上海2022年12月26日 /美通社/ -- 近日,專注軟件供應(yīng)鏈安全的「安勢信息」宣布已完成Pre-A輪融資�����。本輪融資金額在數(shù)千萬元級別���,領(lǐng)投方為微智數(shù)科,晨壹投資跟投�����,山景資本擔(dān)任獨家財務(wù)顧問�。
安勢信息成立于2021年6月�����,專注于打造軟件供應(yīng)鏈安全平臺,目前主要幫助企業(yè)客戶應(yīng)對開源軟件中存在的安全以及合規(guī)問題���。
談及開源軟件的安全問題,一個里程碑事件是2021年底爆發(fā)的Log4j漏洞——當(dāng)時���,這一"核彈級"漏洞事件將開源軟件的安全問題推向了風(fēng)口浪尖���。安勢信息的第一款產(chǎn)品清源(CleanSource) SCA即從軟件組成分析(SCA)的需求切入���,在商業(yè)化第一年訂閱的總金額已經(jīng)超過千萬元���,成功覆蓋高科技互聯(lián)網(wǎng)�����、消費電子、智能制造�����、基礎(chǔ)軟件�、汽車等領(lǐng)域的客戶。
從行業(yè)看�����,過去國內(nèi)已有不少大型企業(yè)重視軟件供應(yīng)鏈中開源組件的安全和合規(guī)問題����。不過出于市場產(chǎn)品成熟度方面的考慮,他們一般會主要采購國外廠商的產(chǎn)品�。近年來隨著國際宏觀環(huán)境的變化,軟件組成分析(SCA)等工具也產(chǎn)生了國產(chǎn)替代趨勢���,安勢信息即順應(yīng)這一需求���,為客戶提供高端SCA類產(chǎn)品。
安勢信息創(chuàng)始人兼總裁薛植元表示與上次融資時相比���,安勢信息如今在產(chǎn)品成熟度���、商業(yè)化以及未來產(chǎn)品規(guī)劃方面均取得了突破性進(jìn)展���。
軟件組成分析(SCA)工具作為當(dāng)前全球公認(rèn)應(yīng)對開源軟件安全與合規(guī)問題的主要解決方案,其挑戰(zhàn)之一就是如何準(zhǔn)確全面的識別出代碼庫中的開源代碼���,這背后要求 SCA 工具必須具備多維度的掃描探測技術(shù)和匹配算法,同時需要一個強(qiáng)大的數(shù)據(jù)庫來支撐���。
安勢信息的清源 (CleanSource) SCA通過收錄數(shù)量龐大�����、高時效性的開源軟件打造自己的數(shù)據(jù)庫,同時結(jié)合多維度的掃描探測技術(shù)和匹配算法����,幫助客戶識別以各種形式被引入軟件中的開源組件�。
在掃描探測技術(shù)方面��,早期�����,安勢信息的重心放在代碼片段級別的、相較細(xì)粒度較高的引擎構(gòu)建上。而現(xiàn)在��,清源(CleanSource) SCA已經(jīng)能夠支持組件����、文件���、代碼片段���、直接依賴�、間接依賴等掃描,相較之前更為全面。
在數(shù)據(jù)庫方面,安勢信息通過對開源軟件的信息進(jìn)行爬取��,再進(jìn)行清洗和檢索,不斷對數(shù)據(jù)庫進(jìn)行打磨����,以保證引擎使用數(shù)據(jù)的準(zhǔn)確性�����。之后��,引擎再根據(jù)數(shù)據(jù)庫的信息進(jìn)行對比�����,通過匹配規(guī)則告知客戶開源軟件可能存在的安全與合規(guī)風(fēng)險。近半年里清源(CleanSource) SCA數(shù)據(jù)庫中組件版本信息已經(jīng)從1.4億上升到1.7億���,代碼片段指紋也從2萬億增加到3萬億����。安勢信息近期構(gòu)建了兼具學(xué)術(shù)和實踐經(jīng)驗的數(shù)據(jù)挖掘團(tuán)隊���,通過NLP等人工智能方式幫助進(jìn)行自動化的數(shù)據(jù)清洗和數(shù)據(jù)挖掘,進(jìn)一步提升數(shù)據(jù)庫的準(zhǔn)確性與更新速度。
在易用性方面,清源(CleanSource) SCA如今可提供更為豐富的API接口和插件,方便用戶和更多的DevOps工具打通。
SCA工具之外,安勢信息當(dāng)前也在推進(jìn)SAST(靜態(tài)應(yīng)用程序安全測試,也稱為白盒測試)產(chǎn)品線的研發(fā)���。談及如此設(shè)計產(chǎn)品線的思路����,薛植元表示�����,SCA意在幫助客戶發(fā)現(xiàn)自己所使用的開源組件中的安全性問題�����,SAST則能幫助客戶檢測自研代碼中的缺陷與安全問題�。這意味著,這兩款產(chǎn)品的結(jié)合���,可以覆蓋企業(yè)構(gòu)建軟件過程中的大部分代碼安全問題�����。從全球市場來看�����,SAST和SCA也是市場空間最大的開發(fā)安全產(chǎn)品品類��。
和SCA產(chǎn)品類似����,目前占據(jù)優(yōu)勢的SAST產(chǎn)品也主要來自國外廠商�����。近年借力國產(chǎn)化趨勢�,國內(nèi)也出現(xiàn)了不少SAST廠商����,但產(chǎn)品能力大多和國外同業(yè)相比仍存在較大差距���,這也給安勢信息提供了市場切入機(jī)會�����。當(dāng)前安勢信息已搭建十余人的團(tuán)隊推進(jìn)這一產(chǎn)品的研發(fā)�,核心人員不僅擁有985院校的博士或碩士學(xué)位���,且有相關(guān)領(lǐng)域高質(zhì)量學(xué)術(shù)論文的發(fā)表和深度項目開發(fā)經(jīng)驗��。該產(chǎn)品計劃于明年正式發(fā)布第一個版本�����。開發(fā)語言支持的深度及廣度是SAST產(chǎn)品的核心指標(biāo)之一����,安勢將從C/C++語言出發(fā)�����,最終覆蓋二十余種主流開發(fā)語言。
國內(nèi) ToB 產(chǎn)品的商業(yè)化之路一直以來充滿挑戰(zhàn)�����,安勢信息的清源(CleanSource) SCA 在商業(yè)化的第一年就成功服務(wù)眾多垂直領(lǐng)域的頭部企業(yè)��。在商業(yè)模式上�,清源(CleanSource) SCA采用訂閱模式��,并可根據(jù)不同企業(yè)的規(guī)模提供適合的定價模式�����。未來�,安勢信息的SAST產(chǎn)品也將采用訂閱模式收費。
團(tuán)隊方面��,安勢信息總裁薛植元曾任Checkmarx大中華區(qū)總經(jīng)理�����,也是原Synopsys SIG大中華區(qū)業(yè)務(wù)負(fù)責(zé)人�����,主導(dǎo)過各類DevSecOps工具在中國的產(chǎn)業(yè)化落地。另外����,今年安勢信息也引入了多名來自阿里、華為����、OPPO、百度��,以及曾就職于專業(yè)軟件供應(yīng)鏈廠商的高管����,和十余海內(nèi)外名校博士、碩士的加入�����,幫助提升數(shù)據(jù)處理以及工程化能力��,以及推進(jìn)SAST產(chǎn)品線的研發(fā)��。
本輪領(lǐng)投方微智數(shù)科的創(chuàng)始合伙人郭欣表示:"開源對軟件世界的貢獻(xiàn)越來越大���,同時也帶來了軟件供應(yīng)鏈的風(fēng)險�,過去幾年因軟件供應(yīng)鏈引發(fā)的安全問題與合規(guī)問題呈指數(shù)級增長,軟件供應(yīng)鏈安全需求迫在眉睫���。安勢信息是我們在該領(lǐng)域看到的能力極為全面的公司�����,在成立僅一年的時間便推出了完全自主研發(fā)的具備代碼片段識別能力SCA產(chǎn)品,成功PK海外廠商���,簽約眾多最頭部的互聯(lián)網(wǎng)與科技公司��。
公司創(chuàng)始團(tuán)隊兼具全球化視野與本地化落地的豐富經(jīng)驗��,對軟件供應(yīng)鏈安全有著深刻的洞察�����,相信未來不斷推出的優(yōu)秀產(chǎn)品能讓安勢信息邁上一個個新的臺階�,成為具有國際影響力的軟件供應(yīng)鏈安全公司��。"
