近年来，企业纷纷将数字化作为发展的首要战略来应对市场的挑战。2022 年第一季度，全球云基础设施服务支出同比增长了 34%，达到 559 亿美元，据 Canalys 最新数据统计，云服务总体支出较上一季度增加了 20 亿美元，较 2021 年第一季度增加了 140 亿美元。

Web 2.0 向 3.0 的进发，去中心化愈发明显，把业务实现成软件，并放到一个“租赁”的第三方硬件与网络资源上运行，是大势所趋。

那么问题来了，你的代码和数据，就是你的数字资产，如何在一个并不完全受你控制的环境中安全运行，在安全、隐私方面得到保护呢？

另一方面，作为软硬件平台的提供商本身，上云的客户什么人都有，又如何防范他们无意间引入了有安全漏洞的软件、或者本身就是黑客或者黑产，恶意攻击平台、盗取其他租户的数据、危害整个生态环境？这好比你开了一个大型写字楼，里面引进了各种商家，其中混入了几家专做诈骗的“呼叫中心”，还有在写字楼里无下限营销的，把你的写字楼名声搞坏。如何去防范害群之马？

如何让自己的代码安全的在他人的数字环境中运行并保障数据隐私保护，以及如何让他人的代码在自己的数字空间运行并保障自身的安全，是近年来在安全领域老生常谈的话题。

虚拟世界的信任关系？怀疑一切，并隔离之

零信任，首先是一种数字化时代的安全“哲学”、架构理念，然后才是一系列的科技产品与工具。其中种类繁多，不一而足；也没有哪家厂商敢声称现在已经提供了所有的、最完整的解决方案。这是一个正在发展的领域，大家都在路上。在这里，我们只探讨其中一种类型的技术方案：软件隔离（零信任的技术方案里，还有一种 Micro-segmentation 网络微隔离技术，不在本文讨论范围）。

不错，就是像隔离新冠病毒一样的绝对隔离，只不过它是虚拟的 - 任何代码都是受怀疑对象，都可能感染病毒，都得被关在箱子里跑，运行是可以运行的，但是不能被放出来。

事实上，隔离技术早已无处不在。在云端，亚马逊之所以能允许成千上万的“租户”把代码跑在自己的机房里而不用担心安全问题，其中至少有相当一部分原因是跟虚拟机相关的 - 虚拟机就是隔离环境，你的代码只能在这个隔离环境里跑，内存、CPU、网络、存储等等资源，都是安全隔离与受限的。你看不到其他“租户”的代码与资源，他们也看不到你。在客户端，微信之所以能承载几百万个小程序，让网上各种企业用各种前端框架开发出来的代码跑在微信 App 里面却不用担心微信自身被攻破、用户数据被盗取，同样也离不开以小程序为单位的隔离。

从云端到浏览器端，都有隔离机制，这种机制就是：安全沙箱。

在箱子里跑，免得它们潜在入侵、损害所在运行的“宿主”环境；另一方面它也保护运行在其中的代码，免得它被受污染的“宿主”环境侵害。

隔离，是这个时代的主旋律，在数字世界更加逃不过...

有理由相信，安全沙箱将无处不在，未来的软件，几乎就没有不跑在某种形态的沙箱之内的。安全沙箱这种机制，应该是双向隔离的，一方面它把任何代码关

企业应用软件安全防控需要安全沙箱

企业的数字化转型，就是企业员工、客户、合作伙伴全部通过软件进行生产协作、经营管理和交易买卖 - 人在哪里无所谓、见不见面不重要，只要保障了数据安全、商业隐私，就可以在网上有效经营。数字化企业，就是建立在软件上、并且管理制度与高效使用这些工具相匹配的企业。

支撑数字化的下一代企业软件是什么样子的？在凡泰极客，我们认为“小程序化”、“安全沙箱化”是软件安全防控供应链的其中一个基石（重端侧安全防护）。逻辑如下：

• 通过网络分发传播而下载运行的代码，永远不可信赖，它只能被关在安全沙箱这样的隔离环境里面跑，没有其他选择

• 传统企业之间的资源交换与整合，它的数字化形态就是交换自己的“数字内容资产”，也就是我的平台让你的软件放进来跑一跑服务我的客户，我的软件投放到你的环境里触达一下你的客户。“你中有我，我中有你”，可是我们俩彼此在技术层面没有任何信任基础，只认技术安全，“零信任”。所以你的代码我只能放在沙箱里跑，我投放到你那边的代码，也用沙箱隔离着你的环境

• 在所谓企业“内网”里，运行的一切软件，也不能保证安全，谁知道代码里面用了什么开源组件、供应链是不是已经被污染、是否随着员工随身设备“肉身翻墙”进入了防火墙内部？都得被安全沙箱关着才能运行

• 企业的一切业务内容，表现方式就是软件化代码化。企业的数字内容资产，就是软件

• 软件形态已经彻底脱离 PC 时代的“单机”，它天然是网络化的、连接型的、传播式的，企业需要掌握软件的出版权、分发权、流动权、使用权

• 随需随用、用完即走的“轻应用”软件形态，最符合上述要求。其中“小程序”又是轻应用类型技术中最有广泛基础、最贴近 Web 因此最有生命力的技术。

• 用户无需主动感知“软件”概念的强存在，代码都是自动下载、看到就用到的，不再有传统观念下的安装、升级，一切都是透明的

凡泰极客的FinClip小程序安全沙箱技术，是一种云端可控的设备端（包括 IoT）安全沙箱技术，它以可分发、可流通的小程序代码格式为软件形态，充当下一代企业应用软件的技术底座。 作为 Web 前端技术的“超集”，基于令牌（non-forgeable token）的安全模型，和当前“零信任架构”下的其他基础技术在最贴近用户、应用的地方能建立良好的配合。

互联网病毒和种类只会不断演变，层出不穷。“信任”关系似乎变得却越来越难建立，技术让病毒软件化数字化，却没有让信任数字化... “隔离在安全沙箱里”，至少可以在端侧以一种创新的尝试降低对业务正常运行的入侵性。数字化时代，安全防控意识需要从技术角度，以新视野、新角度看待问题并找出更优的解决方法。