2020年2月24日-28日,网络安全行业盛会RSA Conference将在旧金山拉开帷幕。在RSAC官方宣布入选今年创新沙盒十强初创公司中,绿盟君已经为大家介绍过了Elevate Security 、Sqreen、AppOmni、Tala Security、ForAllSecure、INKY六家厂商,今天为大家介绍的是:BluBracket。
一、公司介绍
BluBracket于2019年成立,总部位于美国加州,是一家专注于代码安全的初创公司。当前由Unusual Ventures、SignalFire、Point72 Ventures和Firebolt Ventures共同投资650万美元作为其种子资金,当前处于种子轮。
BluBracket在其官网上指出,公司的定位是:提出当前业界首个也是唯一一个全面的代码安全解决方案。作为一家成立刚刚一年的公司就能进入创新沙盒决赛,必有其过人之处。
二、背景介绍
在具体介绍其产品前,我们先看一下公司的董事会成员以及背景经历。
Prakash Linga,公司的创始人兼CEO,2007年于康奈尔大学获得Computer Science博士学位。之后在Moka5作为技术总监工作了4年(Moka5是一个成立于2005年的桌面虚拟化公司,于2015年停止运营)。然后就开始了其创业之路,从其在Linkedin上的资料来看,从2011年至今,已经创办了三家公司:
第一家公司是RAPsphere(2011.4—2012.5),Linga作为创始人、CTO和技术VP,从网上仅存的一些介绍中,大概可以看出,RAPsphere主要提供移动安全、应用和设备管理服务,为企业和员工的移动设备提供安全的设备控制、管理和可见性。很不幸的是,这个公司只存活了一年多。
然后其在2014年又创立另一家公司,Vera Security,主要做数据安全。Vera提供了一种数据安全的解决方案,使各种规模和位置的企业能够轻松地跨所有平台和设备保护和跟踪任何数字信息。通过全面的数据安全和实时控制,允许人们使用任何想要的平台和设备,同时确保最高级别的安全性、可视性和控制。
在2018年8月,Linga离开了Vera,创办了BluBracket,任CEO,从其履历和Linkedin上的自我介绍来看,Prakash Linga这个印度小伙将自己定位为一个连续的创业者和天使投资人。
Ajay Arora,BluBracket的另一个合伙人,同样给自己的标签也是连续的创业者和天使投资人,Ajay Arora可以算是Prakash Linga的老搭档了,从RAPsphere的Co-Founder、COO和产品VP,到Vera的CEO、Co-Founder,甚至二者还曾经共同就职于AppSence分别担任VP。从Ajay Arora的履历中可以看出来,从产品、解决方案管理,到市场运营管理,可以说是什么都做过了。但是除了前文提到的这几个创业公司之外,其他就职过的公司似乎很少是做安全相关的。
BluBracket董事会的另外两名成员,从其个人简历介绍中,并未提及BluBracket的任职职务,其中Jim Zemlin当前是Linux基金会的执行董事,另外一位John Vrionis是BluBracket投资方Unusual Ventures的创始人。
三、产品介绍
接下来我们看一下BluBracket的产品,公司成立于2019年,是此次创新沙盒所有公司中“最年轻”的一个,也是融资金额最少的一个(650万美元)。从其官网上看,对公司的各项介绍都少的可怜,也可能是因为成立时间太短,公司的主要精力还集中在产品的研发上。
BluBracket对其产品的定位是:当前业界首个也是唯一一个全面的代码安全解决方案。公司的口号为“Security at the speed of code”,绿盟君理解应该是“让安全的保障和代码迭代一样的快”。
为了支撑这样的定位,BluBracket当前提供CodeInsights和CodeSecure两款产品,组成其代码安全解决方案。
1. CodeInsights
从产品介绍上看,CodeInsights主要提供的是代码的管理功能。
当前无论是敏捷开发,还是DevOps,任何一个软件项目,其代码管理都是一个重要问题,尤其是从安全的角度来看,大量的开源项目应用、大量的开发人员不断进行代码的更新,以及快速的代码迭代。能够对整个项目的代码进行全视角的查看和追踪,无论是对代码的规范性管理还是脆弱性管理,都有着重要的意义。
如今协作式编码工具,为研发管理提供了极大的便捷性,但是同时也导致了代码扩散不清晰的问题。CodeInsights主要为企业提供了代码环境视图(BluPrint),这样用户就可以知道自己的代码在哪里,无论是组织内部还是外部,谁可以访问它。最重要的是,用户就可以对最重要的代码进行分类,这样就可以为任何审计或规范性要求显示详细的追踪链。
2. CodeSecure
BluBracket提供的另一款产品叫CodeSecure,从名字理解,是保证代码安全的。通常,使用Stack Overflow、Github或其它开源的代码协作工具,通常会对企业安全构成严重的威胁。CodeSecure可以检测代码中的密钥,并确保代码中没有敏感的密码,或者是令牌被盗用、错误的处理或误用。CodeSecure还可以让用户识别、预防甚至阻止代码从企业中意外或恶意的流出,保证企业代码的隐私性。
下面的两张图是其官网上贴出来的产品界面截图,从截图上,我们可以大概的看一下它具体的功能,比如能够在代码仓库中识别到AWS的token,能够识别出代码仓库中存在的密钥,能够识别代码仓库的访问权限等安全告警。还能够对代码仓库、开发者、开发环境等信息进行集中的管理和监控。
四、历届创新沙盒与DevSecOps
代码安全更广义的范畴,可以划分到DevSecOps里面。DevSecOps的理念和架构,近年来越来越多的为人们所青睐。Gartner从2016年起,就持续的将DevSecOps列入其年度Top10安全技术和项目中。下图是Gartner发布的经典DevSecOps闭环模型。
随着敏捷开发、DevOps的飞速发展,DevOps全流程自动化的工具链相对来讲已经比较成熟和完善,在众多规模性的企业得到了较好的应用和推广。然而要想实现DevSecOps闭环模型,还需要重点解决以下几方面的问题:
- 切实有效的安全工具,实现每个阶段对应的安全能力;
- 能够友好的集成到DevOps工具链生态中,实现完全的安全自动化;
- 要能够保证其效率与性能,使得安全能力的接入,不会影响到DevOps流程的性能。
在市场和技术的推动下,近年的创新沙盒中,多次出现DevSecOps相关产品,比如今年的ForAllSecure,2019年的DisruptOps(云基础设施检测与修复)、ShiftLeft(软件代码防护与审计)等。
1. DisruptOps
多云和敏捷开发是云计算的热点,DisruptOps以SaaS化的服务方式,通过对用户的多个云资源进行安全与操作问题的快速检测并自动修复,一方面节省了客户上云的成本,另一方面实现对云基础架构的持续安全控制,在安全、运营和成本等方面,给用户带来最大的收益。此外,借助自动化和服务编排的技术,推动云原生应用和DevSecOps的落地。
2. ShiftLeft
ShiftLeft创新性的提出基于多层图表的代码分析方法,将全部应用代码进行多层次的、可扩展的图的方式展现。图能完整包含代码的多种元素,完整展现代码细节,比如语言、自主开发代码、开源代码(OSS库、SDK)、不同类别,方法等。从而可以从图中清晰的理解数据流动,快速识别数据泄露,关键漏洞等。而且扫描速度极快,10分钟分析50万行代码,适用于DevOps场景,能够直接和CI/CD无缝结合,发现每个产品版本的问题,效率极高。通过将代码分析和ShiftLeft的应用微代理结合起来,能够深刻理解漏洞,并针对漏洞进行优先级排序。
四、总结
首先从市场来看,随着云原生、微服务、敏捷开发DevOps等越来越多的实现落地应用,代码安全确实是一个亟需解决的问题。前文也有提到,在整个DevSecOps闭环中,如何高效的实现开发阶段的代码安全,对于整个DevSecOps有着重要的意义。所以说,这个产品在定位上应该是紧紧抓住了当前的热点同时也是痛点的问题。
其次,从产品本身来看:在功能上,BluBracket提供了代码管理和安全检查两个功能,但是从仅有的资料来看,安全检查上似乎功能点并不是十分的吸引人,只能看出来可以对代码中存在的密钥、权限等的检测,对于代码的脆弱性、漏洞、恶意文件等敏感的问题,从产品介绍上似乎都看不出能实现这些能力,可以说功能上并不突出。另外再从技术上看,所有的介绍中并找不到任何关于产品实现技术的描述,也没有相关的技术博客介绍。
最后,从公司的核心创始人来看,官网公布的4个核心成员,除去其中一个投资人,其余的除了CEO有明确的职责外,另外三个人很难看出明确的职责分工,比如技术负责人、市场负责人、销售负责人等。另外核心成员的履历背景相对来看也不是特别的好看。所以,在绿盟君看来,BluBracket尚处于发展初期。
· 参考链接 ·
[1] blubracket,https://www.blubracket.com/
[2] DisruptOps,http://dwz.date/wH7
[3] ShiftLeft,http://dwz.date/wJg
[4] https://www.crunchbase.com/organization/blubracket