2020年2月24-28日,网络安全行业盛会RSA大会将在旧金山拉开帷幕。在RSAC官方公布的今年创新沙盒十大初创企业中,绿盟科技已经推出了六家厂商:ElevateSecurity、Sqreen、AppOmni、TalaSecurity、ForAllSecure、INKY。今天给大家介绍的是:BluBracket。一、公司介绍BluBracket成立于2019年,总部位于美国加州。是一家专注于代码安全的初创公司。目前,UnusualVentures、SignalFire、Point72Ventures和FireboltVentures共同为其种子基金投资了650万美元,目前正在进行种子轮融资。BluBracket在官网指出,公司的定位是提出业界首个也是唯一的综合代码安全解决方案。作为成立仅一年的公司,能够进入创新沙盘决赛,必然有其自身的优势。2.背景介绍在详细介绍其产品之前,我们先了解一下公司的董事会成员和背景经历。公司创始人兼首席执行官PrakashLinga获得博士学位。2007年获得康奈尔大学计算机科学博士学位。随后在Moka5(Moka5是一家成立于2005年的桌面虚拟化公司,2015年停止运营)担任技术总监4年。然后他开始了他的创业之旅。根据他在Linkedin上的资料,从2011年开始,他创办了三家公司:第一家公司是RAPsphere(2011.4—2012.5),Linga作为创始人,CTO兼技术VP,从网上仅有的一些介绍来看,可以可见,RAPsphere主要提供移动安全、应用和设备管理服务,为企业和员工的移动设备提供安全的设备控制、管理和可见性。不幸的是,该公司只存活了一年多一点。随后在2014年,他又创立了另一家公司VeraSecurity,主要专注于数据安全。Vera提供数据安全解决方案,使各种规模和地点的企业能够轻松保护和跟踪所有平台和设备上的任何数字信息。通过全面的数据安全和实时控制,让人们可以使用他们想要的任何平台和设备,同时确保最高级别的安全性、可见性和控制。2018年8月,Linga离开Vera,创立BluBracket担任CEO。从Linkedin上的简历和自我介绍来看,印度小伙PrakashLinga将自己定位为连续创业者和天使投资人。BluBracket的另一位合伙人AjayArora也称自己为连续创业者和天使投资人。AjayArora算得上是PrakashLinga的老搭档,从RAPsphere的Co-Founder、COO和产品VP到VeraCEO、Co-Founder,甚至两人还曾在AppSence共事过担任VP。从AjayArora的履历可以看出,从产品和解决方案管理到市场运营管理,可以说无所不包。但除了上面提到的几家初创公司,其他工作过的公司似乎都很少涉及安全方面的。BluBracket董事会的另外两名成员在简历中并未提及BluBracket的职务。其中,JimZemlin目前是Linux基金会的执行董事,另一位JohnVrionis是BluBracket投资方UnusualVentures的创始人。.3.产品介绍接下来我们来看看BluBracket的产品。该公司成立于2019年,是这个创新沙盒中所有公司中“最年轻”的一家,也是融资金额最少的一家(650万美元)。从其官网来看,对该公司的介绍寥寥无几。也可能是因为成立时间太短,公司的主要精力还是集中在了产品研发上。BluBracket对其产品的定位是:业界首创也是唯一的全面代码安全解决方案。公司的口号是“Securityatthespeedofcode”,绿盟君理解应该是“保证安全和代码迭代一样快”。为了支持这一定位,BluBracket目前提供了CodeInsights和CodeSecure两款产品,组成其代码安全解决方案。一、CodeInsights从产品介绍来看,CodeInsights主要提供代码管理功能。目前无论是敏捷开发还是DevOps,代码管理都是任何软件项目的重要课题,尤其是从安全的角度来看,大量的开源项目应用,大量的开发者在不断的更新代码,快速代码迭代。能够以全视角查看和跟踪整个项目的代码,无论是代码的规范管理还是漏洞管理,都具有非常重要的意义。如今的协同编码工具为研发管理提供了极大的便利,但同时也带来了代码扩散不清晰的问题。CodeInsights主要为企业提供代码环境视图(BluPrint),让用户知道自己的代码在哪里,谁可以访问,无论是在组织内部还是外部。最重要的是,用户可以对最重要的代码进行分类,以便针对任何审计或监管要求显示详细的跟踪链。2.CodeSecureBluBracket提供的另一个产品叫做CodeSecure。从名字上看,它保证了代码的安全性。一般来说,使用StackOverflow、Github或其他开源代码协作工具通常会对企业安全造成严重威胁。CodeSecure检测代码中的密钥,并确保代码中没有敏感密码,或已被泄露、处理不当或滥用的令牌。CodeSecure还可以让用户识别、预防甚至防止代码意外或恶意流出企业,确保企业代码的隐私。下面两张图是其官网发布的产品界面截图。从截图中我们可以大致看一下它的具体功能,比如能够识别代码仓库中的AWStoken,能够识别密钥,可以识别代码仓库访问权限等安全警告。它还可以集中管理和监控代码仓库、开发人员和开发环境等信息。第四,以往的创新沙箱和DevSecOps代码安全在更广泛的范畴内可以划分为DevSecOps。近年来,DevSecOps的概念和架构越来越流行。Gartner自2016年起连续将DevSecOps列入年度Top10安全技术和项目。下图是Gartner发布的经典DevSecOps闭环模型。随着敏捷开发和DevOps的快速发展,DevOps全流程自动化工具链已经相对成熟和完善,并在众多大型企业得到了很好的应用和推广。但要实现DevSecOps闭环模型,需要重点解决以下问题:有效的安全工具,实现每个阶段对应的安全能力;友好融入DevOps工具链生态,实现完全的安全自动化;它必须能够保证其效率和性能,使安全能力的接入不会影响DevOps流程的性能。在市场和技术的推动下,DevSecOps相关产品近年来多次出现在创新沙箱中,例如今年的ForAllSecure、2019年的DisruptOps(云基础设施检测与修复)和ShiftLeft(软件代码保护与审计)1。DisruptOps多云和敏捷开发是云计算的热点。DisruptOps使用基于SaaS的服务来快速检测并自动修复用户的多个云资源上的安全和操作问题。一方面为客户节省了上云成本,另一方面实现了对云基础设施的持续安全管控,在安全、运营、成本等方面为用户带来最大的收益。此外,利用自动化和服务编排技术,推动云原生应用和DevSecOps的落地。2.ShiftLeftShiftLeft创新性地提出了一种基于多层图的代码分析方法,将所有应用代码以多层可伸缩的图的形式展示出来。图表可以完整的包含代码的各种元素,充分展示代码的细节,比如语言、自研代码、开源代码(OSS库、SDK)、不同的类别、方法等。这样,从图中可以清楚地了解数据流向,可以快速识别数据泄漏和关键漏洞。而且扫描速度极快,10分钟分析50万行代码,适合DevOps场景,可直接与CI/CD无缝集成,发现每个产品版本的问题,效率极高。通过将代码分析与ShiftLeft的应用程序微代理相结合,可以深入了解漏洞并确定其优先级。4.总结首先,从市场的角度来看,随着越来越多的云原生、微服务、敏捷开发DevOps等应用落地,代码安全确实是一个亟待解决的问题。上文提到,在整个DevSecOps闭环中,开发阶段如何高效的实现代码安全,对整个DevSecOps具有重要意义。因此,这款产品的定位要牢牢抓住当下的热点和痛点。其次,从产品本身来看:在功能上,BluBracket提供了代码管理和安全检查两大功能,但是从目前唯一的信息来看,似乎安全检查的功能不是很吸引人,它可以只能被看到它可以检测到代码中存在的密钥、权限等。对于代码漏洞、漏洞、恶意文件等敏感问题,从产品介绍上看似乎无法实现这些能力。可以说功能并不突出。另外,从技术角度来看,所有的介绍中都没有对产品实现技术的描述,也没有相关的技术博客介绍。最后,从公司核心创始人的角度来看,官网公布的四位核心成员,除一位投资人外,其余除CEO外责任明确,其他三人很难看到明确的分工职责,如技术总监,市场经理,销售经理等。另外,核心成员的简历背景相对不是特别好看。因此,在绿盟科技看来,BluBracket还处于发展初期。·参考链接·[1]blubracket,https://www.blubracket.com/[2]DisruptOps,http://dwz.date/wH7[3]ShiftLeft,http://dwz.date/wJg[4]https://www.crunchbase.com/organization/blubracket
