记者 | 姜菁玲
加速到来的社会数字化转型,让互联网积聚越来越多的企业和个人隐私数据。与此同时,随着社会逐渐普及和重视隐私保护,针对隐私的监管政策也在近一年的时间内频频落地。隐私数据保护正在成为商业世界中一个无法回避的议题。
将在2021年生效的《中华人民共和国民法典》,增加了隐私权和个人信息保护章节,从法律的角度对应用程序、在线内容以及重要数据做了进一步管控。而正在征求公众意见的《中华人民共和国个人信息保护法(草案)》则具体对信息处理平台的责任与义务进行了明确。
近日,界面新闻记者接触到一家软件代码安全行业公司鉴释,其联合创始人兼首席执行官梁宇宁提到,在隐私被动泄露场景中,除了常规的外部黑客入侵数据中心引起的数据安全问题,很少有人知道,许多数据盗窃是由一些公司的员工、软件开发人员或软件承包商造成的。
由于代码调用情况复杂,很可能会出现,例如所调用的第三方库在工程师不知情的情况下将平台用户名和密码泄露的情况。在谷歌应用商店中,许多App的下架就是由于一些软件开发工具包(SDK)疯狂偷数据造成的。
为了避免由代码质量引起的类似数据泄露等安全风险,梁宇宁称,很多互联网公司会采用人工审核的方式去审查代码,查找错误,但是这种形式效率低,同时受制于程序员技术水平,效果可能不佳。
2014年,梁宇宁从海外回到国内工作,发现国内的很多企业虽然已经在软件安全上投入许多精力,但是仍旧无法有效地解决问题。
因此,梁宇宁从企业对软件安全的需求量级出发,对国内的软件安全市场进行了判断,他认为,未来整个中国的软件安全市场需求一定非常大。
IDC发布的数据报告为梁宇宁的判断提供了论据。IDC数据显示,全球网络安全行业的相关支出在2019年-2023年间将实现9.44%的复合年增长率,预计在2023年将达到1512.3亿美元。而中国网络安全市场的总体支出更是以高达25.1%的符合年均增长率领跑全球,到2023年将达到179亿美元。
市场很大,但可以从什么角度切入?利用什么技术去解决这个问题,从而可以吃下这块蛋糕?
在正式创立公司前,梁宇宁找到了几个联合创始人——现任鉴释CTO陈新中,曾在“英特尔-清华大学联合实验室”担任主管,并在英特尔实验室担任负责人;现任鉴释首席架构师刘新铭,曾担任惠普Java编译器技术实验室主任,领导基于惠普安腾处理器的编译器开发工作。
梁宇宁总结,这两位联创的共性在于,都在编译器技术上颇有造诣。公开资料显示,陈新中在编译器优化技术方面已有三十余年的工作经验,而刘新銘则在开发和交付高性能计算系统(HPC)编译器和性能分析工具方面拥有数十年的丰富经验。
基于已有的编译器技术优势,鉴释最终拿出的解决方案是,一个基于编译器的静态源代码扫描工具,通过在编译器里添加一个规则引擎,输入相应规则后,该工具会自动审核监测软件,如果有异常则会进行标记。
刘新铭也曾在其它采访中对该技术举例称,一个医生需要了解一种药的受用情况,程序员会调用所有用药病人的数据库进行代码编写。但是,基于合规标准,他需要在编写过程中将病人如名字、家庭住址等不相关且私密的信息删除。源代码扫描工具能做的则是——检测他在设计的过程中是否把需要脱敏的信息删除,是否有做私下的数据备份。如果员工有私自盗窃数据,工具会追踪数据在软件上的整个传送过程。安全中的人为因素不可能全部消失,但是尽量可以做到最小化。
利用源代码扫描工具,通过数据流分析、控制流分析、对象敏感度分析、跨程序分析等方法,使用者在代码编写的同时就能找出代码的编码错误,不需要等待所有代码编写完毕,也不需要构建运行环境,编写测试用例,从而帮助企业在软件开发流程早期就发现代码中的各种问题,从而提高开发效率和软件质量。
梁宇宁认为,随着社会对隐私数据关注度的提高,以及监管政策方面的推波助澜,类似鉴释的检测工具还是软件设计全流程等第三方服务机构都会受到刺激,2021年以后将迎来爆发。
目前,鉴释已完成A+轮融资,资方包括红点中国、将门创投等。鉴释的客户数量为五十家左右,主要分布于金融、物联网等行业,产品主要采用私有部署形式,产品单价在几万到几百万不等,预计明年年终推出SaaS版。
