作为科班出身的张弛，在北大研究生毕业以后便加入了国内某顶级安全实验室，主要负责安卓系统未知漏洞挖掘与利用工作。

“刚工作那会，主要是负责给华为、谷歌这样的科技巨头挖漏洞，还记得当时每次看到系统的崩溃日志都会很兴奋，因为这意味着我又挖到了一个漏洞。后来研究漏洞利用也是一个有意思的过程，不仅讲究“风水”，还需要和各种漏洞缓解机制进行博弈，就像搭积木一样，每一步都很新鲜，最终也蛮有成就感的。随着时间的推移，如何将个人的经验沉淀转变为更加通用的技术能力成为我一直在思考的事”。张弛告诉安在。

在这段经历里，我们不仅能深切感受到一位黑客少年对技术价值实现的执念，还能敏锐洞察到，在时光的悄然流转与磨砺中，他的心态正经历着一场静水深流般的蜕变。

悬镜安全技术合伙人   张弛

也就是在此时，曾经的北大Xmirror战队负责人子芽师兄发来了邀约。“当时子芽提出了SCA是数字供应链安全治理的入口，需要一位系统级漏洞攻防经验丰富且算法能力出众的技术大佬来领路，以攻促防，将过往能力和经验固化到自动化产品里，这正和我内心的想法不谋而合。”张弛笑道。

带着突破个人“瓶颈”的决心和子芽“用开源的方式做开源风险治理”的期待，2020年7月，张弛以产研合伙人的身份正式加入悬镜，着手重新构筑第二代源鉴SCA和基于此的OpenSCA开源社区。

被问及如果重新进行方向选择，是否还会选择数字供应链安全方向时，张弛表示，“如果让我重新选择，我依然会选择这个领域，因为这就是我接下来十年All in的新方向”。

2020年以来，开源组件的使用得到了爆发式发展。Gartner报告显示，全球99%的企业在研发应用中使用了开源组件，但同时近九成的软件项目中存在已知开源软件漏洞，其中影响范围最广、破坏力惊人的SolarWinds漏洞事件，让很多企业始料未及，也引起了企业对开源治理的高度重视。

张弛表示，开源软件带来的安全性问题非常多，而SCA在软件成分分析、组件投毒检测、许可证合规风险、漏洞风险、软件代码开源比例检测等方面，都有很好的效果。可以看作SCA软件成分分析是数字供应链安全开源风险治理中最核心的工具，也是数字供应链安全的管理入口。

此外，早在2016年，悬镜便开始了第一代SCA产品技术的研发工作，历经4年，2019年开始正式的商业化应用。有了张弛的加入，悬镜第二代源鉴SCA产品的使用体验和都综合能力有了质的飞跃，同时也加速了市场的应用推广节奏。

和子芽所关注的“网络安全的本质是什么？未来的数字供应链安全到底是什么样子的”这些顶层战略思考不同，张弛更多是技术突破的践行者，作为“技术极客”，想得最多的便是通过技术攻关去一一实现，将梦想照进现实。

从2020年7月开始，张弛和团队一头扎进了技术研发当中，针对产品开始夜以继日地突破、打磨、测试、升级，在张弛的带领下，悬镜源鉴SCA几乎保持着每个季度一个大版本，近十个小版本的敏捷迭代，在产品体验、性能表现、核心参数上做到极致。据悉，悬镜最新源鉴SCA已演进到第三代，同时作为悬镜第三代DevSecOps数字供应链安全管理体系中的开源治理环节的新一代数字供应链安全审查和治理平台，同时拥有自研专利级SCA源码组件成分分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪、代码成分溯源分析及开源供应链安全情报预警分析等六大核心引擎，能够深度挖掘数字应用及运行环境中潜藏的各类开源风险并提供实时精准的数字供应链安全情报预警能力。

当被问及为何短短4年的时间，源鉴SCA有了如此大的突破性变化？张弛坦然表示，这主要归功于两方面因素。一方面极致聚焦，公司和团队的“All in”思想得到充分执行，在SCA技术研发上同时有4个团队在做悬镜六大引擎技术的突破，主要分布在长沙、成都、北京和上海，单点突破，形成业内绝对碾压的产研投入；另一方面，以长沙团队为核心的二进制分析引擎团队凭借自身特殊的技术优势更好的践行了开源供应链安全“第一性原理”，从SCA技术底层入手，放弃过往传统软件工程技术路线，尝试并改造AI大模型在这个领域的算法应用，真正智能化地将组件源代码分析出来，而不是对相关的依赖关系进行剪辑，重构出能够兼容移动应用、智能制造、具身智能等工业应用场景的全新BSCA，在检测精度、覆盖度、支持语言和智能交互上都有了显著提升。

此外，也正是因为“拥抱变化，敏捷迭代”的团队基因以及子芽、宁戈、刘恩炙和张弛等合伙人之间配合的默契度，新一代源鉴SCA开源威胁管控平台在行业内一直饱受好评，多次被Gartner、Forrester等国际权威咨询机构评为SCA技术代表，并连续四年在市场应用率位列第一，同时也是国内首批通过供应链安全检测工具类-增强级（编号CSPEC-GGJ 2401001）认证，广泛应用于金融、能源、运营商、智能制造、政企及泛互联网等行业头部客户。

2021年12月31日，在子芽、张弛、大神、九哥等团队人员的不懈努力下，悬镜安全正式发布全球首个开源数字供应链安全社区OpenSCA，涵盖泛互联网、车联网、金融、能源、信息通信和智能制造等众多行业极客用户，为全球开发者们和广大安全研究人员构筑专注安全开发与开源治理的技术创新实践社区。在张弛看来，打造开源社区本质上是拥抱群智创新，可以更加高效地将个人在系统漏洞挖掘上的技术沉淀转变为智能的SCA分析工具，也算是在继续突破个人瓶颈，践行当初的创业的初心。

当前，OpenSCA社区是国内用户量最多、应用场景最广的开源SCA技术（参考中国信通院《中国DevOps & BizDevOps现状调查报告2024》），通过软件码纹分析、依赖分析、特征分析、引用识别、开源许可合规分析及组件投毒分析等综合算法，深度挖掘开源供应链安全风险，智能梳理数字资产风险清单，结合SaaS云平台和实时供应链安全情报，为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。

悬镜SCA技术生态架构

新技术、新趋势的发展，也势必会带来新的问题和挑战。对此张弛丝毫不怀疑，源鉴SCA也会持续地升级和迭代。张弛表示，由于每一种安全工具都有自己的优势和劣势，所以只有将各个工具综合起来用才能发挥出最佳效果。目前悬镜已经打造了很完备的基于AI智能代码疫苗为核心驱动的原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+SBOM情报预警服务的第三代DevSecOps数字供应链安全管理体系，形成数字供应链综合治理能力的深度闭环。

当然，悬镜最大的技术优势则是与供应链安全情报的结合，为长期在一线使用产品的用户提供高质量风险治理情报，这是拉开不同产品使用体验的关键。就像子芽曾经说过的“没有供应链风险情报预警的SCA都是耍流氓”。在云端的“悬镜大脑”在线实时捕获全球供应链风险情报，包括但不限于漏洞、供应链投毒、组件风险、许可证合规风险，通过清洗、匹配、关联等一系列自动化数据分析处理后，向国家监管机构、全球OpenSCA社区用户、敏捷工具链产品的商业用户提前预警供应链风险情报，并关联用户已有SBOM组件、软件包、应用资产，让用户前置获取影响资产安全且“与我有关”的最新供应链风险情报，开展主动式开源风险治理工作，实现了数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应。

在接下来的工作方向规划上，张弛也有所侧重。他说：“我接下来还是专注技术创新，一方面会继续突破制品成分二进制分析引擎的关键算法，在核心参数和用户体验上不断突破；另一方面，进一步强化AI的算法应用效果。”张弛的判断是，在不断更新的数字环境中，AI是重塑数字供应链的变革性力量。围绕更好的“智能风险治理”，首先是形成智能化的风险评估，包括组件真实的风险等级、历史性的漏洞记录、安全公告和设计反馈等，其次是智能推荐和自动化修复，即在SCA分析完问题之后，通过AI自动化地做到替换组件、优化代码结构，这将有助于开发人员更快地解决问题。

如果说“守护中国数字供应链安全”是悬镜安全的使命，那“独一无二”和“拥抱AI，做真价值创新”则是悬镜供应链安全技术持续突破的关键驱动力。

充满不确定性的挑战，坚定的信念，张弛与悬镜安全共同擘画中国数字供应链安全的故事，未完待续。