用户|火线安全：洞态IAST项目开源的背后是为用户创造价值的坚持_体系|版权|行政|执法|软件著作

文章插图
2021年9月火线安全平台正式发布了全球首个开源的IAST项目。安全419观察到该项目的发布在引起甲方安全研究团队关注的同时也让业界产生了一些不解为什么这样一家以白帽子安全众测业务为核心的厂商却推出了一款开源的IAST产品是正在谋划向开发安全领域发力还是它背后有着怎样的商业发展规划
近日安全419再次连线火线安全创始人邬迪请他来阐述一下发布开源的洞态IAST产品前后的思考。

文章插图
用户真实需求驱动社区原生的洞态IAST诞生
邬迪表示关于向开发安全领域转型的猜测基本可以否定他们未来会持续推出更多的新产品和业务可能是开发安全也可能是其他细分领域相关的产品但最终都会围绕社区原生、社区共建的思路来推进。
他表示火线安全的定位是一家以白帽子安全社区为基石的安全公司社区原生是他们的最大特点因此联合我国的白帽子安全专家开展安全众测是一个天然衍生出来的业务。
由于安全众测主要是面向企业已经发布或是已经上线的业务系统去做测试如果站在用户和企业的角度来看众测是发生在业务上线后的用户需要更早的介入安全措施和手段发现安全风险更前置性的解决安全问题。因此火线安全基于用户的核心需求综合了大量用户的建议打造了这款产品。
之所以选择研发IAST类产品还有一个十分重要的原因那就是当前DevSecOps生态下IAST与SAST、DAST类产品相比拥有明显的优势IAST比较有效地结合了DAST、SAST二者的特点能够覆盖到更多的应用安全检测场景可以更及时、准确的发现漏洞。与此同时在产品部署方面IAST产品无需配置的即插即用方式对用户而言也相对更友好。
邬迪谈到与业内其他的IAST工具本质的区别在于它是唯一一个社区原生的开源IAST产品。“在我们看来IAST是一款可以与社区一起合作开发的工具社区成员们的技术经验和真实的产品体验会对它进行持续的赋能和加持。就目前来说这款工具中很多重要功能的代码都是由用户提交上来的包括agent的启停功能、漏洞的通知功能等等未来还会有更多的功能由社区用户来共同开发我们也希望能够有更多的社区用户参与进来。”
【用户|火线安全：洞态IAST项目开源的背后是为用户创造价值的坚持】“火线安全做出一款产品的核心判断依据只有一点——能否通过社区共建的方式去满足当下企业用户还没有被满足的需求。洞态IAST也是在这个基础上诞生的。”
开源的决定来自于对技术天生的热爱和分享精神
邬迪坦言“就开源与否这个问题其实我们想得比较久考虑很久才决定开源。洞态IAST实际上从2019年就开始开发了但直到今年我们才正式决定把它以开源的形式发布出来中间经历了一个很长的心路历程。”
回到技术创新的初衷火线安全本身是一个技术氛围浓厚的团队成员也均以技术出身为主因此对整个团队而言当大家看到一项很好的技术时会按捺不住自己想要分享的喜悦大家一致认为这款好的产品值得分享给更多的人了解和使用所以最终做出了将它开源的决定。“任何一家重视软件安全的企业都会在接触过洞态IAST后看到它的价值。”
在这款产品开源后火线安全得到了很多正向的反馈。一方面许多安全团队的研究人员通过开源代码了解到了整个IAST的原理对IAST有了更深层的认知。另一方面这个项目在不少开源社区发布后一些非安全从业者也阴差阳错地接触到了IAST通过看代码学习后最终投入到安全工作成为了网络安全行业的一份子这是让火线安全既感到意外却又十分惊喜的。