人物 | 懸鏡安全寧戈：高山流水遇知音，湖畔築夢中國心

 

2022年3月22日，懸鏡安全宣佈完成B輪融資。三年前，懸鏡的CEO子芽，這位未名湖畔的築夢人，接受了安在的採訪，那時的懸鏡剛剛完成產品由十年磨一劍的前沿技術研究到商業化落地的打磨實踐階段。作為公司戰略層面的決策者，子芽對安在的記者說，三年內，要完成創業之初的所有主要設想，要透過更加優越的產品體驗服務和更加接近使用者的本地化技術支援，更好地幫助使用者建立健全的DevSecOps內生積極防禦體系。

 

現在，三年之期已到，子芽當初的設想已經一一實現。從PreA輪的紅杉獨家領投、A輪騰訊產業生態投資的戰略投資，到近期B輪融資又有兩家全球的頂尖資本加持以及紅杉的再次跟投，如今的懸鏡已經成為在DevSecOps領域擁有頭部地位的一線安全廠商。

 

懸鏡能夠在短短三年內完成B輪融資，離不開自身對技術的精益求精、對產品的精雕細琢，也離不開那些長期沉浸於技術創新研究的合夥人大佬，尤其是懸鏡內部公認的“大神”，子芽敬仰的師兄——懸鏡CTO寧戈。

 

走一條不同尋常的路

 

十年前，如果讓計算機專業的同學選擇未來的求職方向，絕大部分都會毫不猶豫地選擇開發。但是對於寧戈而言，相對於開發，他更願意走一條艱難且充滿挑戰的路——開發安全。

 

這種不願隨波逐流的態度也是他選擇懸鏡的原因之一。在北大讀研期間，寧戈與師弟子芽在同一個實驗室鑽研二進位制安全。那時的子芽就已經準備創業了，寧戈聽他談了很多關於創業之後的預期和打算。

 

寧戈畢業後進入了中國資訊保安測評中心（以下簡稱“國測”），但他漸漸意識到，相比於在國測的按部就班，自己更希望加入一家初創公司去感受創業帶來的壓力和激勵，這能使他更快速地提升。因此，為了進一步提高自身能力，也為了展現自己的全部價值，寧戈選擇加入懸鏡，與子芽一起創業。

 

在其他人看來，寧戈與子芽是高山流水遇知音，很多子芽畫出去的“餅”都是寧戈和其他技術合夥人一點一點幫他完成的。這種合作的基礎在大學實驗室裡就已經形成，那時他們的分工便不同，子芽負責制定產品創新方向和團隊管理，寧戈帶頭負責前沿新技術突破和人才技術賦能。到了懸鏡，他們仍繼續沿用這一合作體系，讓懸鏡能夠快速茁壯成長。

 

當然也有過摩擦，寧戈表示，很多時候產生的分歧，都會交由最終的實踐效果以及使用者的態度去解決，如果沒有測試的條件，那麼往往都會聽子芽的。“沒辦法，他是CEO嘛！”寧戈打趣道。

 

任何一家初創公司都會遇到這樣那樣的難題，懸鏡也不例外。寧戈表示，創業初期懸鏡專注於執行時插樁技術研究，在網路安全人才本就缺少的環境下，人手不夠，一人承擔多個工作任務是懸鏡的常態。在人員不足的情況下，對一些關鍵技術的突破就顯得更加重要。

 

另一方面，考慮到市場大環境，懸鏡創立早期一直沒有決心將核心技術商業化。當時國內國外並沒有明確的DevSecOps概念，懸鏡最初只是想提升深度掃描漏洞的能力和自動化程度，鑑於當時的黑盒測試工具都有很多明顯的缺點。此時，他們在北大的學習研究成果派上了用場，子芽、寧戈等師兄弟將在研究生學習期間鑽研出的執行時插樁技術與黑盒技術深度結合，研發出了懸鏡的第一款商業化產品，也是明星產品之一的靈脈IAST灰盒安全測試平臺。

 

早先，在DevSecOps的概念剛開始在國際上被提出的時候，寧戈就敏銳地意識到，原來懸鏡正在摸索的路與DevSecOps出奇的一致。不過一開始，作為一個全新的概念，DevSecOps在國內的認可度、廠商的接受度等方面還是一個未知數，這讓寧戈對此產生過懷疑。

 

誰解伯牙意，唯有鍾子期。讓寧戈打消顧慮、堅持這條路的還是子芽。在多次的深入討論中，子芽與寧戈對DevSecOps的前景和未來產生了高度的默契和共鳴，他們堅信DevSecOps和軟體供應鏈安全是一個巨大的市場，懸鏡鑽研的程式碼疫苗技術就是這個賽道的未來，可以為社會提供巨大的創新價值。

 

最初，大多數軟體開發模式都是瀑布式開發，遵循預先制定的計劃按部就班地完成。這種方式自由度較低，難以根據實際需求進行調整。後來，隨著網際網路行業的逐漸興起，DevOps研發運維一體化成為主要手段，這種將一個又一個小型功能區塊以模組化的方式組合的開發模式讓DevSecOps市場擁有了很大的增長潛力。懸鏡整個團隊對這個判斷深信不疑。

 

腳踏實地的探索

 

方向確立之後，懸鏡還面臨一個情況就是團隊過於學術化。作為懸鏡的“大神”，寧戈表示，懸鏡的每一位工程師都具備精益求精的“學究”氣，也正是因為這樣的氣質，儘管讓懸鏡早期商業化的步子走得極慢，但每一步都踏踏實實。行穩方能致遠，這與子芽三年前接受專訪時的觀點一致。

 

寧戈帶領團隊在接下來的日子裡，針對產品開始夜以繼日地測試、升級，一做就是七年。在這七年中，他們已經記不清構建了多少場景，哪怕在自動化漏洞滲透的檢出率和誤報率方面都提升到了97.7%，他們也並不滿足。

 

PreA輪融資完成後，懸鏡合夥人團隊內部多次討論，這個大賽道後續將異常競爭激烈，需要加大前瞻性佈局從而進一步提升領先的競爭門檻。此刻的寧戈異常淡定，主要原因還是產品。寧戈表示，最開始，懸鏡的步子雖然邁得很慢，產品不多，但整個懸鏡都在不斷突破程式碼疫苗的最關鍵技術，可以做到足夠的專注，產品體驗可以快速迭代到極致。

 

懸鏡產品的核心是技術，寧戈表示，他們的技術是比較紮實的，產品核心引數優秀，其他效能指標和檢出率等方面都足夠吸引人。比如懸鏡安全旗下明星產品之一靈脈IAST灰盒安全測試平臺，作為懸鏡DevSecOps智適應威脅管理體系中上線前測試環節的應用風險發現平臺，透過新一代全場景實時資料流情景分析技術，如執行時應用插樁（含動態汙點追蹤及互動式缺陷定位）、終端流量代理、旁路流量映象、主機流量嗅探、啟發式爬蟲、Web日誌實時分析等和原創AI啟發滲透測試技術賦能傳統IT從業人員，在甲方使用者的組織內部快速建立安全眾測模式，使傳統安全小白（如研發、測試、QA等）完成應用功能測試的同時即可透明實現深度業務安全測試，執行時動態監測開源風險，可以非常精準覆蓋95%以上中高危漏洞，有效防止應用帶病上線。

 

寧戈自始至終對於產品的商業化以及懸鏡的未來並沒有太多擔心，一方面是有子芽的存在，另一方面是他認為，只要好產品被認可，能讓耳熟能詳的公司使用就足以證明懸鏡的實力。

 

這次B輪融資後，寧戈的壓力更大了。一方面是懸鏡正在將DevSecOps整個體系的工具和平臺推向市場，產品線延伸了。另一方面的壓力來自於懸鏡搭建的開源社群——OpenSCA社群。懸鏡將旗下企業級SCA技術開源，透過社群與企業技術人員、大眾開發者進行技術分享和交流，用開源的方式做開源風險治理，讓懸鏡多年沉澱的SCA技術能力高效賦能給更多行業使用者。“所以動力也更足了。”寧戈期待道。

 

懸鏡CTO寧戈出席2021年全球首款企業級OpenSCA技術開源釋出會圓桌論壇

 

回首往昔，更進一步

 

回憶從創業到今天的變化，寧戈表示，當初的懸鏡包括他在內，站在業務和使用者視角看待問題是很大的挑戰。寧戈坦誠自己更專注於技術鑽研，不過他很快意識到“使用者才是我們的超級產品經理”。寧戈將使用者驅動的產品及技術迭代理念應用在實踐中，並因此受益良多。現在，寧戈對於產品迭代和升級的靈感大多都是從使用者處獲取的。在與使用者的交流中，寧戈將懸鏡從“向內認知”帶向了“向外成長”。

 

隨著懸鏡的快速發展，寧戈表示，這幾年團隊最大的變化就是人員多了。隨著員工的不斷增加，如何提升自己的管理能力、如何將每一位員工放在合適的位置上等都是他著手要面對的挑戰。

 

另一方面，相比早期產品在使用者場景的精雕細琢，對每一位使用者的需求他都能很好地洞察和把控，現在，懸鏡的使用者數是之前的數十倍，與使用者保持共同成長的節奏以及快速的響應與交付都讓寧戈承受很大的壓力。對此，寧戈表示要進一步提升團隊管理能力，結合自動化工具，將自身和團隊的效率提升到更高水平。

 

縱有千般變化，卻有一樣始終如一，那就是懸鏡的文化。懸鏡的每一位員工都本著解決問題的態度。同事之間關係簡單，配合默契。無論是社招還是應屆，在懸鏡這個大環境中，大家都比較純粹。寧戈認為，這樣的企業文化使大家都能夠專注於自己應該做的事，讓整個懸鏡穩步有序地快速發展。

 

三年前，子芽對安在說，懸鏡未來要成為一家有技術、有乾貨的公司。如今三年過去了，懸鏡已然完成了B輪數億元人民幣的融資，不僅讓PreA輪領投方紅杉繼續加持，還收穫了原始碼資本、GGV紀源資本等全球頂尖資本的大力支援。除此之外，懸鏡還聯合中國資訊通訊研究院釋出了中國首個《軟體供應鏈安全白皮書（2021）》；成功斬獲“Next-Gen in Open-Source Security（下一代開源安全獎）”，成為中國首家獲得國際領先的電子資訊保安媒體機構CDM頒發“2021 Global InfoSec Awards ”獎項的廠商；成為《2021年度中國數字安全能力圖譜》權威認證的DevSecOps唯一代表者。懸鏡旗下產品靈脈IAST灰盒安全測試平臺成為國內首個透過中國資訊通訊研究院《互動式應用程式安全測試工具能力要求》檢測認證產品。《中國DevOps現狀調查報告》最新發布，懸鏡IAST程式碼疫苗技術引領國際同行，牢牢佔據市場應用率第一，是成績，更是市場和權威機構的認可。

 

對寧戈而言，這種種成就僅僅是對當前工作的肯定，更重要的還是未來的發展，懸鏡的未來不止於此。

 

心懷壯氣，提戈執節

 

懸鏡的意義是什麼？對寧戈來說，懸鏡目前最大的價值和意義就是推動了DevSecOps的發展。作為國內第一家成功實踐DevSecOps的企業，懸鏡每年都會透過舉辦DevSecOps大會以及釋出白皮書，向業界和使用者分享自己的實踐成果，也讓懸鏡的產品幫助更多的企業。

 

DevOps正在快速普及，企業的相關轉型也是必然結果，而安全，是目前中國乃至全世界企業都格外關注的一個重點。懸鏡用其精雕細琢的產品以及快速迭代上線的能力為所有選擇DevOps的企業提供了安全保障。

 

對於懸鏡的未來走向，寧戈表示，目前懸鏡不會盲目開拓新的賽道，先在自身紮根的領域做好做深做精，在此基礎之上依託核心技術再開拓新的產品。當然對於使用者關注的新領域，懸鏡也不會置之不顧，比如基於執行時插樁的程式碼疫苗技術和BAS威脅模擬技術等，都會繼續深入。

 

此外，去年的Apache Log4J事件向業界傳達了一個訊息，那就是開源安全管理需要儘快提上日程。對此，寧戈表示，希望懸鏡打造的開源社群可以成為國內開源愛好者的根據地，讓懸鏡可以透過社群與業界的專業人士進行交流，也讓更多人清楚地瞭解懸鏡的技術。

 

對於懸鏡來說，DevSecOps敏捷安全體系就是懸鏡這些年持續深耕沉澱的主方向。當前，在DevSecOps這條賽道上的廠商逐漸增多，懸鏡不可避免地要面對競爭局面，而懸鏡在行業中的核心競爭力可以概括為三個層面。

 

首先，從技術層面來看。懸鏡沉澱多年的“程式碼疫苗技術”可以做到像疫苗一樣注入到應用內部，在內部清晰看到解析後的資料流，感知業務執行過程的情境上下文。這樣一來，既能診斷應用自身存在的漏洞和缺陷，也能積極防禦外部威脅，進行自主檢測和響應。在這條賽道上，懸鏡擁有的原創專利級核心技術和智慧演算法構築了巨大的行業技術領先優勢。

 

其次，從產品層面來看。懸鏡走的是技術聚焦戰略，也叫做“單探針”產品戰略，在程式碼疫苗技術“單探針”的基礎上，獨創性將由上線前測試環節的應用風險發現平臺靈脈IAST，運營環節的自動化威脅模擬和安全驗證平臺靈脈BAS，運營環節的檢測響應平臺雲鯊RASP等構成的DevSecOps全流程敏捷安全賦能平臺，能幫助使用者逐步構築一套適應自身業務彈性發展、面向敏捷業務交付並引領未來架構演進的內生積極防禦體系，持續升級在華北、華東、華南、華中、西南、港澳等地區的規模化產品服務交付和運營能力，深度覆蓋金融電商、能源電力、智慧製造、電信運營商及泛網際網路等企業級安全市場。

 

第三，從頂層設計的角度來看。在軟體開發以開源驅動、IT基礎設施加速雲化、安全環境日趨複雜的未來，懸鏡致力於深化在中國軟體供應鏈安全關鍵技術創新研發及上下游產業生態前瞻性佈局上的戰略投入，探索出了一套基於原創專利級“敏捷流程平臺+關鍵技術工具鏈+元件化軟體供應鏈安全服務”的第三代DevSecOps智適應威脅管理體系，在DevSecOps敏捷安全、軟體供應鏈安全和雲原生安全等新興應用場景下打造戰略生態閉環。

 

寫在最後

 

人稱“大神”的寧戈並不神秘，在採訪中沉厚寡言、不慌不忙，即便提到懸鏡B輪融資成功，他也並沒有表達出特別的情緒。可只要一提到技術，一說到產品，寧戈的話語中總是充滿自豪。對於自己和團隊夜以繼日的勞動成果，他認為，最大的嘉獎和鼓勵是來自於所有懸鏡使用者的認可。

 

當初從國測來到懸鏡的目標已經基本實現，但在提高個人能力方面，寧戈從未止步。格物致知，厚德載物，在懸鏡多年的磨鍊讓他受益匪淺。“堅持與執著，是我在懸鏡的最大收穫。”寧戈道。

 

誠然，無論是寧戈還是子芽，抑或懸鏡的每一位成員，都在用實際行動向外界表達：找對方向並且不斷堅持，熱愛執著追求的過程，離成功也就不遠了。

 

 

在網路安全領域，寧戈以技術為琴，奏的是《高山流水》。他能敏銳地洞察到未來的技術趨勢並進行超前的研究創新工作。但曲高並不和寡，有子芽，有團隊與他和奏。寧戈和子芽，這對一同從未名湖畔走出來的北大師兄弟，在懸鏡的目的非常純粹，是想在DevSecOps這個新的領域，憑藉自身獨有的技術創新和發明，幫助中國的安全產業向新的未知空間做更深入的探索，從由人類已有的認知實踐畫成的圈內向外再踏出寶貴一步。

 

未來等待寧戈和懸鏡的勢必是機遇與挑戰並存，對此寧戈已經做好了充足的準備。或許，正是有像寧戈這樣的“大神”，才能讓懸鏡在網路安全領域大放異彩，才能讓中國網路安全包羅永珍。