鸿渐科技入选安全牛100中国网络安全细分领域【新兴安全】代表厂商

2021-11-11 09:46:21来源:壹点网  

11月9日,安全牛发布了中国网络安全企业100强(第九版),鸿渐科技凭借在软件研发安全的创新技术入选安全牛100中国网络安全细分领域【新兴安全】代表厂商。

据Gartner2019年统计,网络安全92%的风险来自于软件应用层,应用层的检测显得尤为重要。而2020年,Gartner应用安全魔力四象限中提到了代码分析技术(SAST)和软件成分分析技术(SCA)是软件研发更早阶段(开发、测试)检测重要技术手段。据统计,在开发阶段的检测成本是发布阶段的1/100,发现缺陷的数量是部署后的10倍,研发安全“左移”也成为了软件安全保障的主要趋势。2021年美国著名的RSA沙盒大赛Apiiro团队正是运用这个概念获得了全场冠军。在DevSecOps中采用白盒代码分析的方式已经成为了安全圈新的热点和方向。

为什么鸿渐科技被推荐

随着软件产业的快速发展,现代软件大多数是被“组装”出来的,不是被“开发”出来的。各类信息系统的软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。如今软件供应链已经成为国内外对抗的焦点,直接影响关键基础设施和重要信息系统安全。尤其现在美国的禁运,SAST工具卡脖子的问题愈发明显。

放眼国内,涉及代码安全分析产品的厂商凤毛麟角,能够做到真正自主研发的团队更是屈指可数,大多数所谓自主产品都是基于开源改造或国外产品封装,并没有自己的底层分析技术。究其原因,主要有以下五点:

1) 技术门槛高,多源自名校

代码分析领域属于软件工程中编译的分支,应用了大量的编译算法,属于基础软件范畴。国内开设编译课程或软件分析的高校,只有北大、清华、中科院、港科大等几所知名高校,了解底层技术的人员更是凤毛麟角。横向来看,国外同类产品大多数产自于知名高校的长期积累,例如斯坦福大学的Coverity, 牛津大学的CodeQL等。

2) 人才要求高,知行合一是关键

即使学了编译课程,其分析算法的实现难度对于技术人员编程能力要求也是非常顶尖的,以鸿渐科技为例,底层算法的大多都是北大和中科院等知名高校计算机系的毕业生(算法和代码能力超强)多年研发的结果,并不是一个普通程序员通过努力就能掌握和实现的。

3)研发时间久,企业考核周期短,缺乏长期主义。

一个实现了路径敏感、上下文敏感、对象敏感的代码分析核心引擎需要上百万行代码和多年的算法局部调优,这个是多年积累的成果,即使一篇顶会论文的原型,也只是突破了某个点,对于面上的突破也需要数年的积累,而任何一个企业的考核周期最多是一年、两年,国内的企业很难能够容忍一个部门在三到四年没有大的产出,还不解散的。

4)兴趣爱好与金钱的抉择

从以上三点可以看出来,一个代码分析工具需要具备高素质人才,通过长期不懈努力才能收获相对好的成果,天赋、兴趣、爱好、坚持和金钱缺一不可。在互联网金元经济大行其道的情况下,清北的本科毕业生,去互联网大厂轻轻松松年薪五十万起,博士更是动以百万,如果家庭条件一般,很难拒绝金钱的诱惑抑或是屈服于生活的压力,又有谁会在冰冷的基础软件方向默默耕耘?以鸿渐为例,核心人员都是学霸和学神级人物,家庭条件尚可,又在这个方向都是非常有兴趣的Geek(迷恋数学和ACM),聚集一群这样的人才确实可遇不可求。鸿渐的硕博比例更是高达60%以上,远高于多数安全大厂。

5)抬头看天是一种方向,低头看路是一种清醒,好工具是被骂出来的

产品经理和研发人员投入到一线去发现、去感知、去挖掘、去挨骂,通过上百家客户的试用交流,不断的总结提升,和客户一起成长,打磨出中国真正自己的SAST静态分析工具和SCA同源分析工具。

由此可见,代码分析工具并非几个人一时兴起的激情投入,也并非国外工具和开源工具加个壳儿就能解决问题,也并非商务推进低价中标抑或是铺天盖地的媒体宣传。是需要一批有情怀又不是那么差钱,高智商脸皮又足够厚,能持之以恒又靠谱的年轻人不断的去挑战、去征服。

最后,我们欢迎有梦想的年轻人加入,本科985计算机、软件工程相关专业,高考成绩630分以上,对算法感兴趣。如果能来个博士那就最好了。

也欢迎各甲方客户交流试用,多提问题和建议,只有都用上了国产测试工具,国产测试工具才能进步,才不至于因禁运而受制于人!

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

标签:

相关阅读

相关词

推荐阅读