惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

S
Securelist
有赞技术团队
有赞技术团队
WordPress大学
WordPress大学
V
V2EX
Google DeepMind News
Google DeepMind News
B
Blog RSS Feed
The Register - Security
The Register - Security
Recorded Future
Recorded Future
Y
Y Combinator Blog
小众软件
小众软件
Jina AI
Jina AI
V2EX - 技术
V2EX - 技术
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
P
Proofpoint News Feed
Engineering at Meta
Engineering at Meta
宝玉的分享
宝玉的分享
The Hacker News
The Hacker News
C
Cybersecurity and Infrastructure Security Agency CISA
K
Kaspersky official blog
博客园 - 三生石上(FineUI控件)
T
Threatpost
博客园 - 聂微东
Scott Helme
Scott Helme
IT之家
IT之家
N
Netflix TechBlog - Medium
T
The Exploit Database - CXSecurity.com
S
Schneier on Security
MongoDB | Blog
MongoDB | Blog
T
Tor Project blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
A
About on SuperTechFans
酷 壳 – CoolShell
酷 壳 – CoolShell
C
CERT Recently Published Vulnerability Notes
P
Palo Alto Networks Blog
Spread Privacy
Spread Privacy
C
Check Point Blog
L
LINUX DO - 最新话题
D
Darknet – Hacking Tools, Hacker News & Cyber Security
Last Week in AI
Last Week in AI
Attack and Defense Labs
Attack and Defense Labs
T
Tailwind CSS Blog
罗磊的独立博客
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Webroot Blog
Webroot Blog
Help Net Security
Help Net Security
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
爱范儿
爱范儿
PCI Perspectives
PCI Perspectives
Security Latest
Security Latest

Ming Blog

OpenClaw安全实战系列(四):幽灵连通性—揭秘CVE-2026-32038沙箱网络隔离绕过与靶标实战 OpenClaw安全实战系列(一):Agent Skill 供应链投毒路径重现与靶标建设 OpenClaw近期生态安全事件解读:从RCE漏洞到Skill供应链投毒分析 OpenClaw安全实战系列(二):白名单也防不住?复盘 CVE-2026-28363 授权绕过全过程 OpenClaw安全实战系列(三):利用网关劫持实现 OpenClaw 控制端 1-Click RCE (CVE-2026-25253) 从现网到靶场:2025云上AI安全事件深度复盘 提示词注入:近期大模型安全漏洞案例剖析 大模型生态的数据泄露危机:从向量数据库到AI助手的“失控链” 2025 Verizon DBIR解读 | 供应链攻击30%+勒索软件44%:边缘设备漏洞与AI滥用催生新风险 开源大模型推理软件的攻击面分析:云上LLM数据泄露风险研究系列(四) LLM数据泄露风险研究系列(三):基于LLM应用的攻击面分析 从环境构建到漏洞利用:如何用Metarget和Coogo复现K8s IngressNightmare攻击链 网盘数据泄露探索:从访问控制突破到敏感信息发现 从数据库沦陷到供应链投毒:大模型安全危机背后的“隐形战场 2024 Verizon DBIR解读 | 数据泄露转向连接云的第三方软件供应链 洞见RSA2024 | Kubernetes攻击与防御技术综述 RSAC 2024创新沙盒|Aembit:面向IAM的云工作负载访问控制平台 那些年陪自己走过的歌声 客户端文件直传对象存储的便捷与安全性探究 无题 日常记录 Service Mesh未来发展趋势浅析 云攻防课程系列:云计算基础与整体安全 RSA创新沙盒盘点Dazz — 面向SaaS化的云安全漏洞缓解平台 云原生API安全:背景、态势与风险防护 OpenTelemetry Operator for Kubernetes实践 利用Serverless函数造成的DoS攻击分析 Goodbye 2022, what up 2023 如何正确地使用CI/CD工具 红岩子游 云原生服务风险测绘分析【五】:Etcd Neosec — 面向API安全的SaaS化防护方案 云原生服务风险测绘分析【四】:Prometheus 巨浪 云原生服务风险测绘分析【三】:Kong和Apache APISIX 云原生服务风险测绘分析【二】:Harbor 平衡 云原生服务风险测绘分析【一】:Docker、Kubernetes 读书笔记 猫咪 one little candle 【云原生应用安全】云原生应用安全防护思考(二) 【云原生应用安全】云原生应用安全防护思考(一) 【云原生应用安全】云原生应用安全风险思考 新年寄语 陀螺 主流开源Serverless平台OpenFaaS安全性研究 电影《Tschick》观后感 电影《Jojo Rabbit》观后感 Serverless安全研究 — Serverless安全防护 Serverless安全研究 — Serverless安全风险 夜晚随笔 云原生攻防研究 — 针对AWS Lambda的运行时攻击 Serverless安全研究 — Serverless概述 Music Corner 怀念2017的新西兰之旅 好书推荐 — Kubernetes安全分析 【云原生攻防研究】Istio访问授权再曝高危漏洞 RSA 创新沙盒盘点| AppOmni—面向SaaS数据泄漏的持续性监控和告警防护 主流云原生微服务API网关成熟度与安全功能对比分析 浦明的博客 浦明的博客 浦明的博客
RSA 创新沙盒盘点| WABBI — 面向应用全生命周期的安全防护方案
Ming Blog · 2021-05-12 · via Ming Blog

本文转自绿盟科技研究通讯公众号 《RSA 创新沙盒盘点| WABBI — 面向应用全生命周期的安全防护方案》

一. 公司介绍

WABBI成立于2018年,总部位于美国波士顿州,该公司专注于SecDevOps领域,通过旗下的SecDevOps产品可使企业能够更快、更安全的将软件进行交付,目前公司人数大约20-30人左右,公司的首席执行官兼创始人为BrittanyGreenfield[1],毕业于杜克大学,并在麻省理工学院读取了MBA,单从其工作履历来看,该创始人从事的多为市场营销相关领域,与信息安全领域并无太多交集,但优势在于对现有软件市场有着较深理解,并在DevOps方向有着前瞻性的研究,2019年5月份,该公司已经筹集了33万美元的第一轮融资,投资者以Underscore VC[2]公司牵头,Douglas Levin[3]、Ashley Smith[4]等人也参与了此轮融资。

二. 背景介绍

随着技术的不断发展,为促进开发运维一体化,DevOps应运而生,其代表的并非一种具体的实现技术,而是一种方法论,并在2009年被提出[1]。DevOps的出现最终目的是为了打破开发人员与运维人员之间的壁垒和鸿沟,高效的组织团队通过自动化工具相互协作以完成软件生命周期管理,从而更快且频繁地交付高质量稳定的软件。

如我们所知,DevOps影响的不仅包含开发团队(Dev)和运维团队(Ops),还应包含安全团队(Sec),在系统生命周期(SDLC Systems DevelopmentLife Cycle)中,安全团队因常聚焦于运营阶段,因而往往忽视了开发阶段的安全,所以“安全左移”的理念在近些年非常的火,其强调安全因素应纳入应用开发的早期阶段,常见的,我们在开发(Dev)与运维(Ops)之间加入安全(Sec),也就是DevSecOps理念,其侧重点是将安全工具自身整合至CI/CD工作流中,且安全工具主要纳入应用的测试、发布和运维阶段,如下图所示:

image
图1 DevSecOps示意图[6]

近些年来,随着DevOps工具链激增,如Aqua、Twistlock等容器安全公司均支持了DevSecOps的解决方案[7][8]。

然而,从安全的角度上考虑,DevSecOps虽然在一定程度上保障了DevOps的安全,但由于其并未涵盖DevOps的整个闭环流程,因而缺乏项目环境(应用的上下文环境),进而,DevSecOps无法解决应用安全的优先级问题。此外,项目环境的缺失还会降低整体的开发运维效率。鉴于此,人们渐渐提出了SecDevOps的理念,即将安全部分(Sec)移至最左边,SecDevOps遵循将安全部署至系统生命周期的每一个阶段,而不仅仅是测试、部署、运维阶段,如下图所示:

image
图2 SecDevOps示意图[9]

通过安全流程与开发流程的一致性,我们可以预定义流程以确保在正确的时间进行安全检测并按照优先级顺序逐一对安全问题进行修复。

为了较好地实践SecDevOps理念,WABBI公司提供了一套平台,该平台负责管理安全工具及应用发布前的代码安全,并能确保将安全工具无缝整合至现有的DevOps工作流中。具体的,WABBI对应用的安全防护能力可通过为不同应用分配不同的策略去实现,加之对每个策略的控制措施及对安全测试结果的分析方法,该平台有效加速了应用的安全交付,为各企业的DevOps团队提供了安全基础架构。

三. 产品介绍

WABBI公司提供一套SecDevOps平台,该平台主要由管理器(Manager)、策略编排器(Orchestrator)、版本控制器(Gatekeeper)三个功能模块组成,需要注意的是,官方并没有明显提及以上三个核心模块是如何与现有的DevOps流程进行融合的,笔者通过现有材料的分析推测,其管理器和策略编排器保证了应用代码设计、构建、测试阶段的安全,而版本控制器保证了应用发布、运维阶段的安全,三者结合可以实现整个SecDevOps流程的闭环。

3.1 管理器

通过官网提供的信息可以看出管理器主要为用户提供项目管理功能,包括项目导入、初始策略分配、应用漏洞检测、可视化展示等,用户可通过平台进行具体的操作,如下图所示:

image
图3 导入项目至WABBI平台的流程

图3我们可以看出用户导入项目的过程分为四步,分别为项目选择、自定义设置、项目描述(可进行初始化策略分配)、项目概览(可视化展示),图4为成功导入项目后的概览页面:

image
图4 项目概览界面

从概览页面可以看出WABBI平台为用户提供了包括项目存在的安全问题、项目安全问题的优先级排序、项目安全问题的待办数、项目总体的安全性评分等可视化展示,这样,一方面可在用户层面满足对当前项目的“即时可见性”的需求,确保问题得到及时解决;另一方面可有效对安全债务(Securitydebt)进行控制,确保应用的按时交付。

3.2 策略编排器

WABBI通过策略编排器实现策略的自动化编排,其核心为集中式策略引擎,通过引擎可将不同的策略分配至合适的项目,随着应用安全风险的不断变化,用户可以得知哪些项目受到了策略变化带来的影响,从而可确保应用始终符合当前的安全标准。笔者通过观看其官方demo视频,截取了平台策略管理相关的界面,如下所示:

image
图5 策略管理界面1
image
图6 策略管理界面2

从图5,6我们可以看出,该平台默认提供的策略类型还是相对较多的,包括认证、授权、恶意软件、通信、文件、业务逻辑等,每个策略类型下面又包含许多策略,例如NIST安全标准策略等。

此外,从界面上来看,策略管理部分还支持用户自定义策略类型,并可手动导入策略,例如我们可以将OWASP安全标准导入到策略管理模块中,如图7所示,这样可在一定程度上加强策略的扩展性。

image
图7 策略管理界面3

3.3 版本控制器

从官网信息中,笔者了解到版本控制器主要用于确保每次应用版本的发布都能遵循安全标准,具体的,版本控制器可协调所有的安全质量检查,当遇到不符合安全标准的状况时,版本控制器可以通知具体用户需要修复什么,从而可促使代码按时进行交付。另外,用户可通过该平台针对项目不同版本查看相应的安全问题,这个功能对于用户来说还是相当直观有用的,具体如下图所示:

image
图8 项目不同版本查看页面

此外,通过版本控制器我们可以在DevOps流程的每个阶段查看应用代码交付是否满足安全标准,从而简化了事后合规性检查的过程,例如WABBI平台在集成Azure Pipelines后,我们可以查看系统发布未能通过的详细信息,如图9所示:

image
图9 CI/CD流中WABBI的版本控制器报错页面
image
图10 与图9对应的发布失败信息

图10可以看出,用户可针对流程手动进行审批,以满足现有环境不符合安全标准但仍需发布的场景。

四. 解决方案介绍

4.1 提供CMCC方案

CMCC全称为CybersecurityMaturity Modle Certification,即网络安全成熟度模型认证,其是由美国国防部发起的一项计划,目的是为了衡量企业在网络安全领域的能力、准备程度及复杂程度。具体的,CMCC侧重于采用实践和流程,以便企业在各方面可切实的实施网络安全,将企业从被动的网络安全模式转变为主动的网络安全模式。WABBI宣称其SecDevOps 平台可以使企业在面对CMMC标准时,实施必要的实践及流程,下图是WABBI提供的CMCC方案流程图:

image
图11 CMCC方案实现流程[10]

图11可以看出,通过WABBI SecDevOps平台的集中化策略管理,可使所有记录在案的应用安全实践被执行。此外,通过WABBI SecDevOps平台对应用开发和运维流程的全面监控,可使用户在最短时间内接收有效信息,在一定程度上降低了流程的复杂度,以促进企业向CMCC标准的方向迈进。

4.2 提供可持续性的ATO

ATO全称为Authority-to-Operate,即运营授权,具体指授权运营一个系统并在一套安全控制措施的基础上,明确接受企业运作、企业资产可能带来的风险。由于传统的授权运营流程无法跟上现今软件开发的速度,因而导致ATO流程往往无法持续进行,而WABBI宣称其SecDevOps平台可通过自动化和协调应用的安全流程作为系统生命周期的一部分,进而降低应用的运行维护成本以及项目交付的风险,实现持续的ATO。持续的ATO对于满足快速且安全地将软件交付至用户的需求来说至关重要。

下图为WABBI官方提供的实现持续性ATO的流程。

image
图12 CMCC方案实现流程[11]

五. 与现有的DevOps生态链的集成

通过官网介绍[12],笔者发现WABBI与现有DevOps生态链的结合还是相对比较全面的,下图可以看出,涉及的生态链几乎能覆盖DevOps流程的每个阶段,但同时我们也能发现每个阶段集成的工具数量较少,这可能也和WABBI公司处在创业期有关,其产品仍在不断迭代扩展,以满足更多用户的需求。

image
图13 WABBI支持的DevOps生态链[13]

六. 优势与挑战

通过上文对WABBI平台的介绍,我们可以看出其一大亮点是较好的实践了“安全左移”(SecDevOps)的理念,通过将安全机制部署至系统生命周期的每个阶段,可使安全流程与开发运维流程保持一致,从而从根源处消除了开发团队在选择敏捷性和安全性之间的顾虑,相比DevSecOps,SecDevOps理念更好的贯穿了开发、运维、安全的一体化。

然而,WABBI也存在着一些挑战,笔者从技术角度出发总结为以下三点:

1.应用漏洞的误报或漏报问题

WABBI公司宣称其产品的版本控制器可以代替人工进行审批,并在出现问题后及时通知相关用户,但如我们所知,自动化是无法完全替代人工的,只能一定程度上降低人工成本,并且由于自动化响应是基于规则,规则的不完善可能会进一步导致系统的误报或漏报的增多,针对此情况,笔者在官网上并未看到WABBI是如何进行处理的,因而

因而对于WABBI来说无疑是一项挑战。

2.策略编排器的性能问题

WABBI通过策略编排器实现了策略的自动化编排,这确实在一定程度上解决了手动管理多项目带来的问题,但从其官网提供的demo中,我们可以看到其支持策略的不断扩展,且每个策略类别下又可以添加不同的策略,那么随着管理项目数量地不断增多,策略数量将会呈指数增长,最终策略编排引擎的性能是否会受到影响是WABBI需要关心的问题。

3.与DevOps工具适配接口的性能问题

从WABBI公司目前的发展来看,笔者认为WABBI想不断扩展其与主流DevOps工具的适配,然而更多适配必然会导致一定的性能问题,如何将不同DevOps工具的适配接口进行整合形成一套通用的接口,并能通过参数指定的方式去驱动适配性是可选择的手段,WABBI究竟会如何考虑我们并不得知,但这一定是WABBI面临的一项挑战。

七. 总结

今年入围RSA创新沙盒的十大公司在应用安全方向有两家,一家为Apiiro,我们在另一篇文章中对其进行了解读。另一家就是今天我们谈论的WABBI,从其融资水平以及团队背景来看,笔者认为WABBI想在最终的决赛中脱颖而出还是有一定的难度。从其背后的产品力来看,笔者认为WABBI还是具备一定的创新性及优势,毕竟目前市场上的产品多是实践了DevSecOps理念,例如2020年入围RSA创新沙盒的ForAllSecure公司,2019年入围的DisruptOps(云基础设施检测与修复)、ShiftLeft(软件代码防护与审计)公司。但成功实践了SecDevOps理念的产品却少之又少。值得注意的是从2019-2020年,DevSecOps方向入围的公司均未进入过最终的Top 3,这一方面反映了DevSecOps方向可能相比其它方向受到的关注度要更低一些,另一方面也间接说明了该领域很难再出现颠覆性的创新点,无论最终结果如何,希望WABBI可以继续延续其创新性和优势,为市场带来更好的产品。

八. 参考文献

[1] https://www.linkedin.com/in/brittanygreenfield/

[2] https://www.linkedin.com/company/_underscore.vc/

[3] https://www.linkedin.com/in/bduck1/

[4] https://www.linkedin.com/in/ashley5/

[5] https://en.wikipedia.org/wiki/DevOps

[6] 图片来自https://wabbisoft.com/wp-content/uploads/2019/11/DevSecOps.png

[7] https://www.aquasec.com/use-cases/devops-security/

[8] https://ibm-gsi-ecosystem.github.io/ibm-gsi-cloudnative-journey/developer-advanced-2/devsecops-twistlock/

[9] 图片来自https://wabbisoft.com/wp-content/uploads/2019/11/SecDevOps-no-questions.png

[10] 图片来自https://wabbisoft.com/wp-content/uploads/2020/12/CMMC.gif

[11] 图片来自https://wabbisoft.com/wp-content/uploads/2020/11/Continuous-ATO.gif

[12] https://wabbisoft.com/secdevops-integrations/

[13] 图片来自https://wabbisoft.com/secdevops-integrations/

[14] WABBI SecDevOps Orchestration https://www.youtube.com/watch?v=JcL1D_CneeM

[15] https://WABBIsoft.com/getting-started-with-secdevops-the-what-the-how-and-the-why/

[16] https://WABBIsoft.com/what-is-secdevops/

[17] https://wabbisoft.com/platform/

[18] https://wabbisoft.com/solutions/cmmc-compliance/

[19] https://wabbisoft.com/solutions/continuous-ato-2/

[20] https://www.nsfocus.com.cn/