专访成都链安杨霞:如何落实自主创新的国产安全产品?

信息化观察网
雷孝
VaaS系统不仅仅能够面向BCOS、ETH、EOS、Fabric、ONT等多个主流平台,还能面向诸如EVM和WASM虚拟机系列的智能合约,提供可定制化和可移植性的服务。同时,VaaS系统还能够一键式自动化检测出智能合约的10大项32小项常规安全漏洞。检测准确率>97%,为全球最高。

专注安全领域十九载,学院派杨霞讲述她和她的区块链安全。

嘉宾介绍

成都链安的创始人杨霞,作为形式化验证的专家,曾经为大型航空航天项目的形式化验证服务,主持过国家核高基,装发重大软件等近10项国家重大课题,发表学术论文30多篇,申请20多项专利。

纵观区块链安全领域,学院派与极客派基本是双足鼎立。相比于极客派的飘渺,学院派的“理论-课题-实践商用"发展脉络也是另一种独特的风格。

一路保送至博士的杨霞似乎并没有传统学者身上那种浓郁的“研究属性”;作为国内安全圈较“金贵”的女性CEO,支撑她砥砺前行的是专攻十九年安全领域的经验积淀;既是教授,同时她也带领着成都链安在区块链安全领域占据着重要的一席之地。

文艺女?教授!创业者!当这三种身份标签汇集于在一人身上的时候,作为采访者的我充满对这场专访的期待。算力波本期带您扒一扒”学院派安全卫士“杨霞背后的故事,以她的视角分享下学院派眼中的区块链网络安全。

1

不是在路上、在酒店就是在活动中

“每次来上海的时候,不是在路上、在酒店就是在活动中。”杨霞感慨道。

杨霞高中的时候特别喜欢余秋雨和张爱玲的散文,用她自己的话说就是有着小资情调的文艺青年。书中描写上海的内容也曾一度让杨霞向往,但还没有感受过那里片刻小资生活的她,每一刻都和上海一样的繁忙。

“做老师的时候还好,创业以后你就再停不下来了,但是我喜欢这样忙碌的生活。”杨霞笑道。

我想没有任何人不好奇,在获得各项研究荣誉之后,杨霞为什么选择的是创业这条路。面对这样的问题,杨霞给出了两个原因。

杨霞回忆道,“读书那会我就是一个闲不下来的活跃分子。高中就上过电视台,也曾创立了当地第一届由学生主导的报纸,组织类似联谊的活动、还四处和同学一起拉赞助”。

说到这里,杨霞不禁笑了起来。从事安全领域十九年之久的她如今看起来依旧有着一颗赤子之心。

“第二个原因是我们电子科技大学的优良传统。学校注重产学研,也鼓励我们走出去,把更好的价值带向社会。我们实验室从1999年就开始创业。我的导师在互联网时代之际亦是如此。”她补充道。

2

在区块链安全引入类军事级形式化验证

“在投身区块链安全之前,我从事多年航空、航天、军事领域形式化验证的安全工作。不知不觉,在安全领域快20年了。”杨霞不免感慨道。

据瑞波我了解,形式化验证这套方法原来一直在军事领域,或者是比较尖端的安全管理软件里应用,比如导弹控制、战斗机的控制系统。它对代码自身的安全性和正确性的保障是非常好的一种手段。

被问及进入到区块链安全领域的原因,杨霞说真正引起她注意区块链安全的是源自2016年以太坊theDAO漏洞。她发现市面上八成以上的智能合约或多或少的存在着安全问题。它们可能是条件漏洞、逻辑判断错误、代币授权错误、整型溢出漏洞、拒绝服务攻击等数十个漏洞。有着多年形式化验证安全经验的杨霞认为她需要站出来。

将代码变成公式,用严谨的逻辑验证代码的准确性,从而减少程序员人为犯错而产生的BUG。经过形式化验证的智能合约可以追踪和验证,可以起码杜绝近九成的错误。

这也就是Beosin-VaaS,杨霞带领成都链安以十数年经验打造,用于区块链安全防护的一个重要工具。

3

区块链安全领域学院派和极客派有何不同

在问及最高决策层对区块链技术公开支持给杨霞带来了何种变化时。

杨霞露出了一丝笑容,“如同习大大说的那样,要做好区块链安全的防护体系”。她继续解读道,“做好自主创新的安全防护体系是关键,在基础设施和代码上我们国家要有自己的安全产品,不能假人之手。”

这其中包括保障区块链核心代码安全性的VaaS系统;为区块链系统安全运行提供24小时实时监控、预警和报警的鹰眼态势感知系统;对数字资产追踪、溯源、反洗钱提供SaaS服务的AML;用于区块链应用系统的安全设计和开发的IDE;全生态的安全审计和防御部署以及区块链安全威胁情报。

由成都链安自主研发的这几大核心产品,共同搭建起了为区块链生态提供技术和保障体系的一站式区块链安全平台。其中,VaaS系统作为一站式区块链安全平台的核心产品,就是基于形式化验证技术而推出的。

VaaS系统不仅仅能够面向BCOS、ETH、EOS、Fabric、ONT等多个主流平台,还能面向诸如EVM和WASM虚拟机系列的智能合约,提供可定制化和可移植性的服务。同时,VaaS系统还能够一键式自动化检测出智能合约的10大项32小项常规安全漏洞。检测准确率>97%,为全球最高。

另外,VaaS系统还可精准定位风险代码位置并给出修改建议,从源码到字节码完备的形式化验证,为智能合约提供“军事级”的安全保护。并支持多个智能合约编程语言,如Solidity、Go、C++、Python等。最近,成都链安还应势推出了基于VS Code插件的离线免费版Beosin-VaaS,供开发者使用。附体验网址:https://beosin.com/#/

“这既是成都链安的产品,也是成都链安的使命,通过他们来构建一个区块链安全防护体系。”杨霞认真道。

经历过互联网最早时期的杨霞感受到区块链和彼时互联网有着相似性,她认为不同点在于区块链发展更快,暴露的安全问题也更多。如何建立完善安全体系和服务是每个业内人士所需要思考的问题。

当提及同行时,我也不禁向杨霞提出一个尖锐问题,想请作为学院派的她谈一谈他们与极客派的差异。

杨霞认为,“学院派其实就是产学研的结合,把从高校走出来的技术进行转化,为社会带来产能。”她紧接着补充道,“这和极客派的路径确有不同,但目标都是在区块链安全领域中发挥自己的力量。”

杨霞紧接着回忆起2000年的时候,她曾开发出一个偏基础研究的成果在当时无人问津。直到十年后,才慢慢有人认识到它的价值。然而,正是由这一项项起眼和不起眼的成果不断堆砌,才构建起今时今日的网络安全防护体系。

“你无法得知地下黑客会从何处下手,那唯有把你的安全防护体系打造成一堵墙,用它来抵御危机”,杨霞比喻道。

4

杨霞多重身份下的乐趣

在对杨霞的了不断了解过程中,我也不禁问到她本人最喜欢的身份。她笑着表示,那些身份分别为她带来了不同的成就感。

“做研究是打磨自己,做教授是打磨学生,做公司是打磨产品”,杨霞进一步解释道,“我以前做科研的时候,并不满足于纸面的研究。作为创业者的初衷,就是希望把科研的成功发挥出更大的价值,得到社会的认可。做教授时,我很开心能够培育出许多优秀的学生,让他们在各行各业中贡献着他们的力量。”?

说到自己的学生时,杨霞比谈及自己的产品时似乎更为骄傲。她还向我打趣道,“把自己的学生卖一个好价钱是她做教授最大的心愿。”

THEEND