2020年2月24日-28日，網(wǎng)絡(luò)安全行業(yè)盛會RSA Conference將在舊金山拉開帷幕。在RSAC官方宣布入選今年創(chuàng)新沙盒十強(qiáng)初創(chuàng)公司中，綠盟君已經(jīng)為大家介紹過了Elevate Security 、Sqreen、AppOmni、Tala Security、ForAllSecure、INKY六家廠商，今天為大家介紹的是：BluBracket。

一、公司介紹

BluBracket于2019年成立，總部位于美國加州，是一家專注于代碼安全的初創(chuàng)公司。當(dāng)前由Unusual Ventures、SignalFire、Point72 Ventures和Firebolt Ventures共同投資650萬美元作為其種子資金，當(dāng)前處于種子輪。

BluBracket在其官網(wǎng)上指出，公司的定位是：提出當(dāng)前業(yè)界首個也是唯一一個全面的代碼安全解決方案。作為一家成立剛剛一年的公司就能進(jìn)入創(chuàng)新沙盒決賽，必有其過人之處。

二、背景介紹

在具體介紹其產(chǎn)品前，我們先看一下公司的董事會成員以及背景經(jīng)歷。

Prakash Linga，公司的創(chuàng)始人兼CEO，2007年于康奈爾大學(xué)獲得Computer Science博士學(xué)位。之后在Moka5作為技術(shù)總監(jiān)工作了4年(Moka5是一個成立于2005年的桌面虛擬化公司，于2015年停止運營)。然后就開始了其創(chuàng)業(yè)之路，從其在Linkedin上的資料來看，從2011年至今，已經(jīng)創(chuàng)辦了三家公司：

第一家公司是RAPsphere(2011.4—2012.5)，Linga作為創(chuàng)始人、CTO和技術(shù)VP，從網(wǎng)上僅存的一些介紹中，大概可以看出，RAPsphere主要提供移動安全、應(yīng)用和設(shè)備管理服務(wù)，為企業(yè)和員工的移動設(shè)備提供安全的設(shè)備控制、管理和可見性。很不幸的是，這個公司只存活了一年多。

然后其在2014年又創(chuàng)立另一家公司，Vera Security，主要做數(shù)據(jù)安全。Vera提供了一種數(shù)據(jù)安全的解決方案，使各種規(guī)模和位置的企業(yè)能夠輕松地跨所有平臺和設(shè)備保護(hù)和跟蹤任何數(shù)字信息。通過全面的數(shù)據(jù)安全和實時控制，允許人們使用任何想要的平臺和設(shè)備，同時確保最高級別的安全性、可視性和控制。

在2018年8月，Linga離開了Vera，創(chuàng)辦了BluBracket，任CEO，從其履歷和Linkedin上的自我介紹來看，Prakash Linga這個印度小伙將自己定位為一個連續(xù)的創(chuàng)業(yè)者和天使投資人。

Ajay Arora，BluBracket的另一個合伙人，同樣給自己的標(biāo)簽也是連續(xù)的創(chuàng)業(yè)者和天使投資人，Ajay Arora可以算是Prakash Linga的老搭檔了，從RAPsphere的Co-Founder、COO和產(chǎn)品VP，到Vera的CEO、Co-Founder，甚至二者還曾經(jīng)共同就職于AppSence分別擔(dān)任VP。從Ajay Arora的履歷中可以看出來，從產(chǎn)品、解決方案管理，到市場運營管理，可以說是什么都做過了。但是除了前文提到的這幾個創(chuàng)業(yè)公司之外，其他就職過的公司似乎很少是做安全相關(guān)的。

BluBracket董事會的另外兩名成員，從其個人簡歷介紹中，并未提及BluBracket的任職職務(wù)，其中Jim Zemlin當(dāng)前是Linux基金會的執(zhí)行董事，另外一位John Vrionis是BluBracket投資方Unusual Ventures的創(chuàng)始人。

三、產(chǎn)品介紹

接下來我們看一下BluBracket的產(chǎn)品，公司成立于2019年，是此次創(chuàng)新沙盒所有公司中“最年輕”的一個，也是融資金額最少的一個(650萬美元)。從其官網(wǎng)上看，對公司的各項介紹都少的可憐，也可能是因為成立時間太短，公司的主要精力還集中在產(chǎn)品的研發(fā)上。

BluBracket對其產(chǎn)品的定位是：當(dāng)前業(yè)界首個也是唯一一個全面的代碼安全解決方案。公司的口號為“Security at the speed of code”，綠盟君理解應(yīng)該是“讓安全的保障和代碼迭代一樣的快”。

為了支撐這樣的定位，BluBracket當(dāng)前提供CodeInsights和CodeSecure兩款產(chǎn)品，組成其代碼安全解決方案。

1. CodeInsights

從產(chǎn)品介紹上看，CodeInsights主要提供的是代碼的管理功能。

當(dāng)前無論是敏捷開發(fā)，還是DevOps，任何一個軟件項目，其代碼管理都是一個重要問題，尤其是從安全的角度來看，大量的開源項目應(yīng)用、大量的開發(fā)人員不斷進(jìn)行代碼的更新，以及快速的代碼迭代。能夠?qū)φ麄€項目的代碼進(jìn)行全視角的查看和追蹤，無論是對代碼的規(guī)范性管理還是脆弱性管理，都有著重要的意義。

如今協(xié)作式編碼工具，為研發(fā)管理提供了極大的便捷性，但是同時也導(dǎo)致了代碼擴(kuò)散不清晰的問題。CodeInsights主要為企業(yè)提供了代碼環(huán)境視圖(BluPrint)，這樣用戶就可以知道自己的代碼在哪里，無論是組織內(nèi)部還是外部，誰可以訪問它。最重要的是，用戶就可以對最重要的代碼進(jìn)行分類，這樣就可以為任何審計或規(guī)范性要求顯示詳細(xì)的追蹤鏈。

2. CodeSecure

BluBracket提供的另一款產(chǎn)品叫CodeSecure，從名字理解，是保證代碼安全的。通常，使用Stack Overflow、Github或其它開源的代碼協(xié)作工具，通常會對企業(yè)安全構(gòu)成嚴(yán)重的威脅。CodeSecure可以檢測代碼中的密鑰，并確保代碼中沒有敏感的密碼，或者是令牌被盜用、錯誤的處理或誤用。CodeSecure還可以讓用戶識別、預(yù)防甚至阻止代碼從企業(yè)中意外或惡意的流出，保證企業(yè)代碼的隱私性。

下面的兩張圖是其官網(wǎng)上貼出來的產(chǎn)品界面截圖，從截圖上，我們可以大概的看一下它具體的功能，比如能夠在代碼倉庫中識別到AWS的token，能夠識別出代碼倉庫中存在的密鑰，能夠識別代碼倉庫的訪問權(quán)限等安全告警。還能夠?qū)Υa倉庫、開發(fā)者、開發(fā)環(huán)境等信息進(jìn)行集中的管理和監(jiān)控。

四、歷屆創(chuàng)新沙盒與DevSecOps

代碼安全更廣義的范疇，可以劃分到DevSecOps里面。DevSecOps的理念和架構(gòu)，近年來越來越多的為人們所青睞。Gartner從2016年起，就持續(xù)的將DevSecOps列入其年度Top10安全技術(shù)和項目中。下圖是Gartner發(fā)布的經(jīng)典DevSecOps閉環(huán)模型。

隨著敏捷開發(fā)、DevOps的飛速發(fā)展，DevOps全流程自動化的工具鏈相對來講已經(jīng)比較成熟和完善，在眾多規(guī)模性的企業(yè)得到了較好的應(yīng)用和推廣。然而要想實現(xiàn)DevSecOps閉環(huán)模型，還需要重點解決以下幾方面的問題：

• 切實有效的安全工具，實現(xiàn)每個階段對應(yīng)的安全能力;
• 能夠友好的集成到DevOps工具鏈生態(tài)中，實現(xiàn)完全的安全自動化;
• 要能夠保證其效率與性能，使得安全能力的接入，不會影響到DevOps流程的性能。

在市場和技術(shù)的推動下，近年的創(chuàng)新沙盒中，多次出現(xiàn)DevSecOps相關(guān)產(chǎn)品，比如今年的ForAllSecure，2019年的DisruptOps(云基礎(chǔ)設(shè)施檢測與修復(fù))、ShiftLeft(軟件代碼防護(hù)與審計)等。

1. DisruptOps

多云和敏捷開發(fā)是云計算的熱點，DisruptOps以SaaS化的服務(wù)方式，通過對用戶的多個云資源進(jìn)行安全與操作問題的快速檢測并自動修復(fù)，一方面節(jié)省了客戶上云的成本，另一方面實現(xiàn)對云基礎(chǔ)架構(gòu)的持續(xù)安全控制，在安全、運營和成本等方面，給用戶帶來最大的收益。此外，借助自動化和服務(wù)編排的技術(shù)，推動云原生應(yīng)用和DevSecOps的落地。

2. ShiftLeft

ShiftLeft創(chuàng)新性的提出基于多層圖表的代碼分析方法，將全部應(yīng)用代碼進(jìn)行多層次的、可擴(kuò)展的圖的方式展現(xiàn)。圖能完整包含代碼的多種元素，完整展現(xiàn)代碼細(xì)節(jié)，比如語言、自主開發(fā)代碼、開源代碼(OSS庫、SDK)、不同類別，方法等。從而可以從圖中清晰的理解數(shù)據(jù)流動，快速識別數(shù)據(jù)泄露，關(guān)鍵漏洞等。而且掃描速度極快，10分鐘分析50萬行代碼，適用于DevOps場景，能夠直接和CI/CD無縫結(jié)合，發(fā)現(xiàn)每個產(chǎn)品版本的問題，效率極高。通過將代碼分析和ShiftLeft的應(yīng)用微代理結(jié)合起來，能夠深刻理解漏洞，并針對漏洞進(jìn)行優(yōu)先級排序。

四、總結(jié)

首先從市場來看，隨著云原生、微服務(wù)、敏捷開發(fā)DevOps等越來越多的實現(xiàn)落地應(yīng)用，代碼安全確實是一個亟需解決的問題。前文也有提到，在整個DevSecOps閉環(huán)中，如何高效的實現(xiàn)開發(fā)階段的代碼安全，對于整個DevSecOps有著重要的意義。所以說，這個產(chǎn)品在定位上應(yīng)該是緊緊抓住了當(dāng)前的熱點同時也是痛點的問題。

其次，從產(chǎn)品本身來看：在功能上，BluBracket提供了代碼管理和安全檢查兩個功能，但是從僅有的資料來看，安全檢查上似乎功能點并不是十分的吸引人，只能看出來可以對代碼中存在的密鑰、權(quán)限等的檢測，對于代碼的脆弱性、漏洞、惡意文件等敏感的問題，從產(chǎn)品介紹上似乎都看不出能實現(xiàn)這些能力，可以說功能上并不突出。另外再從技術(shù)上看，所有的介紹中并找不到任何關(guān)于產(chǎn)品實現(xiàn)技術(shù)的描述，也沒有相關(guān)的技術(shù)博客介紹。

最后，從公司的核心創(chuàng)始人來看，官網(wǎng)公布的4個核心成員，除去其中一個投資人，其余的除了CEO有明確的職責(zé)外，另外三個人很難看出明確的職責(zé)分工，比如技術(shù)負(fù)責(zé)人、市場負(fù)責(zé)人、銷售負(fù)責(zé)人等。另外核心成員的履歷背景相對來看也不是特別的好看。所以，在綠盟君看來，BluBracket尚處于發(fā)展初期。

· 參考鏈接 ·

[1] blubracket，https://www.blubracket.com/

[2] DisruptOps，http://dwz.date/wH7

[3] ShiftLeft，http://dwz.date/wJg

[4] https://www.crunchbase.com/organization/blubracket