质量就是生命、安全重于泰山！软件质量问题和安全威胁无处不在，在数字生产力加速释放的同时，软件质量和安全保障已经成为重中之重。在国家高度重视网络信息安全保障的情况下，相关政策措施也在陆续出台落地。2021年底印发的《“十四五”软件和信息技术服务业发展规划》中对软件及应用的安全方面提出了相关要求。《规划》要求软件和信息技术服务业应坚持发展和安全并重，强化安全服务和保障措施；并提出开展软件数据安全、内容安全评估审查，加强软件源代码检测和安全漏洞管理能力。

北京水木羽林科技有限公司作为软件质量与安全测试领域的创新技术企业，致力于基础软件质量保障与安全风险防范，通过模糊测试、程序分析等技术手段，打造全类型软件“安全保障、诊断、治疗、预防”一体化解决方案，护卫关键行业软件供应链安全。

近日，北京水木羽林科技有限公司联合创始人李远翼接受《领航者对话》的专访，分享如何运用创新技术守护软件质量与安全。

Q1：请您谈谈当初从科研创新到选择自主创业这中间的转变契机与心路历程。

李远翼：首先我们团队来自清华大学软件学院，软件学院一直就有鼓励技术产业化的传统，提倡我们为国家建设提供“能用好用管用”的软件产品。
其次，从我们自身出发，我们团队也觉得技术的积累已经到了一定程度，需要通过产业化来更近距离地接触实际客户和市场的需求，帮助我们把技术进一步打磨和落地。
我们开始筹备水木羽林公司、进行技术成果产业化是在2019年，当时中美贸易战刚刚开始，有一些我们之前合作的客户也面临了国外工具软件直接断供的情况；同时，我们也看到国外跟我们类似的一些高校科研团队，也在相同、相近的领域开始了产业化的动作，当时我们也感觉到一定的急迫性。因为技术的成熟一定需要市场化应用的打磨，一旦慢了一拍，就有可能出现“卡脖子”的情况。所以综合各方面的因素，我们选择创业进行产业化发展。

Q2：当初将公司命名为“水木羽林”，体现了我们怎样的企业愿景和价值观呢？

李远翼：在“水木羽林”这个名字中，“水木”代表着水木清华，因为我们是清华出来的团队，所以还是希望我们公司能够践行清华“自强不息、厚德载物”的精神，以及“行胜于言”的校风，这也是对我们自己的鞭策和要求。
“羽林”来自于羽林卫，羽林卫是汉代时期的禁卫军，是保家卫国的精锐力量。在我们公司里也挂着羽林卫的由来——“为国羽翼、如林之盛”，时刻提醒自己。我们希望能够成为软件质量、信息安全保障方面的精锐力量，为国家的基础软件质量与信息安全事业建设贡献自己的力量。

Q3：WINGFUZZ智能模糊测试平台作为水木羽林的核心产品，具有怎样的功能特点？可以帮助解决哪些行业场景的痛点问题？

李远翼：水木羽林的核心产品WINGFUZZ平台是基于模糊测试技术，可以全面覆盖应用、数据库、内核、协议等多层次测试对象，有效提升软件系统质量与安全性。
模糊测试技术是可以自动化地生成大量的、带有一定随机性的输入，来触发并检测软件的异常。这些异常可能会引起软件的崩溃，或者成为被黑客攻击的漏洞。跟其他的同类技术相比，模糊测试技术具有挖掘能力强、误报率低、精准定位复现等优势。
其实随着当前整个社会数字化、智能化程度的提升，应该说只要有用到软件、对软件的质量和安全有需求的地方，就有模糊测试技术的用武之地。比如从国际上来讲，美国国防部已经投入了4500万美元，在全军的信息系统里采用模糊测试技术；谷歌安全团队40%的零日漏洞使用模糊测试技术发现；像微软、波音飞机、大众汽车等一些企业厂商，也都已经将模糊测试技术应用到核心研发流程中。
水木羽林掌握了模糊测试核心技术，我们在相关领域发表了60余篇国际论文，相关工作被谷歌、微软直接集成应用，测试工具也在谷歌评测中拿到了全球第一。目前我们的WINGFUZZ平台已经在汽车、电力、信创基础软件、航天等领域进行了落地。
比如我们帮助统信软件开展他们整体操作系统以及生态应用的质量安全测试；我们帮助航天五院针对嫦娥5号上面的操作系统，以及他们内部的应用和数据库，开展了软件质量安全测试；我们帮助腾讯云开展了云数据库的安全测试；帮助国际厂商ClickHouse开展了数据库产品的质量测试。WINGFUZZ平台可以有效提升客户的质量安全保障能力，获得了一致好评。

Q4：面对不同类型的平台客户提出的不同安全保障需求，我们是如何提供服务的？目前整体的市场表现和反馈如何？

李远翼：当前在不同的客户场景中，我们主要会面临5个方面的需求，或者说5种类型的软件对象，分别是应用软件、数据库、操作系统、协议软件和Web服务。
这5个方面其实存在着比较大的区别，比如数据库和协议测试的方法就非常不一样。为了应对这个情况，一方面我们羽林团队在前期已经拥有比较深厚的技术积累，在不同领域中我们都有比较深入的研究成果和技术特色；另一方面，我们在平台架构上也采用了多引擎的设计，可以针对客户需求进行灵活适配；最后我们也会配合相应的服务，协助客户建设总体的软件质量安全保障能力，满足他们的个性化需求。
成立两年来，我们已经合作了各个行业内超过30家的企业单位，当前从市场的反馈来看，我们的产品和方案还是取得了比较好的效果，也获得了像中国信通院“软件供应链安全优秀案例”等荣誉。

Q5：作为一家初创公司，水木羽林也获得了不少荣誉与认可，那么我们是如何在市场中持续保持和提升自己独有的竞争力的呢？

李远翼：一方面我们会发挥我们自己团队的技术优势，持续加大创新投入，结合最新技术来提升我们产品的能力，比如最近我们团队在考察ChatGPT技术在软件质量安全保障方面的应用场景。
另一方面我们也会紧跟市场方向，响应客户的需求，确保我们的技术能够解决各个行业的痛点问题。

Q6：在全球数字化发展的趋势下，您对未来3-5年软件测试行业的发展有什么见地？

李远翼：随着当前整个数字化的快速发展，以及近两年国际形势也在不断变化，总体上我们还是非常看好信息安全这个大行业的发展前景。
具体到软件安全方向，其实现在有几个方面，一方面从细分行业上来讲，信创、工业互联网、智能制造、智能网联汽车等行业都正在高速发展；从我们安全相关的一些理念来说，比如安全左移、DevSecOps等也正在逐步落地和被各个行业所接受，所以我们认为我们所处的软件安全质量保障细分领域，它的前景还是非常不错的，有望在3~5年迎来一个比较大的爆发。
具体到技术上，我们认为未来不同的技术工具会向着专业化和精细化发展。同时另一方面，从客户的需求出发，他们会更看重解决方案的总体性，是否能够满足对全局流程化的要求，这也会是一个非常大的痛点。

Q7：跟随着行业发展的浪潮，您认为水木羽林会面临怎样的机遇和挑战？我们未来的发展规划是怎样的呢？

李远翼：现在潜在客户和相关市场的不断成熟，以及新技术的出现，其实都给我们的行业领域带来很好的发展机遇。当然，我们也会面临对我们自身产品化能力、落地能力等建设的挑战。
后续，我们会进一步发挥自身技术优势，以基础软件的质量安全保障技术为核心，不断扩展测试、防护等场景，打造满足关键行业客户需要的解决方案。未来，我们也会进一步向海外市场扩展。

Q8：水木羽林坐落于中关村智造大街内，请您简单谈谈园区服务为企业发展带来的支持以及员工在这里工作生活的感受。

李远翼：水木羽林从成立起就一直在中关村智造大街，不管是园区环境，还是园区给我们提供的各种政策、宣传等方面的支持，我们都是非常满意的。
特别是去年疫情的情况，整体上带来了比较大的影响，给我们公司的正常运作和同事们的日常办公都造成了一定的困难。当时园区也是从我们企业的角度出发，积极给我们排忧解难，帮助我们顺利度过了特殊时期，我们也是非常地感谢。

Q9：站在”两个一百年”奋斗目标的历史交汇点上，身处中国自主创新、科技强国的关键时期。面对新发展格局，科技企业要牢记初心与使命，肩负责任与担当。对此，作为科技企业中的一员，您有什么感想？公司将如何发挥在科技强国建设中的主体作用，助力国家科技创新事业发展？

李远翼：我们水木羽林团队从基因里就有着为“自主创新、科技强国”事业做贡献的追求和愿景，我们从事的业务方向也可以说是保障国家和行业安全的前沿阵地，所以掌握核心技术，避免“卡脖子”，一直也是我们对自己的要求。
我觉得从我们自己来说，脚踏实地、快马加鞭地做好我们自己各个模块的工作，早日打造出“能用好用管用”的软件产品，帮助关键行业企业，提升他们软件的质量和安全，就是为我国科技创新事业做出的最好贡献。

【注释】
① 模糊测试：模糊测试一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。
②&③ DevSecOps、安全左移：DevSecOps 是一种将安全性与 DevOps 工作流集成的策略。在部署、操作、监控、编码、构建、测试和发布产品时，它不会将安全性留到开发过程的最后阶段，而是融入到生产过程中。这种策略通常称为左移安全测试。通过左移，DevOps 生产周期中的每个人，而不仅仅是专门的安全团队，都对安全负责。