2021 年 12 月,自 2013 年以来一直未修复的广泛使用的日志库中的一个漏洞导致了全面的安全崩溃。
Log4j 中的 10/10 级Log4Shell漏洞是一种开源日志记录软件,几乎无处不在,从在线游戏到企业软件和云数据中心,由于其无处不在,从 Adobe 和 Cloudflare 到 Twitter 和 Minecraft 造成了无数受害者。安全专家将其描述为“灾难性的设计失败”,并展示了发布错误代码可能产生的深远影响。
总部位于波士顿的AppMap本周通过了TechCrunch Disrupt Startup Battlefield ,希望阻止这个糟糕的代码将其投入生产。开源动态运行时代码分析工具,这家初创公司声称是同类产品中的第一个,是伊丽莎白劳勒的心血结晶,她对安全性了解一两件事。在创立 AppMap 之前,她创立了 DevOps 安全初创公司Conjur ,该公司于 2017 年被 CyberArk 收购,并担任 Generation Health 的首席数据官,后来被 CVS 收购。
在将两家公司出售给拥有大量遗留软件的大型企业后,Lawler 亲眼目睹了开发人员如何努力理解他们负责改进的系统,并发现难以在复杂的微服务和云应用程序中交付快速和安全的代码。
“令我惊讶的是,人们对事物如何运作的心智模型实际上与它的实际运作方式脱节,”劳勒告诉 TechCrunch。 “当我们不知道我们的软件如何工作时,我们在编写代码时会做出最好的猜测。”
图片来源: AppMap
这导致了 AppMap 的创建,它建立在一个简单的想法之上,即开发人员应该能够在编写软件时看到软件的行为,以便在软件运行时防止出现问题。与不显示运行时信息的静态分析工具不同,AppMap——它是在三年内从头开始构建的——在代码编辑器中运行,以向开发人员显示哪些组件正在与哪些组件进行通信,吞吐量和延迟是多少,以什么样的网络速度以及它们之间是否存在任何错误,使开发人员能够获得可操作的见解并比以前更快地进行改进。
所有这些都是在交互式代码编辑器扩展中完成的,AppMap 在漫画艺术家和音乐家的帮助下设计了该扩展,以使其尽可能易于使用和直观。
“我是一名数据科学家,所以我知道数据有多么庞大,”劳勒说。 “谷歌地图优雅地向我们展示了如何个性化和本地化地图,因此我们将其作为我们想要解决大数据问题的起点。”
为了配合 TechCrunch Disrupt,AppMap 推出了三项新功能:与其他工程师共享和协作的能力;性能分析,在代码更改将影响性能和可扩展性时提醒开发人员;和安全分析,可以在开发人员的代码编辑器提交代码之前识别软件运行时代码问题,无论是将客户数据和机密泄漏到日志文件中,还是缺少或不正确的身份验证或授权。
“我们可以看到现在正在上升的 OWASP 前 10 名的问题。静态问题的流行率已经下降,因为我们有很好的扫描仪,但是我们没有很好的扫描仪来解决这些设计的动态问题自然。如果您查看 CWE 前 25 名,其中几乎有一半是代码设计问题。”
由于它基于开源,这从这家初创公司的社区来源方法可以明显看出改变其产品和添加新功能,AppMap 可供开发人员免费使用。 “我们不认为你应该为编程中的自我意识付费,”劳勒说。 “如果我们要与你的 GitHub 集成,我们必须提供一些后台功能或存储,那么这些都是付费服务。”
图片来源: AppMap
AppMap 是一家种子期 VC 支持的未盈利初创公司,目前拥有超过 20,000 名客户——这个数字每月以 20% 的速度增长——IBM、NASA、Sonos 和 Salesforce 的开发人员都在使用其产品。它还在壮大其团队,该团队由在其职业生涯的某个阶段编写过代码并拥有深厚的 DevOps、自动化、网络安全和测试驱动开发经验的员工组成。 AppMap 的技术联合创始人 Kevin Gilpin 将他的职业生涯亮点描述为交付 福特的“在线制造您的车辆”页面。
尽管它仅在 2021 年推出,但这家初创公司的愿景远远超出了防止开发人员发布不良代码的范围。 “我们花费大量时间和精力来检测应用程序下游的事物,但我们从未检测过创作过程。我们从未真正看到人们以这种方式思考、设计和创造。我认为通过在那一刻拥有可观察性数据,它将带来很多机会。随着 AppMap 的发展,我想思考它如何变得比性能分析更大,并成为该领域的辅助技术。”