2020年2月24日-28日，網(wǎng)絡(luò)安全行業(yè)盛會(huì)RSA Conference將在舊金山拉開(kāi)帷幕。在RSAC官方宣布入選今年創(chuàng)新沙盒十強(qiáng)初創(chuàng)公司中，綠盟君已經(jīng)為大家介紹過(guò)了Elevate Security 、Sqreen、AppOmni、Tala Security、ForAllSecure、INKY六家廠商，今天為大家介紹的是：BluBracket。

一、公司介紹

BluBracket于2019年成立，總部位于美國(guó)加州，是一家專(zhuān)注于代碼安全的初創(chuàng)公司。當(dāng)前由Unusual Ventures、SignalFire、Point72 Ventures和Firebolt Ventures共同投資650萬(wàn)美元作為其種子資金，當(dāng)前處于種子輪。

BluBracket在其官網(wǎng)上指出，公司的定位是：提出當(dāng)前業(yè)界首個(gè)也是唯一一個(gè)全面的代碼安全解決方案。作為一家成立剛剛一年的公司就能進(jìn)入創(chuàng)新沙盒決賽，必有其過(guò)人之處。

二、背景介紹

在具體介紹其產(chǎn)品前，我們先看一下公司的董事會(huì)成員以及背景經(jīng)歷。

Prakash Linga，公司的創(chuàng)始人兼CEO，2007年于康奈爾大學(xué)獲得Computer Science博士學(xué)位。之后在Moka5作為技術(shù)總監(jiān)工作了4年(Moka5是一個(gè)成立于2005年的桌面虛擬化公司，于2015年停止運(yùn)營(yíng))。然后就開(kāi)始了其創(chuàng)業(yè)之路，從其在Linkedin上的資料來(lái)看，從2011年至今，已經(jīng)創(chuàng)辦了三家公司：

第一家公司是RAPsphere(2011.4—2012.5)，Linga作為創(chuàng)始人、CTO和技術(shù)VP，從網(wǎng)上僅存的一些介紹中，大概可以看出，RAPsphere主要提供移動(dòng)安全、應(yīng)用和設(shè)備管理服務(wù)，為企業(yè)和員工的移動(dòng)設(shè)備提供安全的設(shè)備控制、管理和可見(jiàn)性。很不幸的是，這個(gè)公司只存活了一年多。

然后其在2014年又創(chuàng)立另一家公司，Vera Security，主要做數(shù)據(jù)安全。Vera提供了一種數(shù)據(jù)安全的解決方案，使各種規(guī)模和位置的企業(yè)能夠輕松地跨所有平臺(tái)和設(shè)備保護(hù)和跟蹤任何數(shù)字信息。通過(guò)全面的數(shù)據(jù)安全和實(shí)時(shí)控制，允許人們使用任何想要的平臺(tái)和設(shè)備，同時(shí)確保最高級(jí)別的安全性、可視性和控制。

在2018年8月，Linga離開(kāi)了Vera，創(chuàng)辦了BluBracket，任CEO，從其履歷和Linkedin上的自我介紹來(lái)看，Prakash Linga這個(gè)印度小伙將自己定位為一個(gè)連續(xù)的創(chuàng)業(yè)者和天使投資人。

Ajay Arora，BluBracket的另一個(gè)合伙人，同樣給自己的標(biāo)簽也是連續(xù)的創(chuàng)業(yè)者和天使投資人，Ajay Arora可以算是Prakash Linga的老搭檔了，從RAPsphere的Co-Founder、COO和產(chǎn)品VP，到Vera的CEO、Co-Founder，甚至二者還曾經(jīng)共同就職于AppSence分別擔(dān)任VP。從Ajay Arora的履歷中可以看出來(lái)，從產(chǎn)品、解決方案管理，到市場(chǎng)運(yùn)營(yíng)管理，可以說(shuō)是什么都做過(guò)了。但是除了前文提到的這幾個(gè)創(chuàng)業(yè)公司之外，其他就職過(guò)的公司似乎很少是做安全相關(guān)的。

BluBracket董事會(huì)的另外兩名成員，從其個(gè)人簡(jiǎn)歷介紹中，并未提及BluBracket的任職職務(wù)，其中Jim Zemlin當(dāng)前是Linux基金會(huì)的執(zhí)行董事，另外一位John Vrionis是BluBracket投資方Unusual Ventures的創(chuàng)始人。

三、產(chǎn)品介紹

接下來(lái)我們看一下BluBracket的產(chǎn)品，公司成立于2019年，是此次創(chuàng)新沙盒所有公司中“最年輕”的一個(gè)，也是融資金額最少的一個(gè)(650萬(wàn)美元)。從其官網(wǎng)上看，對(duì)公司的各項(xiàng)介紹都少的可憐，也可能是因?yàn)槌闪r(shí)間太短，公司的主要精力還集中在產(chǎn)品的研發(fā)上。

BluBracket對(duì)其產(chǎn)品的定位是：當(dāng)前業(yè)界首個(gè)也是唯一一個(gè)全面的代碼安全解決方案。公司的口號(hào)為“Security at the speed of code”，綠盟君理解應(yīng)該是“讓安全的保障和代碼迭代一樣的快”。

為了支撐這樣的定位，BluBracket當(dāng)前提供CodeInsights和CodeSecure兩款產(chǎn)品，組成其代碼安全解決方案。

1. CodeInsights

從產(chǎn)品介紹上看，CodeInsights主要提供的是代碼的管理功能。

當(dāng)前無(wú)論是敏捷開(kāi)發(fā)，還是DevOps，任何一個(gè)軟件項(xiàng)目，其代碼管理都是一個(gè)重要問(wèn)題，尤其是從安全的角度來(lái)看，大量的開(kāi)源項(xiàng)目應(yīng)用、大量的開(kāi)發(fā)人員不斷進(jìn)行代碼的更新，以及快速的代碼迭代。能夠?qū)φ麄€(gè)項(xiàng)目的代碼進(jìn)行全視角的查看和追蹤，無(wú)論是對(duì)代碼的規(guī)范性管理還是脆弱性管理，都有著重要的意義。

如今協(xié)作式編碼工具，為研發(fā)管理提供了極大的便捷性，但是同時(shí)也導(dǎo)致了代碼擴(kuò)散不清晰的問(wèn)題。CodeInsights主要為企業(yè)提供了代碼環(huán)境視圖(BluPrint)，這樣用戶(hù)就可以知道自己的代碼在哪里，無(wú)論是組織內(nèi)部還是外部，誰(shuí)可以訪問(wèn)它。最重要的是，用戶(hù)就可以對(duì)最重要的代碼進(jìn)行分類(lèi)，這樣就可以為任何審計(jì)或規(guī)范性要求顯示詳細(xì)的追蹤鏈。

2. CodeSecure

BluBracket提供的另一款產(chǎn)品叫CodeSecure，從名字理解，是保證代碼安全的。通常，使用Stack Overflow、Github或其它開(kāi)源的代碼協(xié)作工具，通常會(huì)對(duì)企業(yè)安全構(gòu)成嚴(yán)重的威脅。CodeSecure可以檢測(cè)代碼中的密鑰，并確保代碼中沒(méi)有敏感的密碼，或者是令牌被盜用、錯(cuò)誤的處理或誤用。CodeSecure還可以讓用戶(hù)識(shí)別、預(yù)防甚至阻止代碼從企業(yè)中意外或惡意的流出，保證企業(yè)代碼的隱私性。

下面的兩張圖是其官網(wǎng)上貼出來(lái)的產(chǎn)品界面截圖，從截圖上，我們可以大概的看一下它具體的功能，比如能夠在代碼倉(cāng)庫(kù)中識(shí)別到AWS的token，能夠識(shí)別出代碼倉(cāng)庫(kù)中存在的密鑰，能夠識(shí)別代碼倉(cāng)庫(kù)的訪問(wèn)權(quán)限等安全告警。還能夠?qū)Υa倉(cāng)庫(kù)、開(kāi)發(fā)者、開(kāi)發(fā)環(huán)境等信息進(jìn)行集中的管理和監(jiān)控。

四、歷屆創(chuàng)新沙盒與DevSecOps

代碼安全更廣義的范疇，可以劃分到DevSecOps里面。DevSecOps的理念和架構(gòu)，近年來(lái)越來(lái)越多的為人們所青睞。Gartner從2016年起，就持續(xù)的將DevSecOps列入其年度Top10安全技術(shù)和項(xiàng)目中。下圖是Gartner發(fā)布的經(jīng)典DevSecOps閉環(huán)模型。

隨著敏捷開(kāi)發(fā)、DevOps的飛速發(fā)展，DevOps全流程自動(dòng)化的工具鏈相對(duì)來(lái)講已經(jīng)比較成熟和完善，在眾多規(guī)模性的企業(yè)得到了較好的應(yīng)用和推廣。然而要想實(shí)現(xiàn)DevSecOps閉環(huán)模型，還需要重點(diǎn)解決以下幾方面的問(wèn)題：

• 切實(shí)有效的安全工具，實(shí)現(xiàn)每個(gè)階段對(duì)應(yīng)的安全能力;
• 能夠友好的集成到DevOps工具鏈生態(tài)中，實(shí)現(xiàn)完全的安全自動(dòng)化;
• 要能夠保證其效率與性能，使得安全能力的接入，不會(huì)影響到DevOps流程的性能。

在市場(chǎng)和技術(shù)的推動(dòng)下，近年的創(chuàng)新沙盒中，多次出現(xiàn)DevSecOps相關(guān)產(chǎn)品，比如今年的ForAllSecure，2019年的DisruptOps(云基礎(chǔ)設(shè)施檢測(cè)與修復(fù))、ShiftLeft(軟件代碼防護(hù)與審計(jì))等。

1. DisruptOps

多云和敏捷開(kāi)發(fā)是云計(jì)算的熱點(diǎn)，DisruptOps以SaaS化的服務(wù)方式，通過(guò)對(duì)用戶(hù)的多個(gè)云資源進(jìn)行安全與操作問(wèn)題的快速檢測(cè)并自動(dòng)修復(fù)，一方面節(jié)省了客戶(hù)上云的成本，另一方面實(shí)現(xiàn)對(duì)云基礎(chǔ)架構(gòu)的持續(xù)安全控制，在安全、運(yùn)營(yíng)和成本等方面，給用戶(hù)帶來(lái)最大的收益。此外，借助自動(dòng)化和服務(wù)編排的技術(shù)，推動(dòng)云原生應(yīng)用和DevSecOps的落地。

2. ShiftLeft

ShiftLeft創(chuàng)新性的提出基于多層圖表的代碼分析方法，將全部應(yīng)用代碼進(jìn)行多層次的、可擴(kuò)展的圖的方式展現(xiàn)。圖能完整包含代碼的多種元素，完整展現(xiàn)代碼細(xì)節(jié)，比如語(yǔ)言、自主開(kāi)發(fā)代碼、開(kāi)源代碼(OSS庫(kù)、SDK)、不同類(lèi)別，方法等。從而可以從圖中清晰的理解數(shù)據(jù)流動(dòng)，快速識(shí)別數(shù)據(jù)泄露，關(guān)鍵漏洞等。而且掃描速度極快，10分鐘分析50萬(wàn)行代碼，適用于DevOps場(chǎng)景，能夠直接和CI/CD無(wú)縫結(jié)合，發(fā)現(xiàn)每個(gè)產(chǎn)品版本的問(wèn)題，效率極高。通過(guò)將代碼分析和ShiftLeft的應(yīng)用微代理結(jié)合起來(lái)，能夠深刻理解漏洞，并針對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序。

四、總結(jié)

首先從市場(chǎng)來(lái)看，隨著云原生、微服務(wù)、敏捷開(kāi)發(fā)DevOps等越來(lái)越多的實(shí)現(xiàn)落地應(yīng)用，代碼安全確實(shí)是一個(gè)亟需解決的問(wèn)題。前文也有提到，在整個(gè)DevSecOps閉環(huán)中，如何高效的實(shí)現(xiàn)開(kāi)發(fā)階段的代碼安全，對(duì)于整個(gè)DevSecOps有著重要的意義。所以說(shuō)，這個(gè)產(chǎn)品在定位上應(yīng)該是緊緊抓住了當(dāng)前的熱點(diǎn)同時(shí)也是痛點(diǎn)的問(wèn)題。

其次，從產(chǎn)品本身來(lái)看：在功能上，BluBracket提供了代碼管理和安全檢查兩個(gè)功能，但是從僅有的資料來(lái)看，安全檢查上似乎功能點(diǎn)并不是十分的吸引人，只能看出來(lái)可以對(duì)代碼中存在的密鑰、權(quán)限等的檢測(cè)，對(duì)于代碼的脆弱性、漏洞、惡意文件等敏感的問(wèn)題，從產(chǎn)品介紹上似乎都看不出能實(shí)現(xiàn)這些能力，可以說(shuō)功能上并不突出。另外再?gòu)募夹g(shù)上看，所有的介紹中并找不到任何關(guān)于產(chǎn)品實(shí)現(xiàn)技術(shù)的描述，也沒(méi)有相關(guān)的技術(shù)博客介紹。

最后，從公司的核心創(chuàng)始人來(lái)看，官網(wǎng)公布的4個(gè)核心成員，除去其中一個(gè)投資人，其余的除了CEO有明確的職責(zé)外，另外三個(gè)人很難看出明確的職責(zé)分工，比如技術(shù)負(fù)責(zé)人、市場(chǎng)負(fù)責(zé)人、銷(xiāo)售負(fù)責(zé)人等。另外核心成員的履歷背景相對(duì)來(lái)看也不是特別的好看。所以，在綠盟君看來(lái)，BluBracket尚處于發(fā)展初期。

· 參考鏈接 ·

[1] blubracket，https://www.blubracket.com/

[2] DisruptOps，http://dwz.date/wH7

[3] ShiftLeft，http://dwz.date/wJg

[4] https://www.crunchbase.com/organization/blubracket