2022年3月22日，懸鏡安全宣布完成B輪融資。三年前，懸鏡的CEO子芽，這位未名湖畔的筑夢人，接受了安在的采訪，那時的懸鏡剛剛完成產品由十年磨一劍的前沿技術研究到商業(yè)化落地的打磨實踐階段。作為公司戰(zhàn)略層面的決策者，子芽對安在的記者說，三年內，要完成創(chuàng)業(yè)之初的所有主要設想，要通過更加優(yōu)越的產品體驗服務和更加接近用戶的本地化技術支持，更好地幫助用戶建立健全的DevSecOps內生積極防御體系。

 

現(xiàn)在，三年之期已到，子芽當初的設想已經一一實現(xiàn)。從PreA輪的紅杉獨家領投、A輪騰訊產業(yè)生態(tài)投資的戰(zhàn)略投資，到近期B輪融資又有兩家全球的頂尖資本加持以及紅杉的再次跟投，如今的懸鏡已經成為在DevSecOps領域擁有頭部地位的一線安全廠商。

 

懸鏡能夠在短短三年內完成B輪融資，離不開自身對技術的精益求精、對產品的精雕細琢，也離不開那些長期沉浸于技術創(chuàng)新研究的合伙人大佬，尤其是懸鏡內部公認的“大神”，子芽敬仰的師兄——懸鏡CTO寧戈。

 

 

 

 

 

走一條不同尋常的路

 

十年前，如果讓計算機專業(yè)的同學選擇未來的求職方向，絕大部分都會毫不猶豫地選擇開發(fā)。但是對于寧戈而言，相對于開發(fā)，他更愿意走一條艱難且充滿挑戰(zhàn)的路——開發(fā)安全。

 

這種不愿隨波逐流的態(tài)度也是他選擇懸鏡的原因之一。在北大讀研期間，寧戈與師弟子芽在同一個實驗室鉆研二進制安全。那時的子芽就已經準備創(chuàng)業(yè)了，寧戈聽他談了很多關于創(chuàng)業(yè)之后的預期和打算。

 

寧戈畢業(yè)后進入了中國信息安全測評中心（以下簡稱“國測”），但他漸漸意識到，相比于在國測的按部就班，自己更希望加入一家初創(chuàng)公司去感受創(chuàng)業(yè)帶來的壓力和激勵，這能使他更快速地提升。因此，為了進一步提高自身能力，也為了展現(xiàn)自己的全部價值，寧戈選擇加入懸鏡，與子芽一起創(chuàng)業(yè)。

 

在其他人看來，寧戈與子芽是高山流水遇知音，很多子芽畫出去的“餅”都是寧戈和其他技術合伙人一點一點幫他完成的。這種合作的基礎在大學實驗室里就已經形成，那時他們的分工便不同，子芽負責制定產品創(chuàng)新方向和團隊管理，寧戈帶頭負責前沿新技術突破和人才技術賦能。到了懸鏡，他們仍繼續(xù)沿用這一合作體系，讓懸鏡能夠快速茁壯成長。

 

當然也有過摩擦，寧戈表示，很多時候產生的分歧，都會交由最終的實踐效果以及用戶的態(tài)度去解決，如果沒有測試的條件，那么往往都會聽子芽的。“沒辦法，他是CEO嘛！”寧戈打趣道。

 

任何一家初創(chuàng)公司都會遇到這樣那樣的難題，懸鏡也不例外。寧戈表示，創(chuàng)業(yè)初期懸鏡專注于運行時插樁技術研究，在網絡安全人才本就缺少的環(huán)境下，人手不夠，一人承擔多個工作任務是懸鏡的常態(tài)。在人員不足的情況下，對一些關鍵技術的突破就顯得更加重要。

 

另一方面，考慮到市場大環(huán)境，懸鏡創(chuàng)立早期一直沒有決心將核心技術商業(yè)化。當時國內國外并沒有明確的DevSecOps概念，懸鏡最初只是想提升深度掃描漏洞的能力和自動化程度，鑒于當時的黑盒測試工具都有很多明顯的缺點。此時，他們在北大的學習研究成果派上了用場，子芽、寧戈等師兄弟將在研究生學習期間鉆研出的運行時插樁技術與黑盒技術深度結合，研發(fā)出了懸鏡的第一款商業(yè)化產品，也是明星產品之一的靈脈IAST灰盒安全測試平臺。

 

早先，在DevSecOps的概念剛開始在國際上被提出的時候，寧戈就敏銳地意識到，原來懸鏡正在摸索的路與DevSecOps出奇的一致。不過一開始，作為一個全新的概念，DevSecOps在國內的認可度、廠商的接受度等方面還是一個未知數(shù)，這讓寧戈對此產生過懷疑。

 

誰解伯牙意，唯有鐘子期。讓寧戈打消顧慮、堅持這條路的還是子芽。在多次的深入討論中，子芽與寧戈對DevSecOps的前景和未來產生了高度的默契和共鳴，他們堅信DevSecOps和軟件供應鏈安全是一個巨大的市場，懸鏡鉆研的代碼疫苗技術就是這個賽道的未來，可以為社會提供巨大的創(chuàng)新價值。

 

最初，大多數(shù)軟件開發(fā)模式都是瀑布式開發(fā)，遵循預先制定的計劃按部就班地完成。這種方式自由度較低，難以根據(jù)實際需求進行調整。后來，隨著互聯(lián)網行業(yè)的逐漸興起，DevOps研發(fā)運維一體化成為主要手段，這種將一個又一個小型功能區(qū)塊以模塊化的方式組合的開發(fā)模式讓DevSecOps市場擁有了很大的增長潛力。懸鏡整個團隊對這個判斷深信不疑。

 

 

 

腳踏實地的探索

 

方向確立之后，懸鏡還面臨一個情況就是團隊過于學術化。作為懸鏡的“大神”，寧戈表示，懸鏡的每一位工程師都具備精益求精的“學究”氣，也正是因為這樣的氣質，盡管讓懸鏡早期商業(yè)化的步子走得極慢，但每一步都踏踏實實。行穩(wěn)方能致遠，這與子芽三年前接受專訪時的觀點一致。

 

寧戈帶領團隊在接下來的日子里，針對產品開始夜以繼日地測試、升級，一做就是七年。在這七年中，他們已經記不清構建了多少場景，哪怕在自動化漏洞滲透的檢出率和誤報率方面都提升到了97.7%，他們也并不滿足。

 

PreA輪融資完成后，懸鏡合伙人團隊內部多次討論，這個大賽道后續(xù)將異常競爭激烈，需要加大前瞻性布局從而進一步提升領先的競爭門檻。此刻的寧戈異常淡定，主要原因還是產品。寧戈表示，最開始，懸鏡的步子雖然邁得很慢，產品不多，但整個懸鏡都在不斷突破代碼疫苗的最關鍵技術，可以做到足夠的專注，產品體驗可以快速迭代到極致。

 

懸鏡產品的核心是技術，寧戈表示，他們的技術是比較扎實的，產品核心參數(shù)優(yōu)秀，其他性能指標和檢出率等方面都足夠吸引人。比如懸鏡安全旗下明星產品之一靈脈IAST灰盒安全測試平臺，作為懸鏡DevSecOps智適應威脅管理體系中上線前測試環(huán)節(jié)的應用風險發(fā)現(xiàn)平臺，通過新一代全場景實時數(shù)據(jù)流情景分析技術，如運行時應用插樁（含動態(tài)污點追蹤及交互式缺陷定位）、終端流量代理、旁路流量鏡像、主機流量嗅探、啟發(fā)式爬蟲、Web日志實時分析等和原創(chuàng)AI啟發(fā)滲透測試技術賦能傳統(tǒng)IT從業(yè)人員，在甲方用戶的組織內部快速建立安全眾測模式，使傳統(tǒng)安全小白（如研發(fā)、測試、QA等）完成應用功能測試的同時即可透明實現(xiàn)深度業(yè)務安全測試，運行時動態(tài)監(jiān)測開源風險，可以非常精準覆蓋95%以上中高危漏洞，有效防止應用帶病上線。

 

寧戈自始至終對于產品的商業(yè)化以及懸鏡的未來并沒有太多擔心，一方面是有子芽的存在，另一方面是他認為，只要好產品被認可，能讓耳熟能詳?shù)墓臼褂镁妥阋宰C明懸鏡的實力。

 

這次B輪融資后，寧戈的壓力更大了。一方面是懸鏡正在將DevSecOps整個體系的工具和平臺推向市場，產品線延伸了。另一方面的壓力來自于懸鏡搭建的開源社區(qū)——OpenSCA社區(qū)。懸鏡將旗下企業(yè)級SCA技術開源，通過社區(qū)與企業(yè)技術人員、大眾開發(fā)者進行技術分享和交流，用開源的方式做開源風險治理，讓懸鏡多年沉淀的SCA技術能力高效賦能給更多行業(yè)用戶。“所以動力也更足了。”寧戈期待道。

 

 

 

 

回首往昔，更進一步

 

回憶從創(chuàng)業(yè)到今天的變化，寧戈表示，當初的懸鏡包括他在內，站在業(yè)務和用戶視角看待問題是很大的挑戰(zhàn)。寧戈坦誠自己更專注于技術鉆研，不過他很快意識到“用戶才是我們的超級產品經理”。寧戈將用戶驅動的產品及技術迭代理念應用在實踐中，并因此受益良多?，F(xiàn)在，寧戈對于產品迭代和升級的靈感大多都是從用戶處獲取的。在與用戶的交流中，寧戈將懸鏡從“向內認知”帶向了“向外成長”。

 

隨著懸鏡的快速發(fā)展，寧戈表示，這幾年團隊最大的變化就是人員多了。隨著員工的不斷增加，如何提升自己的管理能力、如何將每一位員工放在合適的位置上等都是他著手要面對的挑戰(zhàn)。

 

另一方面，相比早期產品在用戶場景的精雕細琢，對每一位用戶的需求他都能很好地洞察和把控，現(xiàn)在，懸鏡的用戶數(shù)是之前的數(shù)十倍，與用戶保持共同成長的節(jié)奏以及快速的響應與交付都讓寧戈承受很大的壓力。對此，寧戈表示要進一步提升團隊管理能力，結合自動化工具，將自身和團隊的效率提升到更高水平。

 

縱有千般變化，卻有一樣始終如一，那就是懸鏡的文化。懸鏡的每一位員工都本著解決問題的態(tài)度。同事之間關系簡單，配合默契。無論是社招還是應屆，在懸鏡這個大環(huán)境中，大家都比較純粹。寧戈認為，這樣的企業(yè)文化使大家都能夠專注于自己應該做的事，讓整個懸鏡穩(wěn)步有序地快速發(fā)展。

 

三年前，子芽對安在說，懸鏡未來要成為一家有技術、有干貨的公司。如今三年過去了，懸鏡已然完成了B輪數(shù)億元人民幣的融資，不僅讓PreA輪領投方紅杉繼續(xù)加持，還收獲了源碼資本、GGV紀源資本等全球頂尖資本的大力支持。除此之外，懸鏡還聯(lián)合中國信息通信研究院發(fā)布了中國首個《軟件供應鏈安全白皮書（2021）》；成功斬獲“Next-Gen in Open-Source Security（下一代開源安全獎）”，成為中國首家獲得國際領先的電子信息安全媒體機構CDM頒發(fā)“2021 Global InfoSec Awards ”獎項的廠商；成為《2021年度中國數(shù)字安全能力圖譜》權威認證的DevSecOps唯一代表者。懸鏡旗下產品靈脈IAST灰盒安全測試平臺成為國內首個通過中國信息通信研究院《交互式應用程序安全測試工具能力要求》檢測認證產品?！吨袊?span style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; font-family: Calibri; box-sizing: border-box !important; overflow-wrap: break-word !important;">DevOps現(xiàn)狀調查報告》最新發(fā)布，懸鏡IAST代碼疫苗技術引領國際同行，牢牢占據(jù)市場應用率第一，是成績，更是市場和權威機構的認可。

 

對寧戈而言，這種種成就僅僅是對當前工作的肯定，更重要的還是未來的發(fā)展，懸鏡的未來不止于此。

 

 

 

心懷壯氣，提戈執(zhí)節(jié)

 

懸鏡的意義是什么？對寧戈來說，懸鏡目前最大的價值和意義就是推動了DevSecOps的發(fā)展。作為國內第一家成功實踐DevSecOps的企業(yè)，懸鏡每年都會通過舉辦DevSecOps大會以及發(fā)布白皮書，向業(yè)界和用戶分享自己的實踐成果，也讓懸鏡的產品幫助更多的企業(yè)。

 

DevOps正在快速普及，企業(yè)的相關轉型也是必然結果，而安全，是目前中國乃至全世界企業(yè)都格外關注的一個重點。懸鏡用其精雕細琢的產品以及快速迭代上線的能力為所有選擇DevOps的企業(yè)提供了安全保障。

 

對于懸鏡的未來走向，寧戈表示，目前懸鏡不會盲目開拓新的賽道，先在自身扎根的領域做好做深做精，在此基礎之上依托核心技術再開拓新的產品。當然對于用戶關注的新領域，懸鏡也不會置之不顧，比如基于運行時插樁的代碼疫苗技術和BAS威脅模擬技術等，都會繼續(xù)深入。

 

此外，去年的Apache Log4J事件向業(yè)界傳達了一個訊息，那就是開源安全管理需要盡快提上日程。對此，寧戈表示，希望懸鏡打造的開源社區(qū)可以成為國內開源愛好者的根據(jù)地，讓懸鏡可以通過社區(qū)與業(yè)界的專業(yè)人士進行交流，也讓更多人清楚地了解懸鏡的技術。

 

對于懸鏡來說，DevSecOps敏捷安全體系就是懸鏡這些年持續(xù)深耕沉淀的主方向。當前，在DevSecOps這條賽道上的廠商逐漸增多，懸鏡不可避免地要面對競爭局面，而懸鏡在行業(yè)中的核心競爭力可以概括為三個層面。

 

首先，從技術層面來看。懸鏡沉淀多年的“代碼疫苗技術”可以做到像疫苗一樣注入到應用內部，在內部清晰看到解析后的數(shù)據(jù)流，感知業(yè)務運行過程的情境上下文。這樣一來，既能診斷應用自身存在的漏洞和缺陷，也能積極防御外部威脅，進行自主檢測和響應。在這條賽道上，懸鏡擁有的原創(chuàng)專利級核心技術和智能算法構筑了巨大的行業(yè)技術領先優(yōu)勢。

 

其次，從產品層面來看。懸鏡走的是技術聚焦戰(zhàn)略，也叫做“單探針”產品戰(zhàn)略，在代碼疫苗技術“單探針”的基礎上，獨創(chuàng)性將由上線前測試環(huán)節(jié)的應用風險發(fā)現(xiàn)平臺靈脈IAST，運營環(huán)節(jié)的自動化威脅模擬和安全驗證平臺靈脈BAS，運營環(huán)節(jié)的檢測響應平臺云鯊RASP等構成的DevSecOps全流程敏捷安全賦能平臺，能幫助用戶逐步構筑一套適應自身業(yè)務彈性發(fā)展、面向敏捷業(yè)務交付并引領未來架構演進的內生積極防御體系，持續(xù)升級在華北、華東、華南、華中、西南、港澳等地區(qū)的規(guī)?；a品服務交付和運營能力，深度覆蓋金融電商、能源電力、智能制造、電信運營商及泛互聯(lián)網等企業(yè)級安全市場。

 

第三，從頂層設計的角度來看。在軟件開發(fā)以開源驅動、IT基礎設施加速云化、安全環(huán)境日趨復雜的未來，懸鏡致力于深化在中國軟件供應鏈安全關鍵技術創(chuàng)新研發(fā)及上下游產業(yè)生態(tài)前瞻性布局上的戰(zhàn)略投入，探索出了一套基于原創(chuàng)專利級“敏捷流程平臺+關鍵技術工具鏈+組件化軟件供應鏈安全服務”的第三代DevSecOps智適應威脅管理體系，在DevSecOps敏捷安全、軟件供應鏈安全和云原生安全等新興應用場景下打造戰(zhàn)略生態(tài)閉環(huán)。

 

 

寫在最后

 

人稱“大神”的寧戈并不神秘，在采訪中沉厚寡言、不慌不忙，即便提到懸鏡B輪融資成功，他也并沒有表達出特別的情緒。可只要一提到技術，一說到產品，寧戈的話語中總是充滿自豪。對于自己和團隊夜以繼日的勞動成果，他認為，最大的嘉獎和鼓勵是來自于所有懸鏡用戶的認可。

 

當初從國測來到懸鏡的目標已經基本實現(xiàn)，但在提高個人能力方面，寧戈從未止步。格物致知，厚德載物，在懸鏡多年的磨煉讓他受益匪淺。“堅持與執(zhí)著，是我在懸鏡的最大收獲。”寧戈道。

 

誠然，無論是寧戈還是子芽，抑或懸鏡的每一位成員，都在用實際行動向外界表達：找對方向并且不斷堅持，熱愛執(zhí)著追求的過程，離成功也就不遠了。

 

在網絡安全領域，寧戈以技術為琴，奏的是《高山流水》。他能敏銳地洞察到未來的技術趨勢并進行超前的研究創(chuàng)新工作。但曲高并不和寡，有子芽，有團隊與他和奏。寧戈和子芽，這對一同從未名湖畔走出來的北大師兄弟，在懸鏡的目的非常純粹，是想在DevSecOps這個新的領域，憑借自身獨有的技術創(chuàng)新和發(fā)明，幫助中國的安全產業(yè)向新的未知空間做更深入的探索，從由人類已有的認知實踐畫成的圈內向外再踏出寶貴一步。

 

未來等待寧戈和懸鏡的勢必是機遇與挑戰(zhàn)并存，對此寧戈已經做好了充足的準備?；蛟S，正是有像寧戈這樣的“大神”，才能讓懸鏡在網絡安全領域大放異彩，才能讓中國網絡安全包羅萬象。