2020年，美国防部国防创新部门（DIU）与硅谷科技初创公司 ForAllSecure签署了一份总价4500万美元的合同，将利用后者研发的“Mayhem”机器人黑客系统，在国防部武器系统中开展网络安全漏洞检测与修复工作。

图片来自于外媒

一、Mayhem部署于美国国防部

2020年5月，ForAllSecure公司宣布，其下一代模糊测试解决方案Mayhem正在美国国防部（DoD）的多个分支机构部署。ForAllSecure公司将其软件安全解决方案扩展到国防部的一些最关键的系统中；多个国防部实体正在使用Mayhem，包括：空军第96网络空间测试组、空军第90网络空间作战中队、海军海上系统司令部 (NAVSEA) 和美国陆军C5ISR（指挥、控制、通信、计算机、网络、情报、监视和侦察中心）。

Mayhem是卡内基梅隆大学首创的获得专利的下一代模糊测试解决方案。它结合了两种经过验证的动态应用程序安全测试（DAST）技术——导向型模糊测试和符号执行，以前所未有的速度、规模和准确性不断发现缺陷。Mayhem帮助美国国防部完成测试关键软件（包括武器系统），无论是否有开发人员参与。

“安全是指发现漏洞/缺陷的速度快于攻击者。Mayhem是20多年研究的结果，即如何首先识别关键软件缺陷，而不是因为误报而减慢速度。其好处不仅限于安全。Mayhem自动构建一个测试套件，以创建出色且值得信赖的软件，” ForAllSecure公司联合创始人兼首席执行官大卫·布鲁姆利（David Brumley）说，“我们与国防部的合作展示了代码测试自动化的强大优势，使用了符号执行和高级模糊测试的组合技术。”

Mayhem检查武器系统应用的能力受到关注，因为美国国防部开始将网络作为一个新的战争领域。2018年，美国政府问责局（GAO）报告称，在保护国防部武器系统免受日益复杂的攻击方面，面临越来越大的挑战：“这种状态是由于武器系统的计算机化性质，及国防部在优先考虑武器系统网络安全方面起步较晚等。国防部武器系统比以往任何时候都更加依赖软件和网络化。”

国防创新部门认识到武器系统安全问题和潜在的技术解决方案之间的匹配，遂把ForAllSecure公司的成果应用于国防部内的关键任务，与ForAllSecure公司签订了合同。ForAllSecure公司能够根据关键用户的直接反馈快速且有意义地迭代其产品，从而大大加快实现价值的时间。

ForAllSecure公司的第一个Mayhem原型，在2016年与全美110支团队竞争、赢得DARPA网络大挑战赛后获得了认可——这是一项旨在创建能够推理缺陷、制定补丁并将其实时部署在网络上的自动防御系统的竞赛。ForAllSecure公司正在扩大规模，以使Mayhem在商业市场中可用。

Mayhem的组成和目标：

ForAllSecure公司首席执行官大卫·布鲁姆利称，2016年，当时仍是研究原型的Mayhem就表明完全自主的网络安全是可能的， 而到了2020年，Mayhem已在DevSecOps中帮助美国国防部用于测试和评估。Mayhem具有三个关键组成部分：

• 发现。 即使没有开发人员参与，Mayhem也会自动发现商用现货（COTS）软件中的新漏洞。
• 修补。 Mayhem自动修补（或者说“加固”）程序。
• 战略。 在满足任务/业务目标的同时击败攻击者。

Mayhem的目标

ForAllSecure公司正在继续推进自主网络安全中可能的技术，其目标分为三个部分。

• 建立一个社区。确保最好的技术获胜的最佳解决方案是围绕它建立一个社区。
• 使 Mayhem适应其他语言和操作系统。 Mayhem支持编译语言，例如Linux上的Go、Rust、C、C++等。它能发现漏洞。一个完全自主的系统无法猜测漏洞是否真实存在。发现漏洞的方式从编译的二进制变为解释性语言，如Java。ForAllSecure公司正在构建Mayhem以支持更多语言；从长远来看，其将支持更多操作系统。
• 构建自主漏洞修复。ForAllSecure公司称， Mayhem可以告诉用户Mayhem生成的补丁是否会产生2%或5%的性能影响；公司已经内置了对Mayhem执行回归测试的能力，以支持整个软件生命周期。但除此之外还有更多。公司最初的市场研究表明，世界还没有为完全自主的补丁做好准备——不是出于技术原因，而是出于法律原因；但公司认为可以解决这个问题。

看看创始人怎么说

大卫·布鲁姆利表示，该公司正在努力采用一种算法方法来为应用程序安全 (AppSec) 团队自动、快速地识别漏洞。ForAllSecure以企业为中心的自主应用程序测试产品 Mayhem for Code于2020年初推出。该公司还提供用于测试应用程序编程接口的Mayhem for API。大卫·布鲁姆利说，推出该产品的免费版本Mayhem for API Free是“正确的做法”，“为了测试全球软件的可利用漏洞，需要认识到独立开发人员的价值。我们为API Free构建了Mayhem来帮助他们。”ForAllSecure公司正在寻求让企业更容易将安全性更早地引入应用程序开发过程，这通常称为“左移”。

据NTT Application Security的一份报告显示，整个2021 年，50%的Web应用程序都易受到至少一个严重的可利用漏洞的攻击。

虽然软件漏洞长期以来一直是企业关注的问题，但随着发现广泛的关键缺陷（例如Apache Log4j中的漏洞），人们对该问题的认识有所提高。同时，软件供应链方面，例如对SolarWinds和 Kaseya的攻击，也导致了对潜在威胁的更多认识。

“网络安全始于安全软件，”大卫·布鲁姆利说。“不幸的是，20年来在应用程序安全方面没有任何创新。与此同时，我们正处于网络安全人员配备的短缺期。”他说，ForAllSecure 的产品其目标是在攻击者成功之前自动发现可利用的漏洞——这种方法被称为“模糊测试”。使用该解决方案，用户上传他们的软件，Mayhem会自动执行深度的、类似攻击者的渗透测试。重要的是，该工具还可以从应用程序逻辑本身中学习。

最新进展

2022年3月，外媒报道称，ForAllSecure公司宣布已筹集2100万美元。此次融资使公司的总资金达到 3600 万美元。该公司有着世界上最先进的应用程序安全测试技术。对支持 DevSecOps计划的应用程序安全性的强烈需求推动了投资。ForAllSecure公司将利用注入的资金来加速增长、增加员工人数并推动产品创新，包括保护全球企业广泛使用的数千个开源项目的解决方案。

ForAllSecure公司表示：“我们启动 ForAllSecure 是为了以与攻击者相同的方式自动测试应用程序，以领先于攻击者。我们认为手动测试太慢、太昂贵且容易出错，无法随着现代开发速度进行扩展。其他应用程序安全方法不像攻击者那样工作，并且不能真正自动化，因为人类需要仔细检查结果。ForAllSecure 使安全性能够左移并尽早、经常且具有成本效益地发现问题。现在是完全自动化应用程序安全性的时候了。”

据 451Research称，61%的组织表示：缺乏自动化、集成的安全测试工具，是DevSecOps面临的最大挑战。ForAllSecure公司的 Mayhem产品可自主工作以发现漏洞，并保护易受攻击的应用程序免受黑客攻击。其专利算法由卡内基梅隆大学首创，以前所未有的速度、规模和准确性不断发现缺陷。自 2020年推出第一款商业产品以来，ForAllSecure公司已经积累了100 多家客户，从美国国防部到 Roblox 游戏平台。

“由于软件开发的爆炸式增长和对更安全应用程序的需求，DevSecOps行业正在经历前所未有的颠覆性的变化，”投资方之一说。“ForAllSecure公司的尖端自主技术正在定义测试和保护世界软件的标准。我们对ForAllSecure的投资强调了我们的信念，即该公司处于网络安全的最前沿，可以保护软件和与软件相关的资产，免受我们今天看到的日益增加的威胁。”

这笔资金来自DevSecOps和应用程序安全工具的巨大增长。2020年，全球DevSecOps市场达到25.5亿美元，预计2028年将超过230亿美元。虽然安全软件的重要性并不新鲜，但最近引人注目的安全漏洞和软件供应链的日益复杂，正在增加将安全性转移到开发生命周期中的重要性。此外，当安全人才稀缺时，全自动和自主测试成为关键需求。

ForAllSecure公司提供了一个自主的安全测试解决方案，通过将安全测试层集成到连续的工作流程中来最大限度地提高开发效率。通过智能自动化软件的测试和维护，Mayhem使开发人员能够专注于他们最擅长的事情，并提供安全、可靠的应用程序，从而提供竞争优势。

背景补充

ForAllSecure是由来自卡内基梅隆大学的ForAllSecure安全研究团队于2012年创立的公司，创始人大卫·布鲁姆利等均来自卡内基梅隆大学并拥有相关专业背景。ForAllSecure公司的目标是使世界上的软件变得更安全。利用卡内基梅隆大学十年研究的专利技术，ForAllSecure提供了下一代模糊测试解决方案。航空航天、汽车和高科技领域的多家公司与 ForAllSecure合作进行可扩展的高级安全测试，以跟上不断提高的开发速度和部署频率。DARPA将ForAllSecure视为2016年网络大挑战的获胜者，《麻省理工科技评论》将ForAllSecure列入2017年50家最聪明的公司名单。

（来源：综合外网及外媒等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）