业最佳安全实践主要也向百度、阿里和腾讯看齐，学习头部互联网大厂的安全建设思路，摸着石头过河，是这一时期的主要特点。”

时间来到2015年，随着头部互联网公司对安全的重视程度逐渐提高，安全团队的规模也随之扩大。在这一时期，企业界开始讨论安全治理的体系框架和安全管理模型，并逐步将安全部门划分出了如SRC应急响应中心、网络安全、主机安全、应用安全、数据安全、业务安全、安全研究实验室等不同的职能，初步窥见了体系化安全建设的雏形。

与此同时，在互联网行业之外，一些如银行证券、保险所在的金融行业，虽然在安全攻防能力的建设方面并不突出，但金融行业内部在安全体系、框架和安全管理制度层面，已经表现出领先于互联网行业的趋势。

“从2015年发展至今，无论是互联网企业、国央企还是传统行业，所有人都开始讲规范、讲制度、讲标准，讲体系化的建设，大家做安全建设的目标开始变得非常清晰明确。从最早期说担心黑客攻击我就自己尽可能地挖自己漏洞修复掉这样的单点攻防，到整个行业开始建设比较科学、完善的体系化建设思路，这其实是这十年来国内网络安全行业发展中一个很明显的变化。”

这一系列现象背后映射出的是，国内整个安全体系的成熟度越来越高，而行业成熟度高的标志在于，每一个细分方向的产品趋于标准化、成熟化的运营。在章华鹏看来，一个成熟的企业安全建设思路一定是整体的风险管理能力很强，需要依赖于包括安全制度规范、安全产品和工具、安全技术体系在内的更多确定性的能力，来支撑一整套成熟的运营体系。

“回到10年前，用户可能会想，一款安全产品能力再强，最多也只能解决单一的安全问题，远不如高薪聘请一位全栈型安全专家性价比高。但在今天的网络安全行业，黑匣子式的安全建设已经成为了过去，在各自的细分领域内，谁能够打造出很好解决用户痛点的标准化、成熟化的安全产品，谁才能真正收获用户的拥抱，换句话说，产品型安全公司已经迎来了属于自己的时代。”

在业内，谈及软件供应链安全，往往大家就会联想到第三方开源组件的风险治理，但在章华鹏看来，软件供应链安全事实上远不止于此。

他认为，当前软件行业与传统汽车行业存在一定的共通之处，当一个行业发展至成熟阶段时，就会衍生出大量的下游供应链企业，他们分别为车企们提供标准化零部件，以帮助车企实现降本增效，任何一个汽车零部件生产方向，都足以诞生出多家成功企业。

随着数字化的飞速发展，软件行业也已经来到了这个阶段，包括数据库、运维工具、办公工具在内的任何一条赛道，事实上大家都在生产着某一类标准化的组件。随着软件行业的成熟度越高，其组件化、标准化的水平也会相应地增长。而墨菲安全的使命，就是将安全的属性嵌入到这些标准化的产品中，让这些标准的产品在组装到一家企业中时，天生就具备安全性。

他解释道，一家企业内所有的应用软件可以大致分为两类，一部分是自研的软件，另一部分则是从外部引入的标准化软件。当前业内许多人将供应链安全认为是，在自研软件的过程中，往往会涉及引入外部的开源组件，在这一前提中如何保障整个应用的安全。但可想而知，这仅仅是软件开发安全与供应链安全之间的一个交叉集合。

事实上，供应链安全应该是一个更大的概念，包括采购到企业内部独立运行的ERP、OA等等商业化标准软件系统同样是供应链的一部分，但他们与企业的开发流程之间毫不相关，这实际上是供应链安全领域中独有的部分，这些商业外采的供应链软件往往成为企业被攻击的重点，其安全性也需持续监测和提升。

因此墨菲安全定义的软件供应链安全是，企业所有从外部引入的标准化组件，包括第三方开源组件、闭源组件和商业软件，所有外部引入的软件产品均需要纳入软件供应链安全持续治理的范畴。当把视角放大到构建整个软件安全生态上时，可想而知，摆在墨菲安全面前的是一片极具想象空间的蓝海。

章华鹏表示，自从log4j事件爆发之后，供应链安全几乎堪称一夜之间得到整个安全行业和IT行业的高度关注，SCA软件成分分析技术也一夜之间受到热捧。但事实上SCA技术已经出现了许多年，只是恰巧赶上了软件供应链安全的风口，技术本身仍然没有很成熟的落地。

“虽然今天很多安全厂商都提供SCA工具，也的确能够给用户分析出来使用了哪些第三方组件，哪些组件可能存在漏洞风险，但如果只是做到这一步，我相信这个市场它一定是火了一年两年就熄灭了。这个市场最后能不能发展起来，取决于最终你真正帮客户解决了多少问题。”

在他看来，当前市面上大多数SCA产品并没有解决好两个核心问题：首先是发现组件中存在一个漏洞，但无法判断漏洞可达性，是否真的会对用户的业务系统造成影响；其次是修复成本过高，如果检测出来的每一个风险组件都需要修复的话，正常的业务运转是否会被干扰？当一件事情的产出价值具备不确定性，同时又需要为此付出较大的成本，那它注定是无法落地的。

为了突破过去SCA难落地的困境，墨菲安全的产品选择优先服务好软件开发者，这些开发者们最终真正解决软件安全问题的人，一方面通过漏洞可达性分析，帮助用户识别出来真正需要高优去解决的问题；另外一方面尝试去降低用户的漏洞修复成本，从而大大提升安全问题的处置效率，最终有效的闭环解决软件供应链安全问题。

因此，在漏洞的可达性分析层面，墨菲安全一手搭建安全实验室，深入分析漏洞成因和真实影响，包括漏洞在什么条件下会触发，比如说哪个函数哪个类哪个方法会导致反序列化漏洞，以及用户真实的代码逻辑中是否包含了这样的风险场景，最终去判断漏洞是否真的存在杀伤力；另一手还会进一步评估漏洞本身的影响范围，修复工期成本，让用户直观地看到漏洞的真实影响；

在降低修复成本层面，墨菲安全同样分为两步走策略。第一步是要让产品真正“有用”，当一个漏洞事件爆发后，墨菲安全会第一时间对各个修复方案进行验证，向用户推送最低成本、最可靠的修复方案。

第二步是让产品真正“好用”，为了实现这一点，墨菲安全开发了一个名为“MurphySec Code Scan”的IDE插件给到研发人员，与开发流程深度耦合，帮助开发人员在代码编写环节快速识别和修复存在风险的开源组件。

简单来说，在安装墨菲安全这一IDE插件后，研发人员就如同在飞书、WPS等文档编辑软件中打开了自动校对功能插件，在编写的过程中程序会自动化识别并提示可能存在的风险，并结合上下文给出修改建议。借助这一强大功能，开发人员便能够根据程序提示，一键修复存在风险的代码，实现在代码编写阶段治未病的效果。

数据显示，目前墨菲安全这一IDE插件的修复代码推荐准确率已经达到近90%，也就意味着，经过这一插件的自动化检测后，90%的漏洞都能够实现一键修复，真正站在开发人员实际需求的角度，极大地降低了漏洞修复成本，让产品变得真正好用。

章华鹏谈到，在他看来，无论是软件开发安全还是软件供应链安全，其背后最终修复问题的人仍然是开发者。因此墨菲安全目前的定位是国内唯一一家面向开发者提供SCA产品的软件供应链安全厂商，其超过70%的用户都是开发人员。因此这也决定了墨菲安全的发展路径，扎根到用户真实需求场景中去，以产品力构建自身的核心能力和壁垒。

图：墨菲安全软件供应链安全平台用户界面

采访最后，谈及对墨菲安全发展的规划以及未来供应链安全整体市场发展的话题，章华鹏认为，软件供应链安全应该是一件很长期的事情，如果把整个软件供应链治理视为100分，那么墨菲安全目前只是从漏洞预警和SCA软件供应链平台两个落脚点做了其中20%，未来还有巨大的市场空间去持续性探索。

“我们今天距离未来供应链安全要实现的目标还有很远。我们去看大家今天喝的饮用水，每一个人从超市买过来一瓶水，事实上并不用担心饮用水的安全问题，也不用每个人自己在喝水之前自己做安全检测，为什么呢？因为从整个饮用水的生产、运输、分发到上架超市，这背后有至少几十道检测流程，有一整套成熟的法律法规、水质检测技术、行业标准和管理体系，最终一瓶水才能来到消费者面前，这个产品也会被默认为安全。”

所以在整个供应链安全治理的环节中，最终要实现的目标就是从整个软件生产的源头到最后经过软件市场的分发过程中，由不同的厂商来共同做好软件生态的安全保障。万物互联的时代下，随着AI、IoT、智能网联车等一系列新技术的蓬勃发展，软件最终会定义一切。想象一下，没有经过软件供应链安全评估的软件将会给社会造成什么样的混乱？

章华鹏认为，他表示，在任何时候想要颠覆、创新，就要选择不一样的视角和切入点，因此墨菲安全选择软件供应链安全赛道，实际上是选择了一条很难走的路。因此，面对软件供应链安全这片蓝海，墨菲安全也需要持续迭代自身对软件供应链安全认知和理解，着眼于真实用户需求和整个供应链安全治理生态，最终真正帮助用户解决问题。“我希望5—10年后，墨菲安全能够真正成为一家受到用户信赖的软件供应链企业，当大家想做软件供应链安全治理的时候，自然而然就会想到墨菲安全，并对墨菲安全的软件供应链治理能力充满信任，这或许会是墨菲安全这家企业的未来终章。”

“为了实现这一目标，墨菲安全选择与开发者用户们站在一起，持续推出更多有用且好用的供应链安全产品，帮助用户解决更多问题，去获取用户的认可与信任。至于未来墨菲安全会长成什么样子，不如把这个问题交给市场。”