博客

鉴释人物丨专访解决方案负责人卜祥敏:直击业务痛点,赋能客户高效业务逻辑

2021-10-14 | 作者: 卜祥敏

卜祥敏,鉴释解决方案负责人,专注于客户解决方案并推动鉴释的客户成功。2007年从北京航空航天大学软件工程硕士毕业后,加入Business Objects担任BI顾问。随后,他加入了SAP、IBM,并在业务咨询和销售管理方面花了10年时间。除了与企业合作外,他还拥有丰富的创业经验,曾担任NLP技术公司的主管,该公司在2018年实现了显著增长。

从家门口的智能门锁到路上驰骋的自动驾驶车辆,人工智能、区块链、5G等新技术不断推动物联网的快速发展,在这背后离不开底层代码及技术架构的支持。那么软件开发人员如何快速识别代码缺陷和安全隐患?

我们邀请鉴释解决方案负责人卜祥敏为大家分享鉴释是如何直击业务场景痛点,快速识别代码缺陷,赋能不同业务场景。

作为鉴释解决方案的负责人,您能简单介绍下这份工作的特质吗?

卜祥敏 : 过去15年在科技行业的开发、业务咨询和销售方面的经历,打造了我能站在客户角度出发,帮助客户精确分析,并解决其痛点的能力。

我认为真正的销售不止售卖产品,而是能准确找出客户的商业痛点,进而结合产品价值和客户痛点业务 去实现完整的商务融合。这个过程中,我会发挥贯穿于客户全流程各个产线和部门的合作交流能力,设身处地的站在客户的角度出发去规划我们的产品。

即使现在的产品不一定能够解决客户所有的问题,我们也可以进一步和客户共同规划符合其需求的产品路线,全方位助力客户提高软件开发效率。很多客户也愿意和我们一起,给彼此时间,共同去实践和规划双方的产品这一旅程。

鉴释为各行各业的客户提供高品质的静态代码分析软件,您觉得他们面临的最常见的痛点有哪些,鉴释又是如何帮他们解决的呢?

卜祥敏 :每个行业的软件开发流程都各有其特点,也有共同点,那就是行业规范和标准。在通用的行业规范基础上,我认为业内普遍面临的最大的痛点,即是如何衡量自己的商业行为是否符合行业标准规范。从代码分析角度而言,就是其代码是否达到行业标准,或者说软件所实现的业务逻辑,是否可能产生漏洞。

基于大量的客户访问和调研数据,我们发现市场上很多代码分析工具,在分析辨别静态代码的错误时,只能达到30%左右的准确率。导致代码检测准确率较低的原因,除了程序员的代码风格差异之外,过去的技术跟不上软件开发行业的快递迭代和发展,整个软件开发框架亦变得越来越复杂,就会产生很多漏报的情况,导致整个代码检测准确率偏低。

鉴释的静态代码测试(SAST)可以有效融入软件开发生命周期(SDLC)中。如果开发者能在左移测试(Shift-Left Testing),即在开发生命周期的初期使用SAST工具,可以有效地提升代码检测的准确性和效率,极大地降低时间、资金、人力等资源的消耗。而对于这样的SAST工具,核心的要求便是扫描效率高、速度快、准确率高。相较于竞品,这些也恰恰是鉴释的优势。如鉴释在C语言上的代码检测准确率,就可以达到50-70%,领先于整个行业平均值的近两倍以上。

您能举例说明鉴释是如何帮助客户解决软件开发质量和安全问题的吗?

卜祥敏 :举例来说,我们有一个区块链金融领域的客户,他们会涉及到对银行账户数据的操作。在数据库的访问过程中,必须要做到对数据库中个人账户等信息进行严格的加密和解密工作,确保在数据传输过程中杜绝一切安全隐患。

在我们帮助他们进行代码检测的过程中,鉴释会在帮助客户在源代码检测时,就从合规、算法和语言上确保其代码能保护他们所调用的每一条敏感数据,以及确保每一项调用和操作都严格符合企业合规要求,杜绝任何有数据泄露可能的安全隐患。

鉴释是如何帮助物联网和自动驾驶这类对嵌入式系统需求很大的行业客户?

卜祥敏 :汽车行业的客户其实都会遵循两个标准,MISRA和ISO26262的认证。会有专门的认证机构,审核整个的汽车设备里面所有的代码是否符合行业标准。我们可以在业内和众多合作伙伴一起去帮助汽车行业的客户通过认证,从业务逻辑验证开始,帮助他们审查代码,并做出合理规划。

相较于传统的汽车行业,万物互联会涉及到多种设备和海量的数据,所以在这个过程中,我们和很多的物联网领域的操作系统、客户等有很多交流与合作。目前,我们的产品已经能够支持物联网涵盖的主流操作系统,芯片以及指令集架构,以及它们所需要的特定环境。

就在2020年底,鉴释和业界领先的物联网操作系统RT-Thread达成合作,共同为RT-Thread及其物联网操作系统的终端用户提供基于深度静态代码扫描的源代码分析服务、软件开发生命周期质量管理提升服务,以帮助物联网行业终端用户编写高质量代码,提升物联网行业软件质量的总体水平。

你们会采取什么行动来保护例如家庭设备一类的资产的吗?

卜祥敏 :举例来说,物联网设备企业中有做智能门锁的,或者家用监控摄像头的,虽然看似是很小的一个物联网设备,如果措施不得当,这些设备是很容易被黑客入侵的。应对这种情况,鉴释会帮助这些涉及到底层安全的客户去解决这些安全问题。

我们会防止它可能出现的数据泄露问题,防止它产生有被利用可能的攻击缺陷。在这方面我们做了很多的工作。我们始终认为,构建好底层的安全,才能构建真正的安全系统。

鉴释专有的静态代码分析工具,在企业安全的长远发展中会扮演什么样的角色?

卜祥敏 :应用测试安全Application Security Testing(AST)其实是一个大家族,静态代码分析只是AST家族里面的一个分支。这里面其实还涵盖了软件成分分析,动态应用安全测试和交互式应用安全测试,鉴释实则是在做这个家族里面难度较大的静态代码分析领域。

鉴释推出的静态分析工具——爱科识,是一款高度精确和直观的DevSecOps工具,通过识别漏洞并同时将此功能整合到软件开发过程中来提高生产力。它使用高级静态代码分析来扫描分析源代码的质量、软件标准的契合度和漏洞。在编译和测试源代码之前,爱科识可以识别出可能导致内存损坏、缓冲区溢出、数据泄露等的缺陷。因此,爱科识是每位开发人员在编写代码时不可或缺的强大工具。

经过多年的积累,鉴释会进入到更多的行业领域,目前是聚焦在芯片、物联网汽车和金融客户领域,之后会面向大体量的包括金融,医疗和航空航天在内的交通领域。这些领域不仅需要以技术赋能客户,还需要结合客户实际的业务流程来为其量身定制代码检测服务。在我们看来,任何客户其实都不仅仅是需要单一的工具,而是需要这个工具产生的结果对其业务赋能,并做最终决策。

此外,在建设好静态代码分析之后,我们会做一些延伸。我们现在做的是本地部署的B2B领域,之后可能会提供SaaS的解决方案。我们也会在交互式应用安全测试方面发展延伸,基于现在的本地部署,逐步创造完整的公有云解决方案。

以上就是鉴释解决方案负责人卜祥敏先生基于其数年行业沉淀的专业见解和分享。与此同时,他详细解读了高级静态代码分析于物联网、自动驾驶以及底层安全构建的业务赋能和成功决策。鉴释始终将客户的利益置于首位,直击国内客户及开发者的业务需求与痛点,基于自主研发的静态分析工具,为用户提供更高效、更安全的代码分析解决方案。展望未来,鉴释在静态分析领域将会不断拓展业务广度和深度,竭力满足用户与时俱进的业务需求,以其行业领先的专业技能助航企业的长远发展。

点击此处了解更多鉴释针对不同行业的解决方案

推荐阅读

OWASP十大WEB程序安全风险之五:失效的访问控制

2021-10-19 | 作者: Jason Lu

在 OWASP Top 10名单中,排名第 5 的漏洞是失效的访问控制。 这与 Web...

阅读更多

通过使用我们的网站,表明您已经阅读并理解我们的Cookie政策及隐私政策