今年4月,专注于软件供应链安全的行业领导厂商比瓴科技宣布,与元豚科技战略合并,元豚科技创始人唐誉聪加入比瓴,担任合伙人及研发副总裁一职。唐誉聪表示,将携手比瓴共同推动持续应用安全平台(ASPM)的发展,将更具平台属性和服务属性的ASPM献给所有用户。

比瓴科技合伙人&研发副总裁

唐誉聪

 

      三方视角的沉淀

      此前,唐誉聪曾在安全乙方、丙方及甲方工作十余年。在天融信时期,唐总负责渗透和SOC的策略建设,为了优化使用体验,他推出了中文版SOC,即W3A SOC 1.0,并开源至GitHub。随后,唐总离开天融信加入中国电信集成,结合自身能力及工作中储备的经验,他优化了SOC的规则管理,并增加了如漏洞管理、安全监控等功能,推出了W3A SOC 2.0(ASPM雏形)。

      离开中国电信集成后,唐总加入了三七互娱。在三七互娱的业务爆发期,他将自动化和安全平台相融合,并围绕W3A SOC 2.0建设三七互娱的安全架构。此后,唐总辗转拉勾网、智联招聘、51社保、小懂健康等企业,并在小懂健康中发现了创业的契机。

      在小懂健康时期,唐总担任CTO,负责建立CI/CD的管理体系。在克服种种困难后,他通过自动化极速搭建,同时将CI/CD,制品、安全检测、SCA、漏洞扫描、数据流转等自动贯穿,基于数据和全链路的底座建设云原生安全平台。

      发现这一商业链路后,唐总创立了元豚科技。在创业初期,元豚科技的第一款产品海豚工程平台仅用时1个月零12天就完成整体的开发,并且上线实测成功。海豚工程平台是基于ASPM上层的DevOps平台,通过DevOps搭建平台属性,并围绕用户需求增添安全能力。在容纳了三方视角及实践经验下,海豚工程平台得到了大量用户的认可。

 

      ASPM,企业的下一个基础设施

      近年来,软件供应链安全备受行业关注,Gartner连续4年提及ASOC,强调工具链和编排的整合,这使得海外的大部分产品延续着ASOC的思路。对此,唐总表示,ASOC的能力聚焦于数据和流量分析、洞察,这使其更具平台属性,将其分析能力与其他安全能力相结合或许更能开发出ASOC的价值。将ASOC获取的庞杂数据进行聚合,再与SOAR、ADSS、AI等技术相结合,共同形成ASPM。

      唐总认为,ASPM将和大数据、云计算、AI一样成为企业的基础设施。任何用户都可通过ASPM获取基础的数据分析、洞察能力,并结合自身业务需求增添其他安全能力。同样深耕于ASPM的比瓴认同唐总的看法。比瓴科技将ASPM视为甲方安全从业者的重要工具,长期以来,比瓴科技一直将ASPM从产品向平台转化,并将人的服务能力、工具的服务能力,拉伸到平台中。通过ASPM进行统一控制,评估潜在威胁,并以指标形式推送至安全从业者及企业决策层中,实现对安全的全面掌控。此外,为了进一步推进ASPM指标的准确度,比瓴基于自身服务经验,提炼出了更多基于场景的需求和特点,使指标能够呈现出更多具有趋势性的指导意见。

      在落地方面,比瓴优化了ASPM的配置参数和规则部署,并将其他安全能力模块化,使用户可以按需使用、量体裁衣。此外,由于ASPM是一种外挂式的安全工具,因此不会对业务造成侵害,也不需要过高的使用门槛。对此,唐总表示,比瓴将进一步减少用户的使用门槛,使其能够满足绝大多数的企业安全需求,最大程度提升ASPM的平台属性。

      ASPM作为应对软件供应链安全的一线产品,将安全与业务紧密结合,既符合了当前企业对安全的要求,也提高了业务的抗风险能力。在向平台化转型的过程中,ASPM将更贴合安全运营趋势,进一步降低软件供应链安全风险。

 

      携手比瓴,共创未来

      对于此次和比瓴的合作,唐总表示,比瓴的商业路线更为成熟,产品能力也较为全面。加入比瓴之后,他将深度参与所有条线的产品研发,打通现有安全工具能力,将SCA、TMA等工具进行优化和升级,使其更符合甲方的用户习惯。此外,他还会将过往的经验完整地融合到比瓴的产品中,为产品侧提供有效的指引。

      “在产品技术上做深耕,实现ASPM的竞争力覆盖”是唐总加入比瓴的一大目标。未来,唐总将会在指标和安全属性上做更加明确的指引,以符合甲方的需要,使其呈现的内容更加准确,帮助用户做更贴心的ASPM保姆级平台。国内的ASPM市场也将在比瓴和元豚的合作下,迎来更多好用的产品和理念。