C++、python、Java這些都是我們耳熟能詳的計算機編程語言，而隨著計算機編程語言的多元化，同一系統下的工具和應用在使用不同語言編程時，往往在互相調度、配合的過程中出現一些問題。

特別是對于網絡安全領域來說，不同安全工具之間的不互通，往往會造成企業安全能力的割裂。在愈發強調安全協同、安全智能調度的當下，安全能力割裂所引發的對安全隱患的響應延遲、安全滲透測試不徹底都可能成為網絡安全事故的源頭。

但是一個網絡安全行業冷知識，讓網絡安全從業者的編程路坎坷了許多：一位大廠資深網絡安全專家如風告訴鈦媒體App，當前全球范圍內，在網絡安全領域并沒有一套成熟的編程語言。行業投入較大的仍然在安全應用領域。

(資料圖)

網絡安全的重要性被強調多年，為什么行業對于網絡安全語言的開發卻如此冷清？“有點兒像幾年前國內學界推廣聯邦學習之類的，需要多年才能展開。但是現在經濟下行，這種多年回報的項目，不適合（在大廠）展開。”如風坦言

不過，總有人要站出來做難而正確的事。

新語言Yak

“網絡安全領域，缺少一個類似Matlab的創新。”國內外知名網絡安全專家司紅星這樣評價當前網絡安全在底層語言方面的現狀。他也是由于工作的關系才發現了網絡安全領域存在的這一短板。

司紅星早年就讀于電子科技大學的信息安全專業，并在2013年畢業之際選擇了一份體制內的工作。不過一年后，司紅星再三抉擇下進入了一家網絡安全創業公司四維創智，開始了網絡安全創業生涯。

作為四維創智早期的技術合伙人，在公司“AI+安全”的策略指引下，司紅星先后帶領團隊研發出了“天象”綜合滲透測試平臺、以及SaaS化的自動化滲透測試平臺。所有滲透測試平臺以及監測工具都圍繞“認知智能為核心的AI+安全”展開。也正如此，司紅星發現，網絡安全智能化的前提是能夠實現對底層工具的調度，做到及時響應。

但對不同網絡安全工具進行調度，實現起來是個難題。正如前面所講，不僅是網絡安全工具、工具之下的代碼語言也是不盡相同。沒有辦法做到圖靈完備。

什么是圖靈完備呢？

司紅星解釋，圖靈完備就意味著可以用一種語言實現任何邏輯，現在流行的低代碼??實際上是封裝好的應用，如果不封裝就沒辦法實現功能間的融合，不夠開放。但是圖靈完備就不一樣了，它是通過底層的數據結構，促進各方共創。

“我們在做智能化攻擊的時候，要組合一些底層小能力去完成產品，但是組合過程中我們發現這些被Python、Java、C++等各種語言寫成的小工具每一次都要被重寫或者改寫成符合自己需求的功能，相當于對不同功能做縫合。”司紅星表示。這種縫合在實際操作過程中不僅表現力弱、效果差，而且后續維護起來也很麻煩。

面對這樣一個行業共性的痛點問題，司紅星認為不能躺平，必須要解決。于是，YakLang誕生了，團隊從0實現了一門圖靈完備的語言，旨在促進相對割裂的安全能力實現融合。

YAK之于行業

Yak語言一開始只是用在內部項目上，后來才被抽離成完整的語言開放出來。對于開放的初衷，司紅星在YAK社區官網寫下這樣一段話：

“解決工程問題，創造更好的生產工具是非常好的解放生產力的方案，生產力解放了，大家就有更多的時間做安全研究了，從而又可以創造更棒的生產力工具，這本來就是事物良性發展的客觀規律。所以，我們從最初的平臺中，把這個語言抽離出來，單獨做了一個項目，閹割掉了 ‘定制需求’，留給大家一個 ‘安全能力大融合’的新語言: Yak。”

毫不夸張地說，YakLang是目前全球唯一一款致力于網絡安全能力融合的領域特定語言(Domain Specific Language，DSL)。其優勢在于易書寫、易分發、執行效率高、圖靈完備、跨語言協議實現。具體在網絡安全應用場景上，YakLang本身已具備絕大部分安全能力，如果是通用而未具備的特殊需求，也可借助語言的圖靈完備特性來解決，再結合語言間的邏輯調度，可極大降低使用門檻，提升編程效率。

不過，在司紅星看來，YAK還有一個價值在于對信創的共享，因為YakLang作為一門網絡安全領域的底層基礎設施，能夠打開業內高頻的使用工具受制于人的局面。“在網絡安全領域，一線從業者高頻使用的BurpSuite或者MetaSploit這種工具都源自國外，并且行業大量使用盜版。正版使用方也都是核心機密單位。之所以如此，就是國內一直以來一個能打的、與之抗衡的競爭對手都沒有。”司紅星表示。

后來，基于YakLang這門完全自主開發的語言，四維創智推出了Yakit。四維創智將Yakit定義為安全圈的“單兵作戰工具”。它完善了上層國產替代場景，把那些高頻使用且具備高門檻的網絡安全工具用YakLang進行了一次重寫，從研發語言側實現了安全能力與安全產品的融合，以DSL模式向行業輸出安全能力基座和技術解決方案。

“現在一個趨勢是，國內大量白帽子在慢慢拋棄國外收費或破解的BurpSuite，轉而用Yakit這種免費開源的工具。”司紅星說。這使得，國內的網絡安全從業者不僅工作效率得到了提升，同時在底層源代碼上更加自主可控。

司紅星也解釋稱，YakLang其實本質上無法完全替代Java或者是Python??通用語言，但是可以在安全建設領域降低對這些語言的使用需求，畢竟直接使用YakLang就可以快速完成絕大部分核心能力的建設。

對此，如風評論稱，YakLang確實可以降低網絡安全工具的開發門檻，但是他也指出，YakLang后續發展比較關鍵的在于“推廣和完善”。“覆蓋的場景、開發者社區仍處于完善過程中，并且缺乏典型的三方應用來支撐推廣。除此之外，還需要有權威機構背書，有持續的推廣資金，有標桿的應用場景等等。”如風分析。

司紅星顯然也意識到了這一點，2021年10月跟隨Yaklang的上線，四維創智推出了Yakit社區版，近期同步上線了“Ya!一刻安全社區”。不久前，在商業化上也發布了Yakit企業版。

“選擇開源主要是希望網絡安全從業人員都能夠為Yaklang持續開發做貢獻，能夠不斷完善合作共贏。”司紅星說。值得一提的是，四維創智近期分別在ISC 2022創新獨角獸大賽中獲得冠軍，在騰訊數字安全創新大賽中獲得最具技術創新獎。這其實也證明目前業界對于Yaklang的認可與關注。后續，Yaklang以及其社區的健康和持續發展，還需要業界共同促進。（作者 | 秦聰慧；應訪談對象要求，文內如風為化名）

關鍵詞： yaklang python java