1968年,北大西洋公约组织在前联邦德国召开的国际学术会议上首次提出“软件危机”(Software Crisis)和“软件工程”(software engineering)的概念,其指出人们应该像开发传统大型工程一样,用系统化、数量化的工程原则去管理软件的开发,以实现软件开发的低成本与高可控。

 

自此,基础软件与开发工具如雨后春笋般涌现,也造就了今日数字化时代的一句名言——“软件定义一切”。可以说,人们对于数字化、智能化的所有探索,都建立在软件开发底座的基础上。

 

与此同时,以人工智能与大数据为核心驱动力的第四次工业革命翩然而至,数智化转型从一个遥不可及的名词,“摇身一变”成为了企业任务表中的必做项。在声势浩大的数字化转型浪潮中,软件开发亦正在不断探索着生产力与生产效率的新边界,由此,“在这个软件吞噬一切的世界里,如何让软件开发更敏捷智能、更安全可靠、更高效稳定?”也成为了科技企业最新的时代命题。

 

带着对这一问题的思考,近日,朋湖与国内软件负面测试技术提供商安般科技创始人汪毅聊了聊。据悉,安般科技成立于2018年12月,是国际首批、国内首家从事商业化智能模糊测试技术的科技企业,明景物奥妙,解物之本源,其致力于以智能模糊技术为核心,从软件开发底座出发,为企业提供全流程软件开发安全测试产品体系和解决方案以提高软件开发效率,同时确保软件产品的安全性与稳定性。

 

目前,安般科技已完成超亿元A轮融资,累计服务过上百家政府军工、信创软件、工业控制、智能汽车、金融等多领域客户。据介绍,其与信创、汽车、军工领域内多个权威机构成立联合负面测试中心并参与制定了多个软件安全及模糊测试相关的国家及行业标准。

 

01 

拓荒:智能模糊测试重新定义软件安全新范式

 

数字化时代是“软件定义一切”的时代,中国工程院院士孙家广此前指出,软件是信息技术之魂,经济转型之擎、网络安全之盾、数字社会之基、大国博弈之焦、高质量发展的抓手,而软件是否能够充分发挥上述赋能作用有一个大前提,即确保软件的高质量与安全可信。

 

在此之中,软件测试成为控制软件产品质量的重要手段,从实际的角度来看,其更关乎着企业的成本线。国外的一家调研机构在早些年便做过一项数据调查,结果显示:如果一个软件产品在发布之后再进行漏洞修复的成本约是在研发阶段时就被解决的成本的上百倍,这还不包括上线后漏洞带来的额外损失。

 

忽视软件开发安全,软件没有得到充分测试带来的结果,往往是软件在公开之际满怀雄心,一落地应用就漏洞百出,轻则心血付诸东流,重则业务陷入危机,万丈高楼若建立在沙地之上,不过是繁荣的假象,一击就碎。汪毅深刻意识到这一点,他表示,“原先大家更为关注的是网络边界安全,但18年左右开始,软件内部的开发安全愈发得到重视,逐步成为了人们关注的焦点所在。”

 

与此同时,他也观察到,伴随着软件规模越来越大,结构越来越复杂,当下的一些测试技术方案,如人工测试、传统“自动化”测试工具及静态工具很难做到查无漏缺,要么人工成本极高、测试全靠经验,要么依赖已知漏洞库,误报率高,无法实现全自动化。雪上加霜的是,自2018年以来的中美贸易摩擦也让一些国际测试工具无法在国内使用。

    

于是,带着“国内企业应该有属于自己的易用可信、便捷高效的软件测试工具”的念头,汪毅成立了安般科技。在此之中,拥有能够查找未知缺陷、覆盖率高、零误报、近乎全自动化测试能力、不依赖任何漏洞库、兼顾安全性与稳定性等特点的模糊测试(Fuzzing)技术成为了安般科技选择的发展路径。

 

据悉,模糊测试概念的提出最早可以追溯到 1989 年,早期的模糊测试是以黑盒模糊测试技术为主,特点是简单、直接、粗暴,但效率十分低下。伴随着人工智能的发展,2014年后,模糊测试进入“智能”高速发展阶段,结合机器学习的灰盒模糊测试技术成为了主流。安般科技将智能模糊测试技术定义为:一种在程序动态运行时挖掘未知缺陷的技术,根据插桩反馈来变异用例,缺陷可精准定位,从而加快软件开发,提高安全性和稳定性。

 

放眼世界,不少科技企业已将模糊测试技术作为其软件质量控制与安全检测的一部分,此前,谷歌便使用模糊测试技术检查和保护Chrome中的数百万行代码,通过内部模糊测试在 Chrome 中发现了2.7w个漏洞,占全部漏洞数的80%。微软也将模糊测试作为其软件开发生命周期的阶段之一,以查找漏洞并提高产品的稳定性,据报告,Windows发现的安全漏洞约1/3是通过模糊测试技术发现的。华为也要求对外提供或使用外源进行服务的C/C++代码都需要经过Fuzzing测试。

 

 此外,模糊测试已写入国内外多个标准和规范中,美国14028号行政令(2021),提出模糊测试保障国家安全,美国国家标准与技术研究所(NIST IR8397)在软件测试的最低标准中提到模糊测试并做大篇幅说明。ISO 和 SAE 两大标准组织也都公开提出模糊测试在汽车领域的强制性。

   

毫无疑问,模糊测试技术正在重新定义软件开发安全新范式,“我们认为如今的模糊测试技术与以往的测试技术相比,并非只是测试能力的简单提升,它将引领软件开发新的范式革命,未来五年、十年后,模糊测试会是最为重要的测试技术,可以说,它与人工智能真正做到了相辅相成。”

 

回看国内,汪毅告诉朋湖,模糊测试技术还处于“市场教育”阶段。在前几年,作为智能模糊测试技术领跑先锋,安般科技一直处于“拓荒”状态,“不存在市场竞争,我们正在努力‘布道’,让市场的‘蛋糕’变得更大些。”他坦言道。

 

作为在世界范围内最早一批从事模糊测试技术商业化落地的企业,安般科技又是如何在模糊测试的技术土壤上“耕种”?

 

02 

深耕:深入行业,从垂直领域标准化工具做起

 

“在国内做模糊测试,带有着‘拓荒’的色彩,没有太多现成的经验能够借鉴。”汪毅表示,最初,安般科技在商业模式层面上的思路是做一种通用的SaaS化的测试工具,但其发现,一方面国内的SaaS生态还不够成熟,另一方面,中小企业的付费意愿并不强烈,付费能力也偏弱。此外,从模糊测试技术本身来讲,并没有发展到非常成熟落地阶段,“还没有解决一些关键问题,或者说并没有把这一技术的落地变得非常简单。”他讲道。

 

在结合各方面因素的考量下,安般科技做了“一小让步”,先从垂直行业的标准化做起。“我们做了一些方向的调整,决定定制垂直行业的标准化通用产品。”汪毅强调,定制化并非“项目制”,这与安般科技“解决广泛的软件开发安全问题”的初心相违背,定制行业并非定制企业,而是深入行业背景,针对垂直行业打磨相对应的标准化通用测试工具。

 

据悉,目前,安般科技已经针对国防军工、汽车、金融和信创等多个不同垂直行业进行了智能模糊测试产品的商用落地。我们能够清晰地看到,安般科技自成立以来,通过在各行各业中的深耕,已将积累的渠道、客户、经验等转化为养料,源源不断为模糊测试这片行业“土壤”输入营养,如今,已然到了“金秋时节”,结出硕果累累。据悉,安般科技已成功打磨并推出六大产品:

 

 

汪毅表示,安般科技所推出的系列产品已经累计在数十个开源项目中找到上百个0day漏洞,且在多个权威测评集保持领先。安般科技一站式产品解决方案可应用于软件开发全生命周期,提高代码覆盖率,挖掘代码深层缺陷,全面保障软件质量安全。

 

当然,在不同行业的“拓荒耕种”过程中,亦会碰到不同的挑战。汪毅指出,“无人区”的闯荡,需要的是创新力。“很多应用场景的落地,都是业内的首次尝试,像在军工领域的嵌入式软件模糊测试,在学界中都还未有太多研究,此前,安般科技与国内的一家军工单位进行了合作,用了两年多的时间最终攻克,实现了从0到1的突破。”他表示,目前,嵌入式软件测试产品已经在航天航空领域中的多家企业实现商业化落地。

 

此外,为解决证券行业软件质量面临严峻挑战、敏捷开发模式下难以保证测试质量等痛点,安般科技结合中国证券业协会组织在《网络和信息安全三年提升计划(2023 -2025)》征求意见稿中提出的“深化漏洞全生命周期管控”、“持续提升代码开发效率及安全”等要求,提出了“质量门禁”的解决方案。

 

据介绍,“质量门禁”解决方案采用一系列考核指标进行科学把控,并将测试工具对接DevOps、集成开发环境等平台,实现在软件开发过程及交付验收中进行质量控制,打造了一套智能化、自动化、精准化的质量保障体系,可以有效降低发布上线后的软件可靠性风险。

 

“‘质量门禁’能和证券的业务流水线结合起来,通过自动化模糊测试能够极大解放人工生产力,降低软件开发成本,并提高软件质量。”他解释道。

 

  产品落地的背后是技术驱动,技术驱动的背后是“创新力”,而支撑着安般科技不断创新,实现从0到1突破的是不计成本的研发投入。汪毅强调,对于核心技术自主创新上的研发投入占比超过80%,他相信,唯有不设限的研发投入,才足以对不同行业难题拆解应对,而同时,不遗余力地投入研发,也为安般科技的业绩增长提供了源源不断的动力,据了解,过去三年内,安般科技的业绩一直保持近100%的增长。

 

毫无疑问,当下,安般科技在国防军工、汽车、金融和信创等领域的释能,为国内模糊测试行业起到了标杆性的导向,在拓荒、深耕之后,安般科技将目光朝向了更为长远的AI产业机遇,试图寻找下一个新的“智能”高地。

 

03 

新地:“当下用AI测试,未来测试AI”

 

“AI不是风口,而是趋势。”汪毅指出,风口可能易变,是人造,但趋势是时代造就,轰轰烈烈的变革火焰并不会轻易熄灭,AI便是人们需要把握的长期趋势。创新是安般科技一直以来的发展脉络核心,针对更为长远的AI产业趋势,安般科技正在尝试打开新的增长通道。

 

正如前文中所提到的“模糊测试是基于一套人工智能体系的智能测试技术,其与人工智能相辅相成”,安般科技的下一“新地”便是测AI模型。在谈及当下的热点ChatGPT时,汪毅表示,“可能在未来,在大量的常规行业中,不需要那么多软件开发人员,甚至连软件工程都将不复存在,这对于面向软件做测试的安般科技而言,可以说是未知的‘危机’,同时,也可以说是潜在的‘机遇’,明者因时而变,那时候更为重要的不是测软件,而是测AI模型本身。”

 

“模糊测试技术,它也是非常适合测AI模型的,”他透露道,针对测试AI模型,近期安般科技有一个demo项目在做,安般科技希望通过模糊测试相关技术能够检测AI模型是否安全可靠,为此,其也和一些科研单位和高校开始构建合作计划。

 

对安般科技来说,未来很长一段时期,将更加聚焦于深入产业,加大研发投入,持续跃升客户价值,并进一步激活“AI产业”的价值纵深。于产业而言,我们亦期待着“测AI模型”产品落地那一日的到来。