在谈论Wiz Code之前，我想要非常谨慎。一方面，我听到有人仅凭其发布就宣称独立AppSec产品的终结。另一方面，实际上它并没有什么新东西——想象一下，如果发布会只是“Wiz现在有SCA扫描了🥱。”这个产品的真实情况介于两者之间——它绝对不是一个完整的ASPM，但也不是大多数CNAPP附带的那种扫描器。 尽管我很想获得作为Wiz批评者的街头声望，但Wiz Code实在没有什么可批评的。事实上，它真的很不错。

在我们开始之前，提醒一下，我从未从任何CNAPP提供商那里拿过一分钱。我个人使用或评估过几乎所有主要的市场参与者。另外，个人来说，尽管你们可能已经厌倦了阅读关于Wiz的内容， 我也非常厌倦谈论Wiz 。 我渴望另一个CNAPP提供商能与他们竞争 ，但Wiz的底层数据架构和用户体验实在是他们的巨大优势，难以想象其他人如何赶上（十亿美元的现金也有帮助！）。我写这篇文章只是因为我被问到太多关于Wiz Code及其对行业影响的问题，但我想等到看到产品后再谈论它。

在这篇文章中，我们将尝试剖析营销内容，明确告诉你Wiz Code是什么以及它的新特点。然后我们会讨论它的优点，以及那些隐藏的不足之处，使其不完全是AppSec的终极产品。

如果你在这里停止阅读，以下是要点：Wiz有很大机会实现CNAPP的噩梦，主要是因为他们没有让Gartner为他们制定路线图。Wiz Code是CNAPP中最好的产品，比一些传统扫描器更好，但不如现代ASPM。

感谢阅读Latio Pulse！免费订阅以接收新文章并支持我的工作。

什么是Wiz Code？

总结Wiz Code的产品，它有三方面：

1. 在代码库级别进行SCA、IaC和Secrets扫描，并通过GitHub应用集成（无需更改流水线）。不，我不会将敏感数据和恶意软件扫描算作新扫描器。

2. 通过WizCLI镜像验证进行代码到云的追踪。

3. 从其他提供商中获取SAST和DAST发现（目前仅原生支持Checkmarx SAST，但你可以自带）。

关于这些广泛功能的三点思考：

1. 扫描器专注于“功能作为复选框”的方法。例如，拥有SCA扫描是一回事，但具体的方法会产生巨大差异，比如漏洞的汇总方式、可达性、上游恶意软件检测等等。这些小细节使扫描器从噪声生成器变成你可以实际修复的东西。

2. 这就是为什么我对最初的公告反应不大——Wiz一直以来通过CLI扫描器有SCA，以及IaC扫描。所以从表面上看，这里唯一的变化是增加了一些小装饰，比如基本的代码库级别的Secrets和恶意软件扫描。

3. 这里真正的创新在于呈现新数据的优雅性。Wiz绝对在最大化代码数据在其现有架构中的价值。

以下是James对新功能的完整列表，并附上我对其感受的表情符号。 注意：这是在我对这些功能的一般感受的背景下，而不是关于Wiz现在拥有它们的感受。换句话说，其他AppSec供应商（和一些CNAPP）早已有这些功能，所以我并不是说我对它们在Wiz中存在感到震惊。相反，这旨在帮助理解某些功能是否值得兴奋。

1. 🤩 “无流水线扫描” - 通过GitHub集成扫描代码库，而不是在流水线中需要工具

   1. 🥱 SCA扫描没有静态可达性

   2. 🥱 SBOM生成

   3. 🥱 敏感数据、Secrets和恶意软件

   4. 🥱 IaC扫描

   5. 🤩“威胁检测”寻找可疑的代码库更改

2. 🤩改进的策略引擎允许在代码、构建或运行时基于扫描采取行动

3. 🥱通过Wiz代理的运行时可达性（加载与未加载，不是像 Oligo 、 Raven 、 Sweet 或 Kodem 那样的功能级别）

4. 🤩代码到云图，用户可以点击生产中的漏洞并查看其来源的代码库和docker文件

5. 新的工作流功能

   1. 🥱为修复打开拉取请求

   2. 🥱IDE插件告诉你在Dockerfile中将“1”改为“2”

6. 漏洞去重

   1. 🤩这是整个产品的明星，能够在代码和云中发现的漏洞之间优雅地切换，并能够从这些搜索中创建开发者仪表板

7. 漏洞摄取的API

   1. 🤩开放API以发送你的SAST发现以同步代码库

   2. 🥱 Checkmarx SAST开箱即用集成（ Semgrep 本来是显而易见的合作伙伴，但这里似乎出了点问题）。

   3. 🥱 DAST仍在进行中

8. 🤩“有毒组合”基于代码上下文的检测结合到整体攻击路径中

最终统计：7 🤩 vs. 9 🥱

从原始功能的角度来看，Wiz Code几乎没有什么新东西——这些扫描器在其他CNAPP中存在，并因其复杂性和怪异性而未被使用。 然而，Wiz的产品在这里确实独特且新颖，因为它再次在用户体验的简单性和可用性上表现出色，尤其是从安全角度。

扫描器本身并没有什么特别之处。此时，CNAPP宣布一个SCA扫描器让我感到的兴奋程度就像有人说他们制作攻击路径一样——我更惊讶的是他们没有它而不是他们有它。重要的是新数据的可操作性以及它如何在产品和开发者中呈现——大多数是代码到云的变化。

优点 🤩

1. 从代码到云是漏洞修复的圣杯 。有很多方法可以尝试构建这个图，但无论如何尝试，这真的很难。Wiz在使其在企业中可用方面找到了一个优雅的中间地带，值得称赞。WizCLI在管道中扫描，抓取元数据以关联提交者和仓库，并标记镜像（这也算作完整性检查）。该标签用于追踪容器回到生产它的仓库。这不是我见过的最先进的方法，但这是唯一能保证仓库和已部署容器之间匹配的方法之一。

2. 跨越多个发现源的用户体验 。我发现这个简单的切换按钮在漏洞发现视图中是一个极其优雅的方法，用于导航不同的漏洞。在代码和云发现之间的细微差别中导航是非常复杂的，而这个简单的切换是一个非常聪明的方法。

3. 策略引擎的优雅 。Wiz的策略引擎曾经非常复杂，难以使用，并且在CLI和云资源之间同步不好。现在你可以将策略强制为代码、构建或云，这创造了一个更直观的体验。

4. 针对CNAPP的SAST方法 。这个公告中的隐藏宝石是Wiz现在正在从其他来源摄取漏洞，并有一个标准的方法将漏洞发送到他们的平台。Wiz在这条路上走得越远，就越需要小心数据质量，这可能是为什么只有Checkmarx是初始合作伙伴的原因。与其推出一个半成品的SAST，我认为如果数据质量能够保持一致，这种方法是有意义的。

5. 统一的产品体验 。Wiz将代码集成到更广泛的平台中最明显的表现是在有毒组合中，像其他任何信息一样摄取这些新信息。发现的优先级是基于它们是否在运行时被看到、暴露在互联网上或在特权容器中使用。它不仅仅是关于警报本身，而是代码上下文如何本地集成到更广泛的方法中。

不足之处 🥱

1. 从代码到云需要大量的设置投资。 Wiz的代码到云是一个聪明的销售策略，因为它被作为镜像完整性检查提供，但实际上是将代码与云图景联系在一起的东西（这也是Endor的方法）。这还可以，但远不如像 Dazz 、 Opus 、 Phoenix Security 、 Cycode 和 Ox 这样的供应商的创新令人印象深刻，这些供应商试图在没有任何仪器的情况下进行关联。如果你购买Wiz Code是为了这个功能，请知道需要大量的设置才能看到效果。

2. 扫描器本身并没有太大变化。 容器扫描器已经能够检测到SCA发现，CLI已经扫描了容器镜像，而Wiz已经在运行时扫描资源以寻找秘密。扫描代码库本身仍然很重要，但这些来源并没有提供太多新信息。而且称这些为独立的扫描器有些牵强——真的有人需要在代码库中进行恶意软件扫描吗？救命，我的开发人员不停地把他们的笔记本病毒推送到我的git代码库中！

3. 边缘案例。 无论是代码到云的功能还是发现导航，即使在简短的演示中，我也能注意到一些小问题。无论是CI/CD作业显示为未知，还是组件名称显示为难以辨认的字符串，推销的优雅性将优于现实。

4. 我们称其为另一个SKU有些牵强。 从市场分析的角度来看，我认为Wiz将其作为一个独立的SKU是非常聪明的，而且这里的内容刚好足够让它被接受。但从终端用户的角度来看，需要很多故事来让它变得有意义。如果你查看原始功能，它只是一个GitHub应用程序，扫描你已经拥有的结果。它需要在代码到云、PR和IDE集成上真正索引大量价值。

这适合谁？

1. 我谈论过很多非常酷的SCA供应商，比如 Backslash ，他们在可达性方面做了一些非常酷的事情，并将其扩展到SAST，或者 Arnica 在工作流程方面做了一些超越打开PR的事情。我非常喜欢这些工具，并认为它们比旧的替代品更好；然而，现实是大多数市场使用Checkmarx、 Snyk 或GitHub高级安全进行SCA扫描。对我来说，Wiz Code的目标是从GitHub高级安全许可证中抢夺资金。此外，Snyk或Checkmarx的客户可能会难以证明除了SAST许可证之外的任何东西的合理性——并不是说他们的其他扫描器在某些方面不比Wiz做得更好，但它们并没有好到足以让大多数人证明单独的支出是合理的。巧合的是，就在昨天，Snyk很高兴地分享了他们的 Snyk Code收入 ，这对他们来说是非常不寻常的。

2. Wiz继续迎合市场需求。我被问到SCA替代方案的次数比以往任何时候都多，而Wiz正在提供大多数人正在寻找的解决方案。如果有人问我“最好的SCA工具是什么”，我永远不会推荐它，但如果他们已经有Wiz，我会建议他们考虑它，并且他们很有可能会购买。

3. 虽然这很可悲，但很多人现在将应用程序安全等同于SCA和Secrets。 这些扫描器是最基本和最嘈杂的，但对很多行业来说，这两个功能是他们对应用程序安全的全部了解。根据我的经验和对话， 销售其他6个扫描器 一直要困难得多。

这对ASPM意味着什么？

1. Wiz通过SAST和DAST集成称其为ASPM确实有些牵强；虽然不如Snyk的ASPM产品那么牵强，但也差不多。从纯粹的能力角度来看，SAST是一个主要的缺口，现有的ASPM玩家在进行整体漏洞管理时有更灵活的集成选项。

2. 最终，ASPM应该是为开发人员构建的，而这个解决方案显然不是。 Wiz会告诉你他们的大多数用户是开发人员，但这只是因为他们被安全团队强迫去查看他们的漏洞。我并不是说从公司战略的角度来看这不好，但我确实说如果我是开发人员，我会更愿意使用 Cycode 或 Aikido 而不是Wiz来处理我的代码漏洞。但值得记住的是，开发人员通常不是寻找漏洞工具的人。

3. CNAPP一直声称可以做到所有这些事情，但从未真正实现。 Wiz不同之处在于它比竞争对手提供了更多，但其能力和可用性仍然落后于专用的ASPM玩家。

总之，我真的希望ASPM能吞并CSPM，因为代码方面比云端更难也更重要。在Wiz Code之前，我更确信这会发生，因为大多数CNAPP平台在应用程序上下文出现之前就已经完全无法使用。Wiz Code刚好足够好，以至于它对ASPM整体构成了真正的威胁，但很多将取决于该产品能否以Wiz迄今为止保持的快速速度发展。然而，市场的直接变化将只是稍微减少一些人寻找Wiz之外的补充AppSec解决方案，因为我同意Wiz Code对大多数刚开始使用AppSec的人来说“足够好”。 在我看来，它代表了来自CNAPP的唯一真正的中期挑战者，而不是AppSec工具的终结。

结论

上图是价值十亿美元的建议，尤其是如果你记得Wiz也是最后一个进入市场的主要CNAPP。以下是一些值得思考的日期：

1. Lacework在2023年11月宣布SAST和SCA

2. Prisma Cloud在2022年9月宣布SCA

3. Orca在2024年6月宣布GitHub姿态扫描

4. Sysdig和Snyk在2022年2月合作进行运行时可达性

5. Aqua在2022年9月宣布SCA和SBOM ，我不确定SAST添加的日期

每个主要的CNAPP玩家都比Wiz Code提前两年进入市场，但没有一个人因此联系我，或者对AppSec的消亡感到担忧。 拥有一个连贯且易于理解的产品比第一个进入市场更为重要。

通过Wiz Code，Wiz再次证明了：

1. 市场营销和品牌很重要 。没有人问我关于Lacework SAST + SCA公告的事情， 尽管我在LinkedIn上发布了相关信息 。对于那些不看好的人来说，Wiz拥有一个良好的品牌形象，这意味着你很少会遇到用户对Wiz的产品大发雷霆，而其他供应商则不然。

2. 满足终端用户的需求比满足分析师的表格更重要。 Wiz的代码是其产品的一个整体部分，而不是一些新扫描器被附加到一个新的侧边栏下拉菜单中。这个产品之所以有影响力，主要是因为它不是某个用例子页面上的第十七个下拉菜单。

3. 执行力比上市时间更重要。 Wiz继续表现出色，并且没有放缓的迹象。这有点让人沮丧，因为这意味着我不得不继续发布关于他们的内容，并被大家指责有偏见。我确信明年第二季度会有一个重大的威胁检测公告。（为了澄清，这完全是我的猜测，我没有关于威胁检测公告的实际信息；然而，这是CNAPP走向全面发展的最后一颗无限宝石，所以我假设它会发生，当然，Gem团队除了数钱之外肯定也在忙于其他事情）。

总结：Wiz Code是CNAPP中最好的产品，比一些传统扫描器更好，但不如现代ASPM。