今年4月，专注于软件供应链安全的行业领导厂商比瓴科技宣布，与元豚科技战略合并，元豚科技创始人唐誉聪加入比瓴，担任合伙人及研发副总裁一职。唐誉聪表示，将携手比瓴共同推动持续应用安全平台(ASPM)的发展，将更具平台属性和服务属性的ASPM献给所有用户。

比瓴科技合伙人&研发副总裁

唐誉聪

三方视角的沉淀

此前，唐誉聪曾在安全乙方、丙方及甲方工作十余年。在天融信时期，唐总负责渗透和SOC的策略建设，为了优化使用体验，他推出了中文版SOC，即W3A SOC 1.0，并开源至GitHub。随后，唐总离开天融信加入中国电信集成，结合自身能力及工作中储备的经验，他优化了SOC的规则管理，并增加了如漏洞管理、安全监控等功能，推出了W3A SOC 2.0(ASPM雏形)。

离开中国电信集成后，唐总加入了三七互娱。在三七互娱的业务爆发期，他将自动化和安全平台相融合，并围绕W3A SOC 2.0建设三七互娱的安全架构。此后，唐总辗转拉勾网、智联招聘、51社保、小懂健康等企业，并在小懂健康中发现了创业的契机。

在小懂健康时期，唐总担任CTO，负责建立CI/CD的管理体系。在克服种种困难后，他通过自动化极速搭建，同时将CI/CD，制品、安全检测、SCA、漏洞扫描、数据流转等自动贯穿，基于数据和全链路的底座建设云原生安全平台。

发现这一商业链路后，唐总创立了元豚科技。在创业初期，元豚科技的第一款产品海豚工程平台仅用时1个月零12天就完成整体的开发，并且上线实测成功。海豚工程平台是基于ASPM上层的DevOps平台，通过DevOps搭建平台属性，并围绕用户需求增添安全能力。在容纳了三方视角及实践经验下，海豚工程平台得到了大量用户的认可。

ASPM，企业的下一个基础设施

近年来，软件供应链安全备受行业关注，Gartner连续4年提及ASOC，强调工具链和编排的整合，这使得海外的大部分产品延续着ASOC的思路。对此，唐总表示，ASOC的能力聚焦于数据和流量分析、洞察，这使其更具平台属性，将其分析能力与其他安全能力相结合或许更能开发出ASOC的价值。将ASOC获取的庞杂数据进行聚合，再与SOAR、ADSS、AI等技术相结合，共同形成ASPM。

唐总认为，ASPM将和大数据、云计算、AI一样成为企业的基础设施。任何用户都可通过ASPM获取基础的数据分析、洞察能力，并结合自身业务需求增添其他安全能力。同样深耕于ASPM的比瓴认同唐总的看法。比瓴科技将ASPM视为甲方安全从业者的重要工具，长期以来，比瓴科技一直将ASPM从产品向平台转化，并将人的服务能力、工具的服务能力，拉伸到平台中。通过ASPM进行统一控制，评估潜在威胁，并以指标形式推送至安全从业者及企业决策层中，实现对安全的全面掌控。此外，为了进一步推进ASPM指标的准确度，比瓴基于自身服务经验，提炼出了更多基于场景的需求和特点，使指标能够呈现出更多具有趋势性的指导意见。

在落地方面，比瓴优化了ASPM的配置参数和规则部署，并将其他安全能力模块化，使用户可以按需使用、量体裁衣。此外，由于ASPM是一种外挂式的安全工具，因此不会对业务造成侵害，也不需要过高的使用门槛。对此，唐总表示，比瓴将进一步减少用户的使用门槛，使其能够满足绝大多数的企业安全需求，最大程度提升ASPM的平台属性。

ASPM作为应对软件供应链安全的一线产品，将安全与业务紧密结合，既符合了当前企业对安全的要求，也提高了业务的抗风险能力。在向平台化转型的过程中，ASPM将更贴合安全运营趋势，进一步降低软件供应链安全风险。

携手比瓴，共创未来

对于此次和比瓴的合作，唐总表示，比瓴的商业路线更为成熟，产品能力也较为全面。加入比瓴之后，他将深度参与所有条线的产品研发，打通现有安全工具能力，将SCA、TMA等工具进行优化和升级，使其更符合甲方的用户习惯。此外，他还会将过往的经验完整地融合到比瓴的产品中，为产品侧提供有效的指引。

“在产品技术上做深耕，实现ASPM的竞争力覆盖”是唐总加入比瓴的一大目标。未来，唐总将会在指标和安全属性上做更加明确的指引，以符合甲方的需要，使其呈现的内容更加准确，帮助用户做更贴心的ASPM保姆级平台。国内的ASPM市场也将在比瓴和元豚的合作下，迎来更多好用的产品和理念。