鉴释人物 | 专访产品开发总监吴翔：DevSecOps 的竞技之道

吴翔是鉴释的产品开发总监，主要负责内部 DevOps 流程管理、产品测试及客户售后的技术支持和服务。

DevSecOps（开发安全运维）从 DevOps（开发运维）演变而来，是近年的热门概念。您如何理解 DevSecOps 对信息安全的影响？

吴翔：DevOps 是开发（Development）与运维（Operations）相结合的称呼。在 DevOps 的理念下，软件开发人员和运维人员紧密合作。随着移动互联网的加速发展，敏捷开发模式的流行，可打破业务隔离、提高效率的 DevOps 受到广泛欢迎。然而，软件开发周期的缩短也带来了一些弊端。传统软件开发模式下，软件开发的周期相对较长，提供了充足的时间来确保软件的稳定性、安全性。而近几年敏捷开发的模式流行，软件进行频繁的迭代，从功能设计到上线发布，开发周期越来越短，使得软件的安全问题不断增加。

许多企业已然意识到了安全的重要性，以及安全问题将引发的灾难性后果，开始重视软件安全，也提出了新的理念：DevSecOps，需要在软件开发的整个生命周期内将 Sec，即安全（Security）融入 DevOps 实践。要将 DevSecOps 这种新的组合工作模型付诸实践，首先需要所有的团队及成员都具备严谨的安全思维。

AST（应用程序安全漏洞测试）是 DevSecOps 实践的重要组成部分之一。能否请您简要谈谈 AST 对 DevSecOps 的重要性？

吴翔：DevSecOps 的落地执行在企业内部往往遇到较大阻力，因为高层领导没有足够的重视和支持，业务负责人也不鼓励加强安全措施。DevOps 实践的目的是让开发流程更快速，而加入安全监督环节则被认为会带来速度和时间上的牺牲，与 DevOps 所追求的高速开发产生冲突。

为了帮助企业同时实现 DevOps 和 Sec 两个目标，除了坚决贯彻安全生产理念之外，需要优秀的工具及平台软件辅助实施，AST（应用安全测试）软件为首要选择。AST 领域包含 SAST（静态测试）、DAST（动态测试）和 IAST（交互式测试）。鉴释目前提供 SAST 产品，同时 IAST 的产品开发也正在快速进行中。鉴释的 SAST 可以有效融入软件开发生命周期（SDLC）中，为 DevSecOps 实践提供最大的帮助。如果开发者能在左移测试（Shift-Left Testing），即在开发生命周期的初期使用 SAST 工具，可以有效地提升代码检测的准确性和效率，极大地降低时间、资金、人力等资源的消耗。而对于这样的 SAST 工具，核心的要求便是扫描效率高、速度快、准确率高。相较于竞品，这些也恰恰是鉴释的优势。

此外，在高效的工具之外，团队上下具备安全意识也是重中之重。

为何 DevSecOps 受到众多行业和企业越来越多的关注？它对传统 DevOps 提出了哪些新要求？

吴翔："安全生产”的概念早已深入许多传统行业，但这在软件行业才刚刚开始。过去国内在教育开发者进行基础编程时，安全问题没有得到足够的重视。因此，在欠缺安全思维的情况下，许多小型的企业可能会仅仅考虑如何快速地交付产品，而忽略了安全问题。这也导致国内软件产品安全问题频发，影响了许多互联网公司，甚至包括大厂的出海。由于忽略安全问题带来的教训也让许多公司和行业认识到了安全的重要性，现在许多人需在安全方面补课、还技术债。

DevSecOps 里的 Sec，即安全流程，要在 DevOps 里严格地执行安全理念和活动，例如展开定期的安全培训、安全团队进行攻防演练等。软件代码质量决定和影响安全方面的问题。为了提升产品研发效率和质量，可以在软件开发的初期便进行介入和预防，借助工具提升代码安全检测的效率。

鉴释期望在 DevSecOps 生态系统中扮演怎样的角色？鉴释的产品如何帮助企业实施 DevSecOps？

吴翔：如果将软件产品开发生命周期比作一段道路，起点是需求分析，终点是产品交付。人们可通过步行抵达终点，犹如采用传统的软件开发模式。奉行 DevOps 的敏捷模式并且采用 DevOps 的辅助工具产品及平台，就好比有了一辆车，可以开车快速地完成这段路。但是，如果车开太快且车速不可控，便容易发生安全事故。我们需要一辆安全、可控、具备优良的刹车系统，及速度控制机制的优良的车。这辆车就像是 DevSecOps 实践工具，帮助企业和开发者快速、安全地抵达终点。

鉴释希望以自己的力量以及自主的核心技术，为客户打造一辆值得信赖的好车，创新、安全、高效，让开发者、企业在 DevSecOps 道路上既快又安全地到达终点。

作为鉴释的产品开发总监，您的团队做了哪些工作来了解客户的需求并打磨产品?

吴翔：除了 IT 行业，许多传统行业，例如金融、能源、工业、教育、医疗等都有软件安全的需求，并需要用到 AST 类的工具。

所以，鉴释的客户不仅来自于 IT 行业，也有传统行业。当有客户提出需求，我们就像给软件和代码做诊断的医生，会去详细地了解、分析客户的行业背景、需求、痛点，以及具体需要产出的产品和将来的计划等。通过持续和细致的沟通，我们立足于目前核心的 SAST 产品，为客户提供定制化的解决方案。

当然，我们也会不断总结和归纳不同行业的服务经验，归纳总结出一些标准化的解决方案，更高效地作出响应。

您负责鉴释售后技术支持和服务，从客户那里获得了怎样的反馈？能否举例说明您的团队在售后期间如何帮助客户？

吴翔：客户非常认可我们可以快速、有效解决问题的能力。因为鉴释是创业公司，并且我们在国内北京、上海、深圳、香港都有办公室，所以相较一些海外的竞争对手，我们响应客户的速度很快。

举例来说，我们有位客户是国内一家比较大型的 IoT 企业。他们提出了左移开发阶段的需求，由于我们相较于竞争对手的响应更快，并且一直跟进客户的情况，持续地响应和跟进，客户感到了我们的投入和重视，并认可我们所提供的 SAST 解决方案。

现在，这位客户有额外的需求也会找我们咨询。在不止是左移测试方面，向我们提出了其他方面的需求，与我们保持着非常良好的合作关系。

您为何决定加入鉴释？

吴翔：其实我与鉴释的两位联合创始人早就结识。大学毕业后初入职场，就有幸跟随鉴释目前的首席技术官陈新中和首席架构师刘新铭先生开始技术生涯，他们两位均是编译器这个计算机基础科学领域世界最顶尖的专家。

他们在退休之前，决定携手创办鉴释这个事情非常了不起。我们都知道，目前国内的软件还相对落后，基础软件领域尤甚，无论是在数量、质量还是核心技术上。但是愿意致力于基础软件领域技术核心和自主开发的人群很少，它对于技术的要求高，路途艰巨且困苦。虽然非常难，但是我认为这样难的重担总需要有人扛起。如果现在没有人愿意去做这件事，AST 这块领域可能就出现国产的空白。

我们发现您正在积极地招聘人才。您认为您未来的团队成员应具备哪些核心特质？

吴翔：我们非常重视人才，也非常向往能找到合适、志同道合的人。纵观最近一些互联网的意见领袖如雷军、张一鸣所发表的人才观，对于人才的期望其实是比较相似的：具备持续学习、独立学习的能力；有挑战精神，能够迎难而上；有责任心，主动承担责任。这些都是我比较看重的一些精神。

此外，鉴释作为创业公司，我们也希望团队成员能乐于锻炼不同的技能，主动地提供帮助以解决不同的问题。具备主动迎接不确定性、不断接受挑战的精神，这样的人能够为早期创业公司的快速增长贡献更多的力量，同时，这也能帮助个人快速培养能力、丰富经历。

鉴释是一家初创企业，您感受到的企业文化氛围是什么样的？

吴翔：类似于许多互联网公司、硅谷科技企业的氛围，鉴释的管理非常扁平化、自由、灵活。当团队成员有新的构想时，可直接和最终的决策者沟通。鉴释给了大家自由的空间。此外，我们在完成职责范围内的事情之后，也热衷于去帮助别的同事，或是去完成自己感兴趣的事情。

最后，您还有什么想要补充的吗？

吴翔：我想要再强调软件应用程序对安全需求的重要性，特别是在西方，DevSecOps 早已成为市场的常态。最重要的是，国内市场上的很多企业和软件产品开发商都应该接受它，这样才能确保高质量和安全的产品。

点击了解更多鉴释产品及资讯！