膽兒真壯！居然把伺服器安全產品開源了，那還怎麼賺錢？

7月13日，全球頂尖的網路信息安全公司長亭科技在北京召開新品及融資發布會，聯合創始人及CEO陳宇森在現場宣布長亭科技完成億級B輪融資，投資方為經緯中國。

現場，長亭科技重磅推出掃描器產品洞鑒（X-Ray）和雲主機安全產品牧雲（CloudWalker）兩款產品。令人驚訝的是，新品牧雲（CloudWalker）將於9月底正式開源，長亭成為國內第一家實現軟體產品開源的網路安全公司。

同一時間，長亭科技官網也改版上線，品牌全面升級。這篇文章單講發布會的彩蛋環節，即牧雲產品準備走開源發展路線的背後考量。

伺服器安全需求廣泛

牧雲的產品分類隸屬於伺服器安全產品，在Gartner的分類中，歸類為CWPP(Cloud Workload Protection Platform)，在國內還沒有專門的分類(特別的，還沒有專用類別的銷售許可證)，由於諸多特性與 HIDS 比較接近，在國內目前更多地分類為HIDS 產品。在本文中，統稱為伺服器安全。

與防火牆、掃描器等安全產品定位非常不同，伺服器安全產品以伺服器主機為單位，部署形態一般是一個可執行程序的形式，部署在伺服器內部。

不管是掃描器還是防火牆，都是從外部和流量的角度去看待一個伺服器的安全狀態，這必然會產生疏漏。而伺服器安全產品可以看作伺服器肚子裡面的蛔蟲，只有深入伺服器內部，才能對安全狀態知根知底，以最準確、最及時的手段和方法獲知伺服器安全狀態。更何況，在雲時代到來的今天，很多伺服器都在雲上，即使想使用一個防火牆設備去管控伺服器安全，也無從放置。

伺服器安全產品的必要性，可以從以下的場景來推導:假設你是一個甲方的安全負責人，負責公司全部3000台伺服器的安全，突然有一天爆發了Struts2/Shellshock 漏洞或者就是想查殺一下所有伺服器有沒有反連Shell/Webshell文件，怎麼辦?

一個比較容易想到的方法就是，寫一個漏洞檢測程序，然後通過一個批量執行的方式，在3000台伺服器上全部執行一遍。把這個思路包裝成一個產品，再增加及時性、準確性、擴展性等要求，滿足監控、掃描等各種安全場景的需求，就是一個伺服器安全產品。

伺服器安全產品解決的是安全負責人對於大量伺服器的安全狀態統一管控的問題。如果沒有這個位置，安全負責人很難把控成千上萬台伺服器的安全監控、補丁修復等一系列問題，安全的環節就是缺失的。長亭的安全理念是，任何一個單一安全產品都不可能徹底解決安全問題，因此多產品、多角度聯合的 「塔防體系」 才是必然發展方向。

正是在這樣的需求背景下，經過長達半年的細緻調研，我們決定要在伺服器安全領域進行積累，於是就有了牧雲產品的立項和開發過程。

牧云為什麼要走開源發展路線

伺服器安全產品的需求廣泛存在，但是目前普及程度卻遠遠不夠，根據目前觀察到的情況，BAT等大廠一般都有自行開發的伺服器安全內部產品，服務於自己的雲體系。沒有自研的大公司，有不少選擇了商業產品。剩下的要麼沒有使用，要麼使用開源產品或者使用自己維護的腳本進行管控。

那麼都有哪些苦楚呢?

不管是商業產品，還是自研產品，TCO(Total Cost of Ownership)都非常高。

商業產品一般按照伺服器數量收費，單台伺服器收費幾百上千，乘以伺服器數量，少則幾百，多的能到上萬， 成本不可小覷。此外，由於跟業務伺服器緊密結合，需求緊急而多變，因此還需要配套的服務和響應，成本高，速度難以保障(除非提供駐場服務)。最後，商業產品的代碼不開放，因此無法管控，是否存在不穩定因素?是否會與業務代碼打架?是否會搶佔過多的伺服器 CPU 或內存資源?是否會產生運維甚至是安全不可控事故?這些都是要考慮的因素。

如果是自研產品，往往又會陷入另外一個困境，由於自己既是需求方，也是使用方，在業務需求方面往往理解很透徹，方案效果立竿見影，但是一旦落地實施，就會發現產品架構上、可擴展方面往往顧此失彼。伺服器數量一多，總有一定比例的伺服器運行失敗怎麼辦?管理平台在數據量大的情況下是否還可以支撐?會不會有代碼bug甚至是漏洞，導致業務伺服器不穩定不安全?這些問題都很頭疼。

長亭對於安全的理解，前面說了一點 「塔防體系」，而第二點就是，安全的主動權應該交還給甲方。

乙方提供的是永遠是框架、是工具。乙方不在甲方的對抗戰場中，對於甲方需求的理解永遠不會比甲方更透徹。因此，一個更加適合的做法就是，乙方搭建基礎設施，提供框架和工具，提供插件體系和擴展方法，甲方根據需求靈活擴展，消滅問題解決戰鬥。

在上面一系列思考和鋪墊下，牧雲產品決定走開源路線。長亭作為乙方，專註底層框架，保持絕對穩定、輕量級、可擴展。甲方根據自己的思路、需求出發和使用，自行編寫插件。多個甲公司的需求總有共性，因此彼此還可以分享經驗和成果，共同構建一個伺服器安全的社區。社區的力量永遠大於任何一家單一廠商。

牧雲開源計劃，就是希望給大家提供一個平台，任何一個甲方安全負責人都可以快速搭建一套自己的伺服器安全平台。

這是長亭安全產品邁向開源的第一步，即便不夠成熟，我們也願意走出去，為建立安全生態而努力。

下面是一個初步計劃的時間表:

2018年9月底，開放牧雲伺服器安全平台基礎設施。

2018年底，開放基礎安全組件。

2019年，逐步開放場景化的智能威脅分析組件。

關於開源

一直以來，長亭的產品開發都深深得益於開源社區的幫助，我們使用Vue框架來構建產品代碼，我們使用PostgreSQL資料庫來作為數據存儲，諸如此類不勝枚舉。

開源幫助了我們，我們也一直積極回饋和支持社區，盡綿薄之力，希望能夠添磚加瓦。

從2年前，Vue還沒有如今這麼火的時候，長亭就開始每月贊助直到今天也沒有停止，長亭的logo仍然排在https://vuejs.org/贊助logo牆裡面。當然後來vuejs火遍天下，躋身為三大最流行前端框架已經是後話了， 我們自己也沒有想到會如此之火。

除此之外，我們還開源了不少工具項目：

https://github.com/chaitin/passionfruit 是iOS應用逆向與分析工具，可以大大加速iOS應用安全分析過程；

https://github.com/chaitin/yanshi 是長亭雷池（SafeLine）防火牆核心引擎使用到的代碼生成工具；

https://github.com/chaitin/strapdown-zeta 是長亭內部使用的簡易Wiki系統，雖然項目不大(加在一起也只有小几千的Star)，但是至少可以體現我們熱忱的心。

開源需要有社區，並且依賴長期運營和支持。不得不坦白，我們目前在社區方面的積累還少，這次產品開源計劃也是第一次嘗試，但是只有勇敢走出第一步，才會有無限可能。希望未來可以做更多的開源產品，為安全社區貢獻一份力量。

最後，牧雲開源計劃，預計9月底上線， https://github.com/chaitin/ 不見不散。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！