有这样一家安全公司,在公司成立快十年的年头上,还能再次被外界广泛关注,前脚刚获得2022腾讯数字安全创新大赛“最佳技术创新奖”和“最佳网络人气奖”,随后又在ISC 2022创新独角兽沙盒大赛上一举夺魁,这家公司就是万径安全(原四维创智)。创业近十年还能跟创新搭上关系,全因万径安全最近两年给大家带来了一个不一样的东西——Yak。
近日,安全419走进万径安全,采访到了Yak的缔造者万径安全CTO姬锦坤,就Yak研发初衷以及发展近况,也包括万径安全技术线未来等话题进行了交流。
万径安全CTO姬锦坤
安全能力融合是Yak的终极目标
技术型网络安全公司都会面临同样一个问题,那就是在涉及产品开发时,各项能力如何融合这一问题。姬锦坤告诉安全419,万径安全的早期阶段同样如此,比如开发一款产品要对应开发不同的功能模块,有的是完全自研,有的则是开源调配。
此时就会出现这样一个问题,不同的模块由不同的开发人员写成,他们可能会采用不同的语言平台,要把这些模块融合到一款产品当中就会非常困难。特别是一旦超出能力范围,从工程化角度考虑,企业往往会陷入困境。
显然,万径安全在遭遇类似的产品开发问题时并没有安于现状,而是尝试着做出改变。“当时我们的想法是能不能构建一个容器,去融合解决此前面临的各种问题。”而他们给出的答案就是Yak,一款图灵完备的领域编程语言,也是网络安全领域内的首个DSL。
这也解释了到底Yak是什么这一问题,解决产品安全能力割裂问题是Yak的研发初衷,作为一门特定的安全语言,万径安全希望的是,在该语言平台上实现市面上常见的,各种各样的安全产品频繁使用到的核心能力,将其融合到一个平台之上,甚至包括用法。
“盖周天之变,化吾为王!要解决类似问题,最简单的方式就是自己说了算,所以就有了Yak这门语言,它将解决之前各种不可控,或是高成本细节。让安全能力或不同的安全体系在一个维度互补、融合、进化,是万径安全Yak团队正在做的事,也是团队追求的终极目标。”
万径安全在今年5月份宣布Yak全面开源时定下目标,实现安全产品的能力基础设施、提供安全产品所需的原子能力、从而让安全产品降低研发成本。
这也定义了Yak在不断发展道路过程中能做的事和要做的事,出自公司的内部需求,不断研发最终生长应用于生态,旨为引领安全迈向更好的未来。当然,这也注定了万径安全要为Yak倾尽心血。
像是对于企业开发来说,往小了说解决的是成本问题,全面降低产品开发、二开、迭代成本。往大了说,它也是自主可控信创生态的一部分,特别是它本就是一款特定的安全编程语言。实际上,Yakit目前正在被大部分国内技术人员所采纳,替换掉此前应用的国外安全工具。
开源之后月度调用量高达2600万
今年的5月份,万径安全在国家会议中心举行发布会,宣布了Yak将完全开源。在交流过程中,姬锦坤也谈到了开源之后关于Yak项目上的一些变化。
“最直观的就是用户量上的提升,在用户使用上,以Yakit为例,此前技术人员处于有限度的使用范围,并不愿意分享和讨论,开源之后,安全技术人员可以更放心地使用。现在,他们也因为开源更愿意向同事或客户分享。”
据万径安全此前统计,在5月份没开源之前,其Yak的云上OSS月度调用次数为1600万,开源之后7月份的最新月度统计已经上升到了2600万。
姬锦坤也承认,如果是销售型公司一定更急于将该数字迅速变现,而技术型公司还是希望脚踏实地一些。
开源之后带来的另一变化是开发人员的热情变得异常高涨,其影响是代码质量和规范度都有了明显提升。“闭源的话,没人会看到你的代码写的怎么样,现在大家都能看到,大家都会主动地把代码写的更漂亮些,漂亮的代码实际上也是大家履历的一部分。”
最重要的是开发进度得到了明显提升,开源之后必须对现有问题做出快速迭代,包括简单功能和BUG的迭代速度。同时新的功能,甚至是难度较高的领域,开发的进度也都得到了提升。
据姬锦坤介绍,就如VSCode动态调试插件,Yak团队从规划到完成开发只用了不到三个月时间,从团队体量来看也是颇感惊喜。
全面开源对万径安全带来的深层次上的收益是声誉上的提升,这方面将会更实质一些,因为有助于业务。姬锦坤也将其定义为Yak项目的目标之一,就是当客户本身就是Yak的用户时,其与万径安全的信任关系就更容易建立。
万里长征上的一小步路
在安全技术圈子Yak已经吸粉无数,姬锦坤告诉安全419,不仅圈内的技术人员、安服人员在使用,其得到的反馈是大量甲方客户也在接触Yak。
“别人愿意用,肯定不是因为Yak提供的是中文界面,归根到底大家还是希望能够尝试国内的技术工具,同时作为后来者,Yak的部分功能确实要更优秀一些。”
Yak已经取得了阶段性成功,但姬锦坤也强调,无论是开源、还是当前的规模化应用,都只是Yak项目万里长征上的一小步路,与公司未来的目标还有不小的差距。未来,万径安全将持续投入资源,不负众望,将Yak做得越来越好。
以Yakit为例,万径安全也是国内首家在自家安全产品上,上线安全大模型的网络安全厂商。“ChatCS已经作为Yakit的插件被广泛使用,接下来,通过实践和调优,我们也在思考如何能够让安全大模型能在产品上拥有更好的表现力。”
在大模型应用上姬锦坤延伸指出,当前阶段AI提供的是选项而非确定项,所以距离工程化尚有时日,除非有颠覆性算法提升,否则阶段性调优是产品化过程中的必然,而这也必须来自于实践。
“Yak绝不是套壳语言,底层技术和能力融合还需要不断完善。”姬锦坤进一步强调,技术型厂商一定不能怕被骂,就像超前探索大模型应用,只有实践才能找到最优解。也就是说,对于Yak项目而言,无论是功能性完善还是技术性引导(Yak团队几乎每周都会发布技术性推文)都将是持续性的,直到价值彻底释放。
而在Yak整体发展上之所以选择开源,一方面也是要打消技术圈的使用顾虑,重要的也是希望从开源这条路,助推国内开源生态之余,借助群体智慧,让Yak项目未来能够加快发展。
所以,未来的Yak社区运营工作也是团队的工作任务之一。Yak在行业内已具备一定知名度和拥趸,而在万径安全内部,也进一步制定了更加长远的增量推广计划。
“改变一个人的行为是很困难的,特别是技术人员,他已经有自己的习惯和顺手的工具,除非有一天他真的体验了Yak。所以我们主要是想从教育一侧着手,从网安人才学习阶段入手,从早期就培养技术人员的习惯,让这一部分群体更早接触到我们自己的东西。”
据介绍,万径安全在5月份宣布Yak完全开源之时,就同步启动了相应的高校计划。当前,Yak的第一本开发语言教程即将发行(已取得版号),接下来将会向职业培训市场去推广,也会尝试与高校开展相关合作,逐渐从未来的网安人才底层扩大使用人群。
姬锦坤还告诉安全419,Yak现在不仅受到国内技术圈的广泛关注,已经有不少的国外技术人员对其产生了一定的兴趣,甚至询问是否有推出英文版的相关计划。当然,基于Yak当前的周更新频率来看,如何服务好国内用户还是Yak在未来很长一段时间的主要工作。
未来的万径安全
在2023CCS大会上,四维创智官宣更名为万径安全,在交流环节,姬锦坤也对此做出了相应的解释。
据介绍,做出更名万径安全这一决定,主要是摆脱掉之前对其所处领域的固有限制。其管理层认为,四维创智是一个多年的安全品牌,品牌与智能化渗透有着强绑定关系,以至于很多客户听到这个品牌的时候,马上就会想到智能化渗透。
当然对于公司现有业务发展是有利的,但从公司长远发展来看,要进一步提升规模和业绩,品牌升级是一项必要的战略决策。
作为技术线负责人,姬锦坤也透露称,明年万径安全就会陆续推出一些新品,核心能力当然源于Yak,同时因为有了Yak的底层能力,其产品的研发速度将远高于行业平均水平,其产品的迭代速度也将超过市面同类产品。
万径安全核心团队均为技术出身,所以姬锦坤也强调称,产品规模一定要扩,建立更加丰富的产品矩阵并将其关联,以深层激活Yak的在商业层面上的潜力,这将有利于扭转过去公司产品单一的局面,但公司核心精力还是会放在Yak项目的持续维护上。
一方面作为核心技术如被外界认可,也就是公司品牌和产品能力受到认可。最重要的还是技术出身的那种执念,既是Yak未来的定位,更是万径安全的野心。
“未来,万径安全的用户除了甲方客户,还可以是乙方,或是安全爱好者、学生,甚至是友商,对于后者,万径安全更是持开放态度,希望Yak作为底层基座的提供者被广泛认可,并为行业不断输出各种原子化安全能力。”
“认认真真做事,剩下交给时间。”由Yak底层驱动的万径安全,技术一侧的战线将会被拉得足够长,作为一家以盈利为目的的商业化公司,随着用户体量的不断上升,Yak的短期收益初步显现,而未来,则更加可期。
闫小川
安全419编辑部
热衷于挖掘网络安全行业的甲方和乙方。
END