C++、python、Java這些都是我們耳熟能詳?shù)挠嬎銠C編程語言，而隨著計算機編程語言的多元化，同一系統(tǒng)下的工具和應用在使用不同語言編程時，往往在互相調(diào)度、配合的過程中出現(xiàn)一些問題。

特別是對于網(wǎng)絡安全領域來說，不同安全工具之間的不互通，往往會造成企業(yè)安全能力的割裂。在愈發(fā)強調(diào)安全協(xié)同、安全智能調(diào)度的當下，安全能力割裂所引發(fā)的對安全隱患的響應延遲、安全滲透測試不徹底都可能成為網(wǎng)絡安全事故的源頭。

但是一個網(wǎng)絡安全行業(yè)冷知識，讓網(wǎng)絡安全從業(yè)者的編程路坎坷了許多：一位大廠資深網(wǎng)絡安全專家如風告訴鈦媒體App，當前全球范圍內(nèi)，在網(wǎng)絡安全領域并沒有一套成熟的編程語言。行業(yè)投入較大的仍然在安全應用領域。

(資料圖)

網(wǎng)絡安全的重要性被強調(diào)多年，為什么行業(yè)對于網(wǎng)絡安全語言的開發(fā)卻如此冷清？“有點兒像幾年前國內(nèi)學界推廣聯(lián)邦學習之類的，需要多年才能展開。但是現(xiàn)在經(jīng)濟下行，這種多年回報的項目，不適合（在大廠）展開。”如風坦言

不過，總有人要站出來做難而正確的事。

新語言Yak

“網(wǎng)絡安全領域，缺少一個類似Matlab的創(chuàng)新。”國內(nèi)外知名網(wǎng)絡安全專家司紅星這樣評價當前網(wǎng)絡安全在底層語言方面的現(xiàn)狀。他也是由于工作的關(guān)系才發(fā)現(xiàn)了網(wǎng)絡安全領域存在的這一短板。

司紅星早年就讀于電子科技大學的信息安全專業(yè)，并在2013年畢業(yè)之際選擇了一份體制內(nèi)的工作。不過一年后，司紅星再三抉擇下進入了一家網(wǎng)絡安全創(chuàng)業(yè)公司四維創(chuàng)智，開始了網(wǎng)絡安全創(chuàng)業(yè)生涯。

作為四維創(chuàng)智早期的技術(shù)合伙人，在公司“AI+安全”的策略指引下，司紅星先后帶領團隊研發(fā)出了“天象”綜合滲透測試平臺、以及SaaS化的自動化滲透測試平臺。所有滲透測試平臺以及監(jiān)測工具都圍繞“認知智能為核心的AI+安全”展開。也正如此，司紅星發(fā)現(xiàn)，網(wǎng)絡安全智能化的前提是能夠?qū)崿F(xiàn)對底層工具的調(diào)度，做到及時響應。

但對不同網(wǎng)絡安全工具進行調(diào)度，實現(xiàn)起來是個難題。正如前面所講，不僅是網(wǎng)絡安全工具、工具之下的代碼語言也是不盡相同。沒有辦法做到圖靈完備。

什么是圖靈完備呢？

司紅星解釋，圖靈完備就意味著可以用一種語言實現(xiàn)任何邏輯，現(xiàn)在流行的低代碼??實際上是封裝好的應用，如果不封裝就沒辦法實現(xiàn)功能間的融合，不夠開放。但是圖靈完備就不一樣了，它是通過底層的數(shù)據(jù)結(jié)構(gòu)，促進各方共創(chuàng)。

“我們在做智能化攻擊的時候，要組合一些底層小能力去完成產(chǎn)品，但是組合過程中我們發(fā)現(xiàn)這些被Python、Java、C++等各種語言寫成的小工具每一次都要被重寫或者改寫成符合自己需求的功能，相當于對不同功能做縫合。”司紅星表示。這種縫合在實際操作過程中不僅表現(xiàn)力弱、效果差，而且后續(xù)維護起來也很麻煩。

面對這樣一個行業(yè)共性的痛點問題，司紅星認為不能躺平，必須要解決。于是，YakLang誕生了，團隊從0實現(xiàn)了一門圖靈完備的語言，旨在促進相對割裂的安全能力實現(xiàn)融合。

YAK之于行業(yè)

Yak語言一開始只是用在內(nèi)部項目上，后來才被抽離成完整的語言開放出來。對于開放的初衷，司紅星在YAK社區(qū)官網(wǎng)寫下這樣一段話：

“解決工程問題，創(chuàng)造更好的生產(chǎn)工具是非常好的解放生產(chǎn)力的方案，生產(chǎn)力解放了，大家就有更多的時間做安全研究了，從而又可以創(chuàng)造更棒的生產(chǎn)力工具，這本來就是事物良性發(fā)展的客觀規(guī)律。所以，我們從最初的平臺中，把這個語言抽離出來，單獨做了一個項目，閹割掉了 ‘定制需求’，留給大家一個 ‘安全能力大融合’的新語言: Yak。”

毫不夸張地說，YakLang是目前全球唯一一款致力于網(wǎng)絡安全能力融合的領域特定語言(Domain Specific Language，DSL)。其優(yōu)勢在于易書寫、易分發(fā)、執(zhí)行效率高、圖靈完備、跨語言協(xié)議實現(xiàn)。具體在網(wǎng)絡安全應用場景上，YakLang本身已具備絕大部分安全能力，如果是通用而未具備的特殊需求，也可借助語言的圖靈完備特性來解決，再結(jié)合語言間的邏輯調(diào)度，可極大降低使用門檻，提升編程效率。

不過，在司紅星看來，YAK還有一個價值在于對信創(chuàng)的共享，因為YakLang作為一門網(wǎng)絡安全領域的底層基礎設施，能夠打開業(yè)內(nèi)高頻的使用工具受制于人的局面。“在網(wǎng)絡安全領域，一線從業(yè)者高頻使用的BurpSuite或者MetaSploit這種工具都源自國外，并且行業(yè)大量使用盜版。正版使用方也都是核心機密單位。之所以如此，就是國內(nèi)一直以來一個能打的、與之抗衡的競爭對手都沒有。”司紅星表示。

后來，基于YakLang這門完全自主開發(fā)的語言，四維創(chuàng)智推出了Yakit。四維創(chuàng)智將Yakit定義為安全圈的“單兵作戰(zhàn)工具”。它完善了上層國產(chǎn)替代場景，把那些高頻使用且具備高門檻的網(wǎng)絡安全工具用YakLang進行了一次重寫，從研發(fā)語言側(cè)實現(xiàn)了安全能力與安全產(chǎn)品的融合，以DSL模式向行業(yè)輸出安全能力基座和技術(shù)解決方案。

“現(xiàn)在一個趨勢是，國內(nèi)大量白帽子在慢慢拋棄國外收費或破解的BurpSuite，轉(zhuǎn)而用Yakit這種免費開源的工具。”司紅星說。這使得，國內(nèi)的網(wǎng)絡安全從業(yè)者不僅工作效率得到了提升，同時在底層源代碼上更加自主可控。

司紅星也解釋稱，YakLang其實本質(zhì)上無法完全替代Java或者是Python??通用語言，但是可以在安全建設領域降低對這些語言的使用需求，畢竟直接使用YakLang就可以快速完成絕大部分核心能力的建設。

對此，如風評論稱，YakLang確實可以降低網(wǎng)絡安全工具的開發(fā)門檻，但是他也指出，YakLang后續(xù)發(fā)展比較關(guān)鍵的在于“推廣和完善”。“覆蓋的場景、開發(fā)者社區(qū)仍處于完善過程中，并且缺乏典型的三方應用來支撐推廣。除此之外，還需要有權(quán)威機構(gòu)背書，有持續(xù)的推廣資金，有標桿的應用場景等等。”如風分析。

司紅星顯然也意識到了這一點，2021年10月跟隨Yaklang的上線，四維創(chuàng)智推出了Yakit社區(qū)版，近期同步上線了“Ya!一刻安全社區(qū)”。不久前，在商業(yè)化上也發(fā)布了Yakit企業(yè)版。

“選擇開源主要是希望網(wǎng)絡安全從業(yè)人員都能夠為Yaklang持續(xù)開發(fā)做貢獻，能夠不斷完善合作共贏。”司紅星說。值得一提的是，四維創(chuàng)智近期分別在ISC 2022創(chuàng)新獨角獸大賽中獲得冠軍，在騰訊數(shù)字安全創(chuàng)新大賽中獲得最具技術(shù)創(chuàng)新獎。這其實也證明目前業(yè)界對于Yaklang的認可與關(guān)注。后續(xù)，Yaklang以及其社區(qū)的健康和持續(xù)發(fā)展，還需要業(yè)界共同促進。（作者 | 秦聰慧；應訪談對象要求，文內(nèi)如風為化名）

關(guān)鍵詞： yaklang python java