RSA 创新沙盒盘点 | WABBI ——面向应用全生命周期的安全防护方案

2021-05-12

RSAConference2021 将于旧金山时间 5 月 17 日召开，这将是 RSA 大会有史以来第一次采用网络虚拟会议的形式举办。大会的 Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”，每年都备受瞩目，成为全球网络安全行业技术创新和投资的风向标。

前不久，RSA 官方宣布了最终入选创新沙盒的十强初创公司:WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、 WIZ。

金沙js1996君将通过背景介绍、产品特点、点评分析等，带大家了解入围的十强厂商。今天，我们要介绍的是厂商是:WABBI。

一、公司介绍
WABBI 成立于 2018 年，总部位于美国波士顿州，该公司专注于 SecDevOps 领域，通过旗下的 SecDevOps 产品可使企业能够更快、更安全的将软件进行交付，目前公司人数大约 20-30 人左右，公司的首席执行官兼创始人为 BrittanyGreenfield[1]，毕业于杜克大学，并在麻省理工学院读取了 MBA，单从其工作履历来看，该创始人从事的多为市场营销相关领域，与信息安全领域并无太多交集，但优势在于对现有软件市场有着较深理解，并在 DevOps 方向有着前瞻性的研究，2019 年 5 月份，该公司已经筹集了 33 万美元的第一轮融资，投资者以 Underscore VC[2]公司牵头，Douglas Levin[3]、Ashley Smith[4]等人也参与了此轮融资。

二、背景介绍

随着技术的不断发展，为促进开发运维一体化，DevOps 应运而生，其代表的并非一种具体的实现技术，而是一种方法论，并在 2009 年被提出[1]。DevOps 的出现最终目的是为了打破开发人员与运维人员之间的壁垒和鸿沟，高效的组织团队通过自动化工具相互协作以完成软件生命周期管理，从而更快且频繁地交付高质量稳定的软件。

如我们所知，DevOps 影响的不仅包含开发团队(Dev)和运维团队(Ops)，还应包含安全团队(Sec)，在系统生命周期(SDLC Systems DevelopmentLife Cycle)中，安全团队因常聚焦于运营阶段，因而往往忽视了开发阶段的安全，所以“安全左移”的理念在近些年非常的火，其强调安全因素应纳入应用开发的早期阶段，常见的，我们在开发(Dev)与运维(Ops)之间加入安全(Sec)，也就是 DevSecOps 理念，其侧重点是将安全工具自身整合至 CI/CD 工作流中，且安全工具主要纳入应用的测试、发布和运维阶段，如下图所示:

图 1 DevSecOps 示意图[6]

近些年来，随着 DevOps 工具链激增，如 Aqua、Twistlock 等容器安全公司均支持了 DevSecOps 的解决方案[7][8]。

然而，从安全的角度上考虑，DevSecOps 虽然在一定程度上保障了 DevOps 的安全，但由于其并未涵盖 DevOps 的整个闭环流程，因而缺乏项目环境(应用的上下文环境)，进而， DevSecOps 无法解决应用安全的优先级问题。此外，项目环境的缺失还会降低整体的开发运维效率。鉴于此，人们渐渐提出了 SecDevOps 的理念，即将安全部分(Sec)移至最左边，SecDevOps 遵循将安全部署至系统生命周期的每一个阶段，而不仅仅是测试、部署、运维阶段，如下图所示: