万丈高楼,未必总要从地起。重复造轮子,对与效率至上的IT业而言,从来都是个贬义词。开源共享,正是这一精神的技术实践。
过去十年,开源已成为许多科技公司底层技术栈的重要组成部分。云和AI的高速发展更加速了这一趋势,使Kubernetes、TensorFlow、Jenkins和OpenCV等开源项目,成为应用开发和基础设施建设团队的日常。
网络安全也不例外,开源早已进入网络安全产品和运营领域。Snort、OpenSSL、Yara、Wireshark等经常出现在安全厂商的工具库中,如何更好的使用开源工具,也是InfoSec文化不可分割的一部分。
随着DevSecOps理念的发展,开发人员在安全方面的意识也在持续提升。他们在选取安全工具时,角度与传统安全工程师截然不同:开发人员会考虑在构建、测试和部署应用程序所需的一组工作流步骤中嵌入安全性,这种方法与安全专业人员非常不同,他们通常从安全目标开始,并相应地选择工具。
网络安全从业人员,对开源的感情也很矛盾。一部分人深恶痛绝咬牙切齿,因为最先从开源中受益的是攻击者,比如各类免费开源攻击工具;但也有支持者,认为网安行业是开源的受益人,除了研发商业安全产品可以通过开源加速,大量的网络安全框架、知识、模型以及威胁情报,都在以开源方式分享。
但当前,开源安全工具众多,目前整体市场依然有点混乱,且实践使用效率不高。经常会看到许多机构发布不同维度的“最佳安全开源工具”列表,但这些列表大都仅仅停留在工具介绍和推荐层面,往往没有评分评级以及对比分析。融合上也有很多问题,许多攻击类工具(比如漏洞扫描)虽然被大众所熟知,但使用中往往是孤立的,许多类似的固定目的开源工具也都只被特定领域内的用户所知,对于新人而言,没有集中高效的方法来发现新开源工具。而且,开发人员和安全从业者一般都会通过GitHub等平台来寻找,但工具质量参差不齐,筛选评估要消耗大量时间。
Open source cybersecurity tools, by Christopher Luft from LimaCharlie
如何更高效的发现并追踪最受欢迎、增长最快的安全开源工具,开源工具未来又能如何走出一条不同的商业化之路?2022年12月8日,一个名为OSSI(Open Source Security Index)的网站悄然上线,或许会给现有的网安市场,带来一些新的思考。
OSSI的缘起
为了更好地跟踪开源软件在网络安全基础设施和应用程序中的扩散,Atlantic Bridge的Andrew Smyth和Rain Capital的Chenxi Wang创建了OSSI开源安全指数,作为开发人员和安全工程师寻找和识别最佳开源安全技术的免费资源。
在DarkReading的报道中,Chenxi Wang表示,创建OSSI是因为他们在寻找一个好的、有代表性的开源安全项目列表时,遇到了挑战,于是决定自己搭建。
Chenxi Wang, Rain Capital
Andrew Smyth, Atlantic Bridge Capital
OSSI列出了GitHub上最受欢迎和增长最快的100个安全项目。为了构建此索引,他们会使用GitHub API根据标签和主题提取项目,并手动添加缺少标签的项目。OSSI将搜索范围限定在被视为直接安全工具的项目上,那些对安全有影响、但更属于基础设施能力的项目(比如Terraform、Elastic、Istio和Envo Envoy)不包括在这里。
OSSI还对开源项目中会使用到的编程语言和开源软件许可协议的选择,也做了统计,从中同样可以观察到开源生态的倾向和变化。
在Andrew Smyth和Chenxi Wang看来,开源安全的演变将遵循与企业基础设施相同的轨迹,越来越多的安全从业者选择开源作为基本战略,因为它具有可扩展性、灵活性和实施透明度。此外,复杂的安全团队开始具有了“左移”的认知,管理安全策略和操作就像管理“代码”。因此,与开发和部署专有软件工件的传统方式相比,开源策略提供了明显的优势。
今天,OSSI也许目前还不完美,但确是构建一个结构化的、全面的、有意义的开源工具列表的起点。
OSSI的筛选和评分机制
分类和排序,从来都是人们认知世界的最快方式。OSSI根据“索引分数原则”对开源项目进行排名,索引分数是从GitHub检索的六个指标的加权平均值。它们包括:
星数:30%
贡献者数量(滤除机器人和匿名帐户):25%
在过去12个月中的commit数量:25%
观察者人数:10%
观察者人数月增长:5%
Fork数:5%
基于这种评分方法,OSSI在网站上列出了前100名的GitHub安全开源项目。OSSI会持续迭代,每月刷新数据以保持列表更新。目前的前25名列表包括Metasploit、Wireshark和OS Query等熟悉的工具,但也有一些相对较新的进入者,如Cilium、Checkov和Calico,它们是专门为现代云原生基础设施而设计的。
OSSI发布后,迅速在业界激起众多反响,许多创新厂商和开源项目发起方都开始关注并讨论,Momentum Cyber也将OSSI纳入到「Cybersecurity Snapshot for November 2022」报告之中。
从OSSI中的前25名,可以观察到一些有趣的趋势:
攻击和红队开源工具仍然很受欢迎:比如Metasploit、OSS Fuzz、Atomic Red Team和Zap等等;
现代基础设施的安全越来越受关注:Cilium、Trivy、Calico和Sysdig等项目正变得越来越受欢迎。这些项目旨在与较新的云原生基础设施合作,如k8s、容器和微服务。这一事实表明云正成为安全运营的主流;
自动化和“代码”工作流开始出现:值得注意的是,启用自动化和“代码”工作流程的项目也出现在榜首位。例如,Nuclei是一个专注于漏洞管理的快速增长项目,被bug研究人员、红队和防守者广泛使用;Sigma是另一个实现攻击检测方法自动化和共享的项目。
安全开源项目的商业化思考
当前,开源安全项目商业化有几种模式:
纯开源:传统的方法是构建和维护开源项目,而不打算收费或围绕项目组建公司;
基于第三方开源项目的商业公司:一家商业公司建立在现有开源项目之上,并为项目的开发和维护做出了巨大贡献;
拥有开源项目的商业公司:一个较新的方法是,通过一个与社区共享的开源产品来创建一家公司。该项目的部分资金由该公司的盈利承担。
从开源出发走向商业化的好处有很多。开源安全产品会相对标准化;如果一个产品对开发人员友好,并且足够标准化,那么它很可能已经成功地为一个高增长的商业公司创建了用户社区。开源项目通常会以免费方式先运营,直到认为有足够的吸引力、可以并且应该将其商业化;如果项目没有达到那种水平,依然是对网络安全社区的贡献。
投资者对于开源的看法,不尽相同。有些投资者并不认同开源,因为无法保障核心知识产权;但当前也有许多成功的开源产品公司的例子,其中包括网络安全和跨技术领域的多家上市公司,因此也有许多投资者不再回避对开源公司的投资,因为开源战略是否成功,最终取决于公司建立的业务模式;部分精明的投资者认识到开源产品有其独特的优势,用户可以在开源环境中测试和使用工具,这为创始人提供了一个很好的反馈回路,帮助他们高效精准确定其软件的独特优势所在。
OSSI的两位创始人也同样是投资者,Momentum Cyber在与他们的交流中,获得了许多启发。OSSI团队通过其所在机构的投后企业,可以近距离观察初创公司会如何通过开源项目以建立用户社区,以及这种方法能获得多大的吸引力;这促使他们进一步在更广义维度上来思考安全产业,进而转化为行动-建立一个有助于OSS社区的索引,而不是止步于纸上谈兵。
国内的安全开源项目商业化探索
在近年来蓬勃的国内网安创业浪潮中,对开源项目的实践和商业化探索,也在不断涌现。2017年8月,百度发布了第一版OpenRASP;2018年7月以来,长亭科技陆续开源了语义分析自动机生成引擎“偃师”、webshell检测引擎“牧云”、漏洞扫描策略“xray”、容器安全引擎“问脉”等一系列产品;2020 年 12 月,字节跳动安全与风控团队开源了Elkeid CWPP(Cloud Workload Protection Platform);2021年9月,火线安全宣布正式开源 IAST安全产品洞态;2021年12月,悬镜首款企业级OpenSCA技术开源发布;2022年7月,蚂蚁集团宣布开源通用隐私计算框架隐语Secret-Flow,原语科技开源了隐私计算平台Primihub,等等。
安全开源项目,目前在国内的社区接受度如何,未来的商业化又会如何发展?
长亭科技产品总监李昌志表示,当前国内开源安全社区相比全球存在差距,原因主要有两点。一方面国内安全工程师和开发工程师之间存在文化屏障,同时具备架构能力、安全能力、开发能力的工程师少之又少,开源项目缺乏被孵化的基础;另一方面,国内安全市场不完全是以技术为导向,以开源为主要商业模式的企业尚未登上舞台中央,开源项目缺乏商业化的支持。
值得乐观的是这些现象正在以肉眼可见的速度发生变化,最近几年涌现了不少优秀项目。长亭也在 github 开源了多个项目,有不少项目都能与商业化产品形成正向配合,其中xray 扫描策略截至目前已获得 7.8K 的 star 数,这个成绩放在全球范围内也算得上名列前茅。
“我个人对开源安全社区的发展持比较乐观的态度,相信假以时日国内必然会出现国际顶尖的安全开源项目”,李昌志说。
火线安全CEO邬迪认为,安全作为基础设施的一类,开源是趋势。国内的开源社区还在探路中,安全的开源则更早期,项目方和用户方都需要探索和相互教育。其说道:“开源的商业化我们长期看好,但中短期内由于消费能力、知识产权意识、合规等方面的差异,与北美等成熟市场的开源商业转化相比还是有非常巨大的差距的,仅在开源基础上提供服务响应能力的模式挑战会很大,需要在产品和服务上有相对明显的区隔。另外,开源项目方需要对开源的商业转化有理性的评估,本质上依然要参照商业市场的规模来制定商业目标。”
字节安全陈越Elkeid表示,Elkeid从成立之初就确定了开源和商业化并行的路线,且开源版本与商业化版本代码始终保持一致。陈越说道,“我们认为这两者是可以相辅相成的,开源社区的用户大多都是工程师,他们的反馈很好的帮助到了Elkeid的成长,而持续推进商业化也给社区带来了更多的关注度;在这个过程中产品能力的提升也会回馈社区,帮助更多工程师解决实际问题。Elkeid 会持续推进开源的工作,也希望有更多感兴趣的小伙伴加入Elkeid社区。同时我们也看到国内长期维护且创新突破的开源项目在逐渐增加,开源的影响力会愈发明显,相信这也最终会对各相关细分行业带来新的推动力。”
投资人又会如何看待开源这种商业模式呢?繁星创投的创始合伙人许俊认为,开源是不是一种好的商业模式,确实是有争论的。但是,从投资人的角度,如果仅以是否有IPO退出机会来衡量,业界还是有不少成功案例的。最早的如RedHat(1999年上市),后续有数据库领域的MongoDB(2017年上市) 大数据领域的Cloudera(2018年上市), 搜索引擎领域的Elastic (2018年上市)等。国内也有最近刚上市不久的大数据公司星环科技。不过,从技术/产品角度来看,这类依托开源模式成长起来的公司基本上都是基础软件领域的,开源模式不仅是一种获客的方式,也帮助其解决了生态的问题。因此,回到网络安全领域,是不是也是网安的基础工具/平台才是最适合用开源模式来发展的呢?
国内安全开源项目的商业化之路,未来将如何成长?我们拭目以待。
相关链接
https://limacharlie.io/blog/open-source-cybersecurity-tools
https://opensourcesecurityindex.io/
https://www.darkreading.com/application-security/where-to-find-the-best-open-source-security-technology
https://momentumcyber.com/cybersecurity-snapshot-november-2022/
https://www.linkedin.com/in/andrew-smyth-3a1078b4/
https://www.linkedin.com/in/chenxiwang88/
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。