Snyk 是 Dev-first Security (開發者優先的安全應用)的開創者和布道者,創造了第一個真正面向開發者的應用安全工具,憑借史上最完備的商用代碼漏洞數據庫,和快于其他代碼分析技術 10~50 倍的掃描速度,真正賦能了開發者對安全問題的實時監測和自我反饋。
在 Snyk 出現之前,代碼安全問題由安全團隊負責,編寫代碼和維護代碼、安全測試、事故解決的鏈條是嚴重割裂的。而隨著現代開發需求的數量、速度、復雜程度的陡升,科技企業意識到不能再后驗地進行“安全審計”,而要把安全問題的主導權交給開發者,打贏大代碼時代的科技戰。
Snyk 以對代碼漏洞的理解深度著稱,其獨特的“安全智能”工具幫助開發者們持續監測可能發生的漏洞,并不斷自動化安全性能升級。Snyk 幫助開發者們在開發生命周期中一以貫之地查找、修復和監測代碼的脆弱性,讓開發者更好地應對紛繁復雜的微服務、API,以及日益增長的復雜性。
Snyk 在開發者圈飽受好評,也收獲了許多重要客戶,包括 Google, Salesforce, Revolut, MongoDB 等,目前已經被兩百多萬開發者使用,擁有1200多家科技公司客戶。
公司于今年 9 月初獲得了 Tiger, BlackRock, Temasek 以及 Accel 的 F 輪,不到一個月內,Salesforce 和 Atlassian 又追加了 7500 萬美金,F 輪總融資金額超過 6 億美金,公司估值達到了 85 億美金。
從開源安全起家,慢慢拓展到云原生應用安全的方方面面, Snyk 對容器化、基礎設施即代碼等新趨勢的布局相當迅速。同時 Snyk 還在穩固大本營的路上,今年連續收購了 FossID, CloudSkiff 兩家開創性的開源安全公司。我們既期待 Snyk 在所擅長領域的縱深,又對其不斷拓寬云原生應用安全的邊界充滿想象。
以下為本文目錄,
建議結合要點進行針對性閱讀。
01. 背景:開發復雜性陡升和開發者崛起
網絡安全“新元年”下的大變遷
開發者及其生產工具的崛起
02. 創始心路:以開發者優先為北極星
03. 產品發展:向云原生應用安全出發
強大的漏洞庫和 Peace-of-mind 的自動修復
收購 DeepCode:AI-driven 更快更精確的 SAST 方案
容器化和基礎設施代碼化大趨勢
04. 客戶與競爭格局
05. 未來的三個命題
Snyk 是 2015 年誕生的,5 年內,Snyk 在開發者安全領域掀起了一場 Shift Left Movement,shift left 意思是把測試時間提前,在這里意味著開發階段就引入安全檢查工作,確保代碼庫從一開始就以安全為目標進行設計,而不是流程結束時再檢查安全問題。
也就是說,Snyk 認為,代碼安全問題的主導權應該向鏈條上游移動,并無縫整合進開發者的工作流當中,而這必然需要一定程度的自動化。那么 Snyk 能引領這場運動的大背景是什么?
網絡安全“新元年”下的大變遷
2020 年是網絡安全投資創紀錄的一年,全球的投資額超過 78 億美元,2021 年的投資記錄甚至更高。近兩年網絡安全領域的獨角獸將近 20 家,也是創記錄的成績。
2020 年 4 月,聯邦調查局網絡部門報告稱,由于黑客利用遠程工作的漏洞,每天的網絡安全投訴增加了四倍。網絡漏洞的成本相當高昂,無論是從解決問題的成本方面,還是從信任缺失后失去客戶的潛在成本方面。因此,科技公司對于網絡安全工具的支付意愿因此也是很強的。
根據 Gartner 的報告,到 2024 年,信息安全和風險管理市場的終端用戶支出預計將達到 2077 億美元。微軟今年 9 月宣布,將在未來五年內將其網絡安全上的投資翻四倍,達到 200 億美元。
為什么市場這么火?
Northzone 的 VC 投資人 Wendy Xiao Schadeck 在‘The Future Belongs to Devs’一文中很好地概括了當下軟件開發格局的幾大重要變遷,其中很重要的兩點是:
為了解耦代碼構建過程,降低開發門檻,單體應用程序被分解為了成百個微服務。這能夠增加敏捷性、降成本、提高效率,但也大大增加了 DevOps 的復雜性,以及新軟件和數據饋送出入口數量。進而增加安全風險。 Kong 在去年的一次調研顯示,84% 的大中型組織已經采用了微服務,且平均每個組織部署了 180 多個微服務。而安全性問題是使用微服務過程中的最大挑戰。
灰度調整旗下基金持有的加密資產敞口,新增AVAX、DOT和ATOM,移除SUSHI和SNX:金色財經報道,灰度從其DeFi基金中剔除了Synthetix(SNX)和SushiSwap(SUSHI)兩個代幣,作為今年第一個季度再平衡的一部分。因SNX與SUSHI兩個加密貨幣未能滿足所要求的最低市值。在整個再平衡過程中,沒有其他加密貨幣被淘汰。此外,灰度數字大盤基金買入Avalanche (AVAX) 和 Polkadot (DOT),配置約為3.3%,沒有移除代幣。Smart Contract Platform Ex-Ethereum Fund添加了Cosmos (ATOM) 。Grayscale的DeFi基金于去年7月推出,目前持有大約800萬美元的資產。[2022/4/7 14:09:59]
隨著 API 的激增(一定程度上也是由于微服務和 GraphQL 的流行),有越來越多的構建單元供開發人員構建。在 API 集成的幾大挑戰中,安全問題也在前列。
在這樣的背景下,Snyk 所做的,就是幫助開發者們在開發生命周期中一以貫之地查找、修復和監測代碼的脆弱性,讓開發者們更好應對紛繁復雜的微服務、API,以及日益增長的復雜性。
什么是脆弱性?就是在軟件和硬件組件中發現的計算邏輯(例如代碼)中的弱點,一旦被利用,會對機密性、完整性或可用性產生負面影響。在這種情況下,漏洞的緩解通常涉及編碼更改,但也可能包括規范更改甚至規范棄用(例如,完全刪除受影響的協議或功能)。
比如,JavaScript 的漏洞會使項目容易受到 Cross Site Scripting、Cross Site Request Forgery 等不同形式的攻擊。由于開源 JavaScript 項目近年來呈指數級增長,并且它們直接或間接地依賴于一些廣為使用的函式庫(如 lodash),導致 npm(全世界最大的 software registry)的漏洞單單在 2018 年一年就增長了 47%。
近日,被全球廣泛應用的組件 Apache Log4j 被曝出一個已存在在野利用的高危漏洞,攻擊者僅需一段代碼就可遠程控制受害者服務器。這一漏洞堪比“永恒之藍” ,已發現近萬次攻擊。
用一句話概括,現代軟件開發的復雜性帶來脆弱性,脆弱性中 Snyk 應運而生。
開發者及其生產工具的崛起
曾經,科技巨頭會給開發者們提供自研的生產工具,將其作為一種公共物品補貼給他們,甚至開發給其他中小科技公司免費使用,比如微軟的 Visual Studio Code。因此,開發者社群流通著很多免費工具,但產品體驗都很一般,更沒有向外界采購更優產品的自主權。風投之所以不愿投資開發者體驗 (DX) 領域,就是因為后發的這些開發者工具提供商很難跟巨頭的免費產品正面肉搏。
但開發者的地位今非昔比了,目前開發者群體的數量達到 2700萬人,比澳大利亞的人口還多,增長速度快于巴西的人口,并有望超過加拿大的人口。他們支撐著現代最重要的科技變遷,區塊鏈技術、云原生、甚至低代碼、無代碼和創作者經濟,開發者們的作用是支柱性的。
于是,圍繞開發者為中心誕生了一批最有價值的科技公司:包括 Atlassian、MongoDB、Splunk、Datadog、Elastic、HashiCorp、和 Twilio 等上市公司,以及 Stripe、Auth0、Snyk 和 Unity 等獨角獸公司,都通過直接為開發人員構建(build with developers in mind)大獲成功。
效率工具越來越多的同時,開發團隊構建新功能、觸達消費者并不斷進行適應性調整的能力和速度,也在經受考驗。
一方面,隨著企業基礎設施轉向云,流程轉向 DevOps,代碼的部署速度以及系統性能指標都成為開發者的職責。Datadog 就是通過幫助開發團隊直接監控整個堆棧的性能而成為獨角獸的,上市后已達到 560 億美金市值。Snyk 則是幫助開發人員在軟件開發生命周期(SDLC)中構建開源代碼安全性,讓其客戶從根本上解決問題,而不是依賴單獨的流程來查找和修復它們。
Glassnode:10月BTC期貨未平倉合約雖高但交易量卻在下降:金色財經報道,據Glassnode最新分析顯示,10月BTC衍生品市場未平倉合約和交易量明顯增加,特別是在期權市場,未平倉合約增加了107%(63億美元),接近歷史最高點,其中最受歡迎的期權合約似乎是行權價高于10萬美元的看漲期權,年底到期的看漲期權的未平倉合約約為2.5億至3.5億美元。相比于巨量的看漲期權未平倉合約,看跌期權的未平倉合約相形見絀,這與整體看漲的市場情緒一致。盡管期貨的未平倉合約接近歷史前高,但從宏觀上看,交易量似乎在下降,而且自5月的大跌以來一直如此。在高持倉量但低成交量的環境下,這可能會增加清算瀑布式大跌的概率,因為一旦開始清算,當前的成交量可能不足以支持沖破。[2021/10/25 20:54:25]
未來還會有更多業務指標可以直接集成到開發工作流程中,例如身份驗證和隱私(Magic.Link、Evervault、Metomic)和云優化(Northflank、Env0、Cloudskiff)。
另一方面,隨著技術進一步從成本中心轉向利潤中心,開發者們作為天然的 power users,可以無限優化生產力。David Ulevich 曾在一次 a16z 的演講中高度概括了開發人員的典型工作方式,這些工作方式在帶來生產力的同時也隨之帶來了一些安全隱患:
這里我們可以就其中“Don't Repeat yourself”舉一個很好理解的例子:
為了不重復耗力,開發者們往往去 git repository 和類似的代碼庫上找一些現成的包(微軟 CEO 在一次 Node 峰會上說過,常常會發現一個包裹中只有2%的代碼是開發者自己寫的,其他都是第三方代碼)。
就像建設大樓不需要從鋼筋水泥開始鑄起,而是可以采購已有的材料,這種上下游的依賴關系在軟件行業被稱為“dependencies / 依賴項”。依賴項可以是企業維護的,也可以是個人維護的(比如 gRPC 是谷歌維護的,JavaScript 上很多都是個人開發者在維護)。之所以花這么多精力維護,是因為78% 的代碼脆弱性問題就來源于這一個個依賴項。這也是為什么開源安全問題被放在開發者安全的首要位置上。
現有對于這些依賴項的不確定性采取的緩解方案是什么樣的呢?就是開發者們必須謹慎科學地記錄日志以便日后鎖定出錯點,部署后一旦出現安全問題,得靠安全團隊找到出錯點再扔回給開發者修改,這里的跨團隊溝通和反復是非常耗時的。更不用說,目前的安全工具都是為了安全團隊而非開發團隊而設計的,對開發者極其不友好。
Snyk 從建立伊始,就致力于將開源代碼診斷和修復完全自動化,減少團隊間反復的溝通摩擦,為開發者提供快捷、完備、Peace-of-mind 的安全解決方案。
Snyk 創始人 Guy Podjarny 曾是 Blaze.io 的聯合創始人,2012 年將其出售給了Akamai(一家內容傳遞網絡和云服務提供商,世界上最大的分散式計算平臺之一,承擔了全球 15%~30% 的網絡流量)。
收購后,他成為 Akamai 網絡體驗業務的 CTO,直到 2015 年建立了 Snyk。聯創 Peter 有 20 多年安全領域的從業經驗,和創始人 Guy 是從 Watchfire (一家網絡應用漏洞評估和合規方案提供商,后來被 IBM 收購)就認識的 16 年老友。
BoldStart Ventures 的創始人 Ed Sim 在投資了 Guy 的第一個創業項目并成功退出后,也是 buy in 了代碼安全的市場,從最開始就是 Snyk 的忠實投資人。回看當初 A 輪投資 memo 的剪影,對比如今 Snyk 的估值,已經超越了其中任何一個市場規模的預期。
Snyk 幾乎是創造了“開發者優先安全工具”(dev-first security)這個市場,最初也受到了很多質疑。唱衰者們提出了開發者對安全問題的漠不關心、開發團隊和安全團隊之間的激勵和信任問題等等。
SNX突破18美元關口 日內漲幅為1.61%:火幣全球站數據顯示,SNX短線上漲,突破18美元關口,現報18.0148美元,日內漲幅達到1.61%,行情波動較大,請做好風險控制。[2021/5/10 21:42:36]
但是,'It takes time to build a movement',和任何消費者需求一樣,想建立起消費心智必須進行市場教育,早期Snyk也是花了大量的精力將開發者友好的安全工具的必要性根植進潛在用戶的大腦里。
現如今的大代碼時代,隨著部署代碼的數量、速度和復雜性的陡升,科技企業們都認識到把代碼安全的探察點移到整個周期前端,將自主權交給開發者的重要性,并自覺加入了這場 Shift Left Movement. 正如 Guy 在這里說的:
“整個云原生運動意味著,開發者需要管理他們自己的云基礎設施,并且需要被武裝上正確的安全工具。兩百多萬使用 Snyk 的開發者們,日益增長的 DevSecOps 運動,以及越來越多的嵌入開發平臺的安全功能模塊,都是這一論斷的最好證明。”
Snyk 這家公司把“開發者優先”刻在了自己的 DNA 里,始終將開發者的體驗擺在第一位,創始人將其稱作是“Product North Star”。SNYK 這一縮寫,其實想表達的是“So Now You Know a lot more about your applications”,是創始人的美好期許。
在最初制定產品方案的時候,董事會上有過究竟是追求廣還是追求精的爭論。Snyk 的競爭者 Sourceclear 選擇了前者,在產品推出之初就支持 8 種計算機語言的整合,但在每種語言的語法范式上都認識粗淺,也沒有真正整合進開發者們的工作流當中,導致反響平平、出現了很多 fire sales(2018 年 Sourceclear 被 CA Technologies 收購,具體數額雖未披露但內部人士表示收購價格并不高)。
相反,Snyk 在最初只支持一種語言JavaScript,但是做得很深入,不僅幫開發者找出漏洞,還提出建設性的修補意見,從而贏得了開發者的喜愛。
Snyk 在公司早期沒有一味地追求“支持多種語言”來討好客戶,但卻在一個方面不斷沉潛,在開發者社區中獲得了很高的評價。這種“82 原則“為 Snyk 打下了很好的產品基礎。Snyk 很在乎開發者社群的建設,他們有自己的Snyk社區私域,買下了 DevSec Conference 進行知識傳播,還會做一些開發者調研進行聆聽來啟發功能拓展的方向等等。這種基于群眾的產品營銷策略是現在 SaaS 界奉行的產品驅動增長(PLG)的靈魂所在。
在 2020 年的五周年回顧上,當創始人 Guy 提起 Snyk 做對的五件事時,其中一個就是“Don't go enterprise too early”:當社群建構起來,越來越多的企業自然會主動尋求合作,到時再根據企業的需求提供本地化服務,或者支持多種語言(目前 Snyk 已做到 11 種語言的整合),也為時不晚。
Snyk 較早時期某個企業客戶,ARR 在兩年間從 4 萬美元擴張到了7位數。聯創兼 CEO Peter Mckay 也在一次采訪中透露,目前 Snyk 60-70%的客戶是 inbound 的,復購率達到了 95%。
有趣的是,公司的兩位創始人 Peter 和 Guy 分別來自美國和以色列,是去年網絡安全領域的頭兩大熱點區域。他們 的相識是在 2007年,Guy 在一家以色列開網頁應用防火墻和網頁安全掃描之先河的公司 Sanctum 做軟件工程師,被 Peter 時任 CEO 的 Watchfire 收購之后,擔任起了首席架構師。
后來在 2010 年幾乎同時,Guy 創立了 Blaze.io,而 Peter 創立起了 Desktone(后來被 VMware 收購),兩人各自沿著網絡安全領域建樹,經歷了 Web 1.0、2.0 時代,又在 3.0 時代聚首塑造這個時代需要的安全工具,可謂是將使命一以貫之了。
SNX突破25美元關口 日內漲幅為11.94%:火幣全球站數據顯示,SNX短線上漲,突破25美元關口,現報25.023美元,日內漲幅達到11.94%,行情波動較大,請做好風險控制。[2021/2/20 17:34:09]
好的創始人并不是從最開始就懷著百億美元的野望建立一家公司的,他們總是從某一個他們認為亟待解決的問題切入,并帶來獨特的技術洞察力,以 10-100 倍的精神不斷迭代那個解決方案。Snyk 的差異點就在于:真正的開發者友好,修復漏洞的語境化和自動化,以及代碼安全的深度。
Snyk 從最擅長的開源安全切入:開源安全背后的軟件組成分析(SCA)可以幫助開發者們快速跟蹤和分析“開源引入項”,包括所有相關組件、它們的支持庫以及直接和間接依賴項;還可以檢測軟件許可證、棄用的依賴項以及漏洞和潛在威脅,檢測完成后會生成項目軟件資產的完整物料清單 (BOM)。
過去幾年中開源代碼使用率的大幅提升使得 SCA 成為應用程序安全測試 (AST) 的關鍵支柱。應用程序安全測試是一個更廣泛的概念,除了 SCA 以外主要包括了靜態 AST (SAST) , 動態 AST (DAST) 和交互式 AST (IAST) 三大技術。
Snyk 通過收購 DeepCode 進入了 AST 領域,并將范圍從代碼文件中開源部分的安全,拓展到了整個云原生 AST 領域:企業的數據中心甚至基礎設施移到云端后,其復雜程度也是爆炸式增長的,尤其是“API 化”之后,開發者手上的安全大任變得更加多層次。
于是 Snyk 開始增加產品的延展性,從源代碼管理(如 git repo),IDE 插件,到持續集成和持續開發管道(CI/CD pipelines),從容器化 registry 的 Docker Hub 和 Kubernetes, 到更“未來”的軟件生成物 registry,以及 Terraform 下的基礎設施即代碼(Infra as a Code),甚至無服務器(serverless)。
Snyk 目前有 Snyk Open Source, Snyk Container, Snyk Code 和 Snyk Infrastructure as Code 四大功能模塊,分別是為企業開源代碼、容器化項目、應用軟件和基礎設施代碼的安全問題提供的安全工具。
強大的漏洞庫和 Peace-of-mind 的自動修復
第一個功能模塊是 Snyk Open Source,用于測試開源安全。
開源安全的重要性是不言而喻的。96% 的應用程序含有開源代碼,而隨著開發者們拉取越來越多的開源依賴,其脆弱性在過去的兩年間上升了兩倍,而且往往盤根錯節極為復雜。就像病軟件會掃描設備并找出威脅一樣,Snyk 的產品會掃描源代碼并進行漏洞報警,之后將漏洞的嚴重性進行詳細的描述和分類并提供一鍵修復方案。
其工作原理很簡單:首先,Snyk 通過完整的 dependencies tree(依賴項的系譜) 把脆弱點和許可問題的源頭路徑給語境化和具象化,從而為開發者們帶來更深的洞察;
接著,Snyk 會自動觸發最利于漏洞修補的 Pull Request,進行一定規模內的安全性能升級,或者通過專有的精確性補丁(Precision Patches)的形式減少變動;
最后,Snyk 還會持續監測可能發生的脆弱點,不斷自動化安全性能升級的流程。這有賴于 Snyk Intel,一個自研的代碼漏洞數據庫,這個數據庫的覆蓋范圍比第二大公開商用數據庫大將近4倍,靠的就是 Snyk 的研究團隊進行人工搜尋、分析和準確性測量后收錄進數據庫;Snyk 還會和客戶進行數據庫上的合作,秉持著人人為我、我為人人的原則,把這個數據庫做得越來越周全,達到競爭者難以企及的代碼安全深度。
目前,國家漏洞數據庫(National Vulnerability Database, NVD)中92%的 Javascript 漏洞會首先添加到 Snyk 的數據庫,所以 Snyk 數據庫的漏洞識別整體比第二大公開商用數據庫快 25天。這就是 Snyk 強大的護城河和壁壘。
圖靈交易所將上線SNX:據官方消息顯示,圖靈交易所將正式上線SNX,并于2月4日16:00上線SNX/USDT交易對,充值將于2月4日 16:00開放,提現將陸續開放。
據悉,Synthetix(舊稱:Havven)專為工程師而設計,旨在構建去中心化和無信任網絡。Synthetix Network Token(SNX)代幣支持多種綜合資產,包括:與美元掛鉤的法定貨幣、貴金屬、指數甚至其他加密貨幣。[2021/2/3 18:48:37]
最初,Snyk 針對開源項目的服務是完全免費的, 包括針對開源漏洞的無限次測試和修復。現在的 free plan 限制了測試運行的數量,參與收費計劃才對 Open Source 和 Container 兩個模塊開放無限次安全測試,像傳統 SaaS 一樣采取基于開發者數量的不同收費層級。
收購 DeepCode:
AI-driven 更快更精確的 SAST 方案
Snyk 通過收購 DeepCode 進入了應用程序安全測試(AST)領域,更準確說是靜態 AST 這個子方向。將 Snyk 的超全數據可和 DeepCode 的 AI 技術結合,就誕生了 Snyk Code 這個新功能模塊。
DeepCode 是蘇黎世聯邦理工學院的研究成果(后來分拆出來),一直專注于應用 AI 來幫助開發者在編寫代碼時實時提高應用程序的質量和安全性。
這家公司有兩大突破性創新點:一是非常復雜的、可解釋的機器學習語義代碼分析技術,其掃描代碼的速度比其他同類技術快 10-50 倍,保障了開發過程中安全工作的實時性(這種實時性對開發者意義非凡,幫助他們在編寫代碼的過程中即時地受到教育和反饋),而且通過從大量代碼中快速學習的機器學習能力,顯著減少了誤報(包括 false positives 和 false negatives)。
二是通過自定義的下一代 Datalog 解算器,帶來了最好的開發者體驗。這一技術開創性地實現了實時高精度語義代碼分析,并且支持 IDE 和 git 級別的代碼掃描,讓開發人員得以將安全掃描實時無縫整合到他們的開發過程中,而無需添加中斷步驟。
Snyk Code 仍然是秉持重開發者體驗的原則,將 Snyk Code 工具直接適配于各個開發者最喜歡的工具和流程。使用 Visual Studio Code 的 Snyk Code IDE 擴展工具或者 IntelliJ、WebStorm、PyCharm 的插件,就可以在編寫代碼時實時查看代碼中的潛在安全漏洞。
Snyk Code 還解決了傳統 SAST 解決方案的最突出問題,同時做到了準確和快速。它借助語義分析來提升準確性(意味著更少的 false positives,為開發者們節省了寶貴的時間),同時以指數方式增長其知識庫;它使用專有的邏輯編程引擎來實現高于競對的掃描速度;與此同時,Snyk Code 又能提供清晰的解釋,使開發者能夠輕松理解和解決手頭的問題。
容器化和基礎設施代碼化大趨勢
Garnter 在今年剛出的一份應用安全測試(AST)行業報告中提到,在過去的三年里,科技企業越來越多地要求額外的服務和工具來完善他們的 AST 覆蓋范圍并囊括了一些新的開發方法和工件,其中包括 Snyk 一直推崇的云原生支持、API 測試、Infra as Code (IaC) 測試,和容器化安全。
這里就展開講講 Snyk Container 和 Snyk Infrastructure as Code 這兩大功能模塊。
首先,什么是容器?
正如航運業使用物理層面的集裝箱來隔離不同的貨物一樣,現在的軟件開發越來越多地使用一種“容器化”或者說“集裝箱化”的方法。一個標準的“容器”會將應用程序的代碼、相關的配置文件和庫以及應用程序運行所需的依賴項捆綁在一起,這樣開發者和 IT 專員就能跨環境無縫地部署應用程序。
我們可以將容器和傳統的虛擬機進行比較:虛擬機包括應用程序、所需的庫或二進制文件以及完整的主機操作系統,而對于 Docker 容器,它載有應用程序及其所有依賴項,但它們與其他容器共享操作系統內核,在主機操作系統的用戶空間中作為獨立進程分別運行。
正因如此,容器需要的資源比虛擬機少得多,所以它們易于部署且啟動速度更快,能在同一硬件單元上運行更多服務,從而降低成本。
容器和 Kubernetes (常用的容器編排系統) 的廣泛采用意味著應用程序可以跨不同的基礎設施而移植,目前大約 90% 的公司采用容器化運行以保持靈活性、節省基礎設施成本并提高開發人員效率。Snyk Container 的功能便是幫助識別和修復應用程序中所使用的容器鏡像中固有的問題。
那什么是 Infra as Code 呢?
如果把軟件行業比作建筑行業。Infra as code 其實就是建筑行業原材料的標準化,只不過在軟件行業是通過代碼來描述他的特點。
對于水泥而言,有一些參數來表明他可以用于建設何種建筑,在軟件行業是通過配置文件和代碼來對軟件行業的基礎設施進行標準化,這里做得比較好的是前不久剛剛 IPO 的 HashiCorp 的 Terraform。
對于建筑行業有監理單位,各種測試機構來保證建筑的安全性,那么誰來保證標準化后的基礎設施代碼(IaC)的安全性呢?
以前由 IT 維護的基礎設施層,已成為開發人員在云原生應用程序中管理的 API,開發人員越來越多地站在安全的前線,但卻沒有相應的工具,而 Snyk Infrastructure as Code 的理念就是將基礎設施代碼納入應用程序安全的范疇內進行保護,因為它本質上已然成為了應用程序的一部分。
Snyk 是如何掃描并識別云基礎設施配置中的安全問題的呢?
以 CLI (命令行界面)為例(Snyk 同時支持 CLI 和 GUI,但很多 IaC 文件只能通過 CLI 調用,故此),CLI 把 IaC文件內容發送到 Snyk 的后臺服務,Snyk 從不斷更新的IaC政策數據商店中獲取最新政策,并把 IaC 文件與之進行嵌入式對比,發現其中的錯誤配置,最后,再把結果返還給 CLI 供開發者使用。
其實掌管應用和底層 infra 的存儲庫都會隨時間而改變,但是手動審閱的過程中很可能會忽視云安全的一些新知識和新語境;所以 Snyk 把掃描 IaC 錯誤配置的過程給自動化,而持續開發和持續集成管道也可以幫助更新和納入這些變化。
如今 Snyk 已經有 1200 個企業客戶,包括 Google, Intuit, MongoDB, New Relic, Revolut , Salesforce 等重要科技公司。今年9月創始人 Guy 曾分享道,Snyk 的全體用戶在過去 12 個月內總共運行了超過 3 億次測試,并在過去 90 天內修復了超過 3000 萬個漏洞。
同時作為 Snyk 的投資人和客戶,Atlassian 和 Snyk 合作完成了旗下 Bitbucket, Jira Software, Jira Service Management 的集成。過去,Atlassian 的容器掃描覆蓋率非常小,但和 Snyk 合作后實現了 100% 的覆蓋率,而且在短短幾個月內 Atlassian 的高危開放容器漏洞分別減少了 65%。截至今天,Atlassian 已經使用 Snyk 運行了 550 萬次依賴項掃描,并掃描了 370 萬個容器。
Snyk 絕大部分客戶的使用人數、使用量和相應價格計劃等數據都未公開,且 Snyk 至今未披露平均合同額。但根據企業客戶數和去年 4 千萬美元的收入,可以看出其單個合同價值大概是每年 3 萬美元。
Snyk 從基于 SCA(軟件組成分析)的開源代碼安全起家,推出 Snyk Code 向 SAST(靜態應用程序安全測試)延展。其最核心優勢就在于真正直接面向開發者的解決方案,但在 AST(應用程序安全測試)領域的知名度不高,畢竟才剛剛借由收購 DeepCode 進入該領域。
在 SCA 領域,Github 是一個天然的競爭者,而且就像 Snyk 的客戶之一 Segment (Twillo的子公司)所說的那樣,因為內部很多代碼本身就在 github 上,所以用他們的安全工具非常方便。目前的缺陷是和其他存儲庫的整合度以及所支持語言的廣度不大。
Snyk 還面臨云工作負載保護平臺 (CWPP)的玩家競爭,比如 Lacework(Sutter Hill 孵化的基于Snowflake 的安全公司,最新估值 83 億美金),Rapid7 的 InsightVM 等。
在 AST 領域,Snyk 還缺乏自己的 IAST、模糊測試和 DAST 功能模塊,而是與剛剛才提到的 Rapid7 合作提供這些功能。在其他競爭者中,WhiteHat 以 AST 工具系譜的完整性著稱,并且在逐漸拓展 SCA 工具;同樣是以開發者為中心的 Contrast Security 最大的差異化優勢就是被動 IAST 工具,也就是不靠主動掃描而達成的安全檢測,其挑戰者地位有待證明;Invicti 打的是 DAST 的 niche,Onapsis 則對于一些業務關鍵的企業軟件格外好用;還有像 Veracode(2018 年已被一家美國 PE 以 9.5 億美金收購),CheckMarx(去年以 12 億美金的價格被收購),以及 Synopsys(SNPS)這樣的領先玩家。
另外,Snyk 的某個客戶訪談中提到,市面上有很多面向傳統企業的傳統安全公司,他們的優勢語言可能是傳統的 NET, Java, 或者 Python,且他們的客戶有充足的預算可以反復溝通進行適應性調整;相比下來,Snyk 的優勢就在于其方案的易用性,不用擔心后續的轉移成本。這也是為什么一些云服務商的安全工具比如 Amazon Inspector, 微軟的 Azure Security,反倒可采購性不及 Snyk 這樣的新興玩家。
當然,那些采用瀑布式開發等傳統開發方法的企業,以及主要購買產品供安全團隊而非開發團隊使用的企業,并不會欣賞 Snyk 的產品,但是這就是 Snyk 所畫的邊界:Snyk 對未來的預判就是應用層和基建層之間、開發和運行階段間的邊界會越來越模糊,Snyk 就是為支持開發者優先安全的公司而生的。
展望未來,Snyk 有三個方向性的命題。
第一,是地理上的擴張。
目前 Snyk 的影響力主要集中在美國和部分歐洲地區。創始人 Guy 公開表明 Snyk 將與新的投資伙伴淡馬錫和 Geodesic 合作,將足跡擴展到亞太地區。他還援引了 Ernst and Young 去年的研究發現:在未來兩年內,亞太地區 87% 的公司將逐漸實現數字化轉型,而“忽略 DevSecOps 會帶來給這些剛剛轉型的公司帶來嚴重的危機”。
Snyk 認為這是將 DevSecOps 帶到亞太地區的最好時機,尤其是預計未來十年亞太地區開發者數量的增長將最為強勁。需要注意的是,在新的地緣下開發者生態以及工作模式等方面的不同,是否意味著 Snyk 可能需要在新的場域重新再發起一次 Shift-Left Security 運動?這次市場教育的回報周期需要多長?
第二,是收費模式的再思考。
目前 Snyk 的大多數客戶還是在 freemium 模式之下,付費用戶占 20% 左右。創始人其實有認識到而且多次提及一個重要問題:由于 Snyk 是直接面向開發者的,而購買安全服務的往往是企業內的安全團隊,使用者和采購者的不同一導致完全靠產品驅動的銷售邏輯并不成立,付費意愿也并不能很好地傳導。
在相對比較小的科技公司中,我們看到越來越多的開發團隊也有安全工具的采購權。但在大的企業客戶組織架構中,筆者采訪了一些開發者后得出的結論是,Snyk 產品的可見性不高甚至內部 documentation 都很少提及,一個合理的猜想是, Snyk 在大公司中的使用場景可能還是在某些小團隊,大規模使用的還是自研的安全工具。
未來 Snyk 可能需要增強產品團隊和銷售團隊之間的互通,不僅像現在這樣做到將銷售漏斗的頭部擴大,還要減少過程中的流失,通過產品性能和大面積采用進行更好的產品合格線索(PQLs)的轉化;Snyk 還有機會探索現在 PLG 公司常用的按用量計費的模式,或者對于檢測出的漏洞、以及漏洞相關的智能洞察(Vulnerability Intelligence)進行額外收費。
最后,是技術拓展以及合作伙伴潛在威脅的審視。
Snyk 一路不斷在做自動化修補漏洞性能、擴展工具的提升,也一路收割了很多的合作伙伴,比如 RedHat, Docker, Datadog 等,并且戰略上 Snyk 也明確表明計劃加深與 Atlassian, AWS, Trend Micro 等公司的合作。
但我們也看到,Datadog 和 Palo Alto Network 分別收購了 Spreen 和 Bridgecrew從而也直接入局了 DevSecOps,這個領域隨著更多的收購只會更加競爭激烈并且擁擠。
因此,在合作過程中,Snyk 可能需要進行一些戰略的防守和布局,從而增強產品的獨立性,不至于因為任何伙伴關系的不穩定而損害產品的完整性。
與此同時,Snyk 也要趕在 AST 領域的競爭對手攻入自己所擅長的 SCA 大本營之前,不斷向 AST 領域突破,提供更多更縱深的產品支持,鎖住更多開發者和企業客戶。
作者:東方明
Terra如何一步步打造自己的商業帝國,生態中的總鎖倉量已突破200億美元。12月24日,Terra的代幣LUNA價格再創新高,突破100美元,Terra生態中的總鎖倉量也突破200億美元,僅次.
1900/1/1 0:00:002月11日-20日,一年一度的以太坊黑客馬拉松 ETHDenver 盛大舉行。活動匯集對去中心化與以太坊區塊鏈生態充滿熱情的各種思想家,總計170個團隊,最終30個團隊脫穎而出,貢獻了各種奇思妙.
1900/1/1 0:00:00撰文:Karen Meta (原 Facebook)、推特等社交和科技巨頭紛紛搶灘元宇宙布局,各類 NFT 項目也層出不窮,但與此同時,在當前階段中絕大多數 NFT 缺乏實際用途和應用場景.
1900/1/1 0:00:00幾個月前,在2021年Multicoin峰會上,我做了一個主題演講,強調了可組合性是2022年加密領域的最重要發展.
1900/1/1 0:00:00DAOFarmer是一款結合了區塊鏈技術和傳統游戲內涵的元宇宙游戲。DAO Farmer分為三個階段:新生、崛起和降臨.
1900/1/1 0:00:00FTX 日前宣布推出新一期 IEO:IndiGG。不同于以往的 IEO 都是 DeFi 或 GameFi 協議,這次的 IndiGG 是游戲公會 DAO(去中心化自治組織).
1900/1/1 0:00:00