2020年2月24日-28日,網路安全行業盛會RSA Conference將在舊金山拉開帷幕。在RSAC官方宣佈入選今年創新沙盒十強初創公司中,綠盟君已經為大家介紹過了Elevate Security 、Sqreen、AppOmni、Tala Security、ForAllSecure、INKY六家廠商,今天為大家介紹的是:BluBracket。
一、公司介紹
BluBracket於2019年成立,總部位於美國加州,是一家專注於程式碼安全的初創公司。當前由Unusual Ventures、SignalFire、Point72 Ventures和Firebolt Ventures共同投資650萬美元作為其種子資金,當前處於種子輪。
BluBracket在其官網上指出,公司的定位是:提出當前業界首個也是唯一一個全面的程式碼安全解決方案。作為一家成立剛剛一年的公司就能進入創新沙盒決賽,必有其過人之處。
二、背景介紹
在具體介紹其產品前,我們先看一下公司的董事會成員以及背景經歷。
Prakash Linga,公司的創始人兼CEO,2007年於康奈爾大學獲得Computer Science博士學位。之後在Moka5作為技術總監工作了4年(Moka5是一個成立於2005年的桌面虛擬化公司,於2015年停止運營)。然後就開始了其創業之路,從其在Linkedin上的資料來看,從2011年至今,已經創辦了三家公司:
第一家公司是RAPsphere(2011.4—2012.5),Linga作為創始人、CTO和技術VP,從網上僅存的一些介紹中,大概可以看出,RAPsphere主要提供移動安全、應用和裝置管理服務,為企業和員工的移動裝置提供安全的裝置控制、管理和可見性。很不幸的是,這個公司只存活了一年多。
然後其在2014年又創立另一家公司,Vera Security,主要做資料安全。Vera提供了一種資料安全的解決方案,使各種規模和位置的企業能夠輕鬆地跨所有平臺和裝置保護和跟蹤任何數字資訊。透過全面的資料安全和實時控制,允許人們使用任何想要的平臺和裝置,同時確保最高階別的安全性、可視性和控制。
在2018年8月,Linga離開了Vera,創辦了BluBracket,任CEO,從其履歷和Linkedin上的自我介紹來看,Prakash Linga這個印度小夥將自己定位為一個連續的創業者和天使投資人。
Ajay Arora,BluBracket的另一個合夥人,同樣給自己的標籤也是連續的創業者和天使投資人,Ajay Arora可以算是Prakash Linga的老搭檔了,從RAPsphere的Co-Founder、COO和產品VP,到Vera的CEO、Co-Founder,甚至二者還曾經共同就職於AppSence分別擔任VP。從Ajay Arora的履歷中可以看出來,從產品、解決方案管理,到市場運營管理,可以說是什麼都做過了。但是除了前文提到的這幾個創業公司之外,其他就職過的公司似乎很少是做安全相關的。
BluBracket董事會的另外兩名成員,從其個人簡歷介紹中,並未提及BluBracket的任職職務,其中Jim Zemlin當前是Linux基金會的執行董事,另外一位John Vrionis是BluBracket投資方Unusual Ventures的創始人。
三、產品介紹
接下來我們看一下BluBracket的產品,公司成立於2019年,是此次創新沙盒所有公司中“最年輕”的一個,也是融資金額最少的一個(650萬美元)。從其官網上看,對公司的各項介紹都少的可憐,也可能是因為成立時間太短,公司的主要精力還集中在產品的研發上。
BluBracket對其產品的定位是:當前業界首個也是唯一一個全面的程式碼安全解決方案。公司的口號為“Security at the speed of code”,綠盟君理解應該是“讓安全的保障和程式碼迭代一樣的快”。
為了支撐這樣的定位,BluBracket當前提供CodeInsights和CodeSecure兩款產品,組成其程式碼安全解決方案。
CodeInsights
從產品介紹上看,CodeInsights主要提供的是程式碼的管理功能。
當前無論是敏捷開發,還是DevOps,任何一個軟體專案,其程式碼管理都是一個重要問題,尤其是從安全的角度來看,大量的開源專案應用、大量的開發人員不斷進行程式碼的更新,以及快速的程式碼迭代。能夠對整個專案的程式碼進行全視角的檢視和追蹤,無論是對程式碼的規範性管理還是脆弱性管理,都有著重要的意義。
如今協作式編碼工具,為研發管理提供了極大的便捷性,但是同時也導致了程式碼擴散不清晰的問題。CodeInsights主要為企業提供了程式碼環境檢視(BluPrint),這樣使用者就可以知道自己的程式碼在哪裡,無論是組織內部還是外部,誰可以訪問它。最重要的是,使用者就可以對最重要的程式碼進行分類,這樣就可以為任何審計或規範性要求顯示詳細的追蹤鏈。
CodeSecure
BluBracket提供的另一款產品叫CodeSecure,從名字理解,是保證程式碼安全的。通常,使用Stack Overflow、Github或其它開源的程式碼協作工具,通常會對企業安全構成嚴重的威脅。CodeSecure可以檢測程式碼中的金鑰,並確保程式碼中沒有敏感的密碼,或者是令牌被盜用、錯誤的處理或誤用。CodeSecure還可以讓使用者識別、預防甚至阻止程式碼從企業中意外或惡意的流出,保證企業程式碼的隱私性。
下面的兩張圖是其官網上貼出來的產品介面截圖,從截圖上,我們可以大概的看一下它具體的功能,比如能夠在程式碼倉庫中識別到AWS的token,能夠識別出程式碼倉庫中存在的金鑰,能夠識別程式碼倉庫的訪問許可權等安全告警。還能夠對程式碼倉庫、開發者、開發環境等資訊進行集中的管理和監控。
四、歷屆創新沙盒與DevSecOps
程式碼安全更廣義的範疇,可以劃分到DevSecOps裡面。DevSecOps的理念和架構,近年來越來越多的為人們所青睞。Gartner從2016年起,就持續的將DevSecOps列入其年度Top10安全技術和專案中。下圖是Gartner釋出的經典DevSecOps閉環模型。
隨著敏捷開發、DevOps的飛速發展,DevOps全流程自動化的工具鏈相對來講已經比較成熟和完善,在眾多規模性的企業得到了較好的應用和推廣。然而要想實現DevSecOps閉環模型,還需要重點解決以下幾方面的問題:
(1)切實有效的安全工具,實現每個階段對應的安全能力;
(2)能夠友好的整合到DevOps工具鏈生態中,實現完全的安全自動化;
(3)要能夠保證其效率與效能,使得安全能力的接入,不會影響到DevOps流程的效能。
在市場和技術的推動下,近年的創新沙盒中,多次出現DevSecOps相關產品,比如今年的ForAllSecure,2019年的DisruptOps(雲基礎設施檢測與修復)、ShiftLeft(軟體程式碼防護與審計)等。
DisruptOps
多雲和敏捷開發是雲端計算的熱點,DisruptOps以SaaS化的服務方式,透過對使用者的多個雲資源進行安全與操作問題的快速檢測並自動修復,一方面節省了客戶上雲的成本,另一方面實現對雲基礎架構的持續安全控制,在安全、運營和成本等方面,給使用者帶來最大的收益。此外,藉助自動化和服務編排的技術,推動雲原生應用和DevSecOps的落地。
ShiftLeft
ShiftLeft創新性的提出基於多層圖表的程式碼分析方法,將全部應用程式碼進行多層次的、可擴充套件的圖的方式展現。圖能完整包含程式碼的多種元素,完整展現程式碼細節,比如語言、自主開發程式碼、開原始碼(OSS庫、SDK)、不同類別,方法等。從而可以從圖中清晰的理解資料流動,快速識別資料洩露,關鍵漏洞等。而且掃描速度極快,10分鐘分析50萬行程式碼,適用於DevOps場景,能夠直接和CI/CD無縫結合,發現每個產品版本的問題,效率極高。透過將程式碼分析和ShiftLeft的應用微代理結合起來,能夠深刻理解漏洞,並針對漏洞進行優先順序排序。
四、總結
首先從市場來看,隨著雲原生、微服務、敏捷開發DevOps等越來越多的實現落地應用,程式碼安全確實是一個亟需解決的問題。前文也有提到,在整個DevSecOps閉環中,如何高效的實現開發階段的程式碼安全,對於整個DevSecOps有著重要的意義。所以說,這個產品在定位上應該是緊緊抓住了當前的熱點同時也是痛點的問題。
其次,從產品本身來看:在功能上,BluBracket提供了程式碼管理和安全檢查兩個功能,但是從僅有的資料來看,安全檢查上似乎功能點並不是十分的吸引人,只能看出來可以對程式碼中存在的金鑰、許可權等的檢測,對於程式碼的脆弱性、漏洞、惡意檔案等敏感的問題,從產品介紹上似乎都看不出能實現這些能力,可以說功能上並不突出。另外再從技術上看,所有的介紹中並找不到任何關於產品實現技術的描述,也沒有相關的技術部落格介紹。
最後,從公司的核心創始人來看,官網公佈的4個核心成員,除去其中一個投資人,其餘的除了CEO有明確的職責外,另外三個人很難看出明確的職責分工,比如技術負責人、市場負責人、銷售負責人等。另外核心成員的履歷背景相對來看也不是特別的好看。所以,在綠盟君看來,BluBracket尚處於發展初期。
· 參考連結 ·
[1] blubracket,https://www.blubracket.com/
[2] DisruptOps,http://dwz.date/wH7
[3] ShiftLeft,http://dwz.date/wJg
[4] https://www.crunchbase.com/organization/blubracket