專注軟件供應(yīng)鏈安全，「安勢信息」完成數(shù)千萬元級別Pre-A輪融資

上海2022年12月26日 /美通社/ -- 近日，專注軟件供應(yīng)鏈安全的「安勢信息」宣布已完成Pre-A輪融資。本輪融資金額在數(shù)千萬元級別，領(lǐng)投方為微智數(shù)科，晨壹投資跟投，山景資本擔任獨家財務(wù)顧問。

安勢信息成立于2021年6月，專注于打造軟件供應(yīng)鏈安全平臺，目前主要幫助企業(yè)客戶應(yīng)對開源軟件中存在的安全以及合規(guī)問題。

談及開源軟件的安全問題，一個里程碑事件是2021年底爆發(fā)的Log4j漏洞——當時，這一"核彈級"漏洞事件將開源軟件的安全問題推向了風口浪尖。安勢信息的第一款產(chǎn)品清源（CleanSource） SCA即從軟件組成分析（SCA）的需求切入，在商業(yè)化第一年訂閱的總金額已經(jīng)超過千萬元，成功覆蓋高科技互聯(lián)網(wǎng)、消費電子、智能制造、基礎(chǔ)軟件、汽車等領(lǐng)域的客戶。

從行業(yè)看，過去國內(nèi)已有不少大型企業(yè)重視軟件供應(yīng)鏈中開源組件的安全和合規(guī)問題。不過出于市場產(chǎn)品成熟度方面的考慮，他們一般會主要采購國外廠商的產(chǎn)品。近年來隨著國際宏觀環(huán)境的變化，軟件組成分析（SCA）等工具也產(chǎn)生了國產(chǎn)替代趨勢，安勢信息即順應(yīng)這一需求，為客戶提供高端SCA類產(chǎn)品。

安勢信息創(chuàng)始人兼總裁薛植元表示與上次融資時相比，安勢信息如今在產(chǎn)品成熟度、商業(yè)化以及未來產(chǎn)品規(guī)劃方面均取得了突破性進展。

軟件組成分析（SCA）工具作為當前全球公認應(yīng)對開源軟件安全與合規(guī)問題的主要解決方案，其挑戰(zhàn)之一就是如何準確全面的識別出代碼庫中的開源代碼，這背后要求 SCA 工具必須具備多維度的掃描探測技術(shù)和匹配算法，同時需要一個強大的數(shù)據(jù)庫來支撐。

安勢信息的清源 (CleanSource) SCA通過收錄數(shù)量龐大、高時效性的開源軟件打造自己的數(shù)據(jù)庫，同時結(jié)合多維度的掃描探測技術(shù)和匹配算法，幫助客戶識別以各種形式被引入軟件中的開源組件。

在掃描探測技術(shù)方面，早期，安勢信息的重心放在代碼片段級別的、相較細粒度較高的引擎構(gòu)建上。而現(xiàn)在，清源(CleanSource) SCA已經(jīng)能夠支持組件、文件、代碼片段、直接依賴、間接依賴等掃描，相較之前更為全面。

在數(shù)據(jù)庫方面，安勢信息通過對開源軟件的信息進行爬取，再進行清洗和檢索，不斷對數(shù)據(jù)庫進行打磨，以保證引擎使用數(shù)據(jù)的準確性。之后，引擎再根據(jù)數(shù)據(jù)庫的信息進行對比，通過匹配規(guī)則告知客戶開源軟件可能存在的安全與合規(guī)風險。近半年里清源(CleanSource) SCA數(shù)據(jù)庫中組件版本信息已經(jīng)從1.4億上升到1.7億，代碼片段指紋也從2萬億增加到3萬億。安勢信息近期構(gòu)建了兼具學(xué)術(shù)和實踐經(jīng)驗的數(shù)據(jù)挖掘團隊，通過NLP等人工智能方式幫助進行自動化的數(shù)據(jù)清洗和數(shù)據(jù)挖掘，進一步提升數(shù)據(jù)庫的準確性與更新速度。

在易用性方面，清源(CleanSource) SCA如今可提供更為豐富的API接口和插件，方便用戶和更多的DevOps工具打通。

SCA工具之外，安勢信息當前也在推進SAST（靜態(tài)應(yīng)用程序安全測試,也稱為白盒測試）產(chǎn)品線的研發(fā)。談及如此設(shè)計產(chǎn)品線的思路，薛植元表示，SCA意在幫助客戶發(fā)現(xiàn)自己所使用的開源組件中的安全性問題，SAST則能幫助客戶檢測自研代碼中的缺陷與安全問題。這意味著，這兩款產(chǎn)品的結(jié)合，可以覆蓋企業(yè)構(gòu)建軟件過程中的大部分代碼安全問題。從全球市場來看，SAST和SCA也是市場空間最大的開發(fā)安全產(chǎn)品品類。

和SCA產(chǎn)品類似，目前占據(jù)優(yōu)勢的SAST產(chǎn)品也主要來自國外廠商。近年借力國產(chǎn)化趨勢，國內(nèi)也出現(xiàn)了不少SAST廠商，但產(chǎn)品能力大多和國外同業(yè)相比仍存在較大差距，這也給安勢信息提供了市場切入機會。當前安勢信息已搭建十余人的團隊推進這一產(chǎn)品的研發(fā)，核心人員不僅擁有985院校的博士或碩士學(xué)位，且有相關(guān)領(lǐng)域高質(zhì)量學(xué)術(shù)論文的發(fā)表和深度項目開發(fā)經(jīng)驗。該產(chǎn)品計劃于明年正式發(fā)布第一個版本。開發(fā)語言支持的深度及廣度是SAST產(chǎn)品的核心指標之一，安勢將從C/C++語言出發(fā)，最終覆蓋二十余種主流開發(fā)語言。

國內(nèi) ToB 產(chǎn)品的商業(yè)化之路一直以來充滿挑戰(zhàn)，安勢信息的清源（CleanSource） SCA 在商業(yè)化的第一年就成功服務(wù)眾多垂直領(lǐng)域的頭部企業(yè)。在商業(yè)模式上，清源(CleanSource) SCA采用訂閱模式，并可根據(jù)不同企業(yè)的規(guī)模提供適合的定價模式。未來，安勢信息的SAST產(chǎn)品也將采用訂閱模式收費。

團隊方面，安勢信息總裁薛植元曾任Checkmarx大中華區(qū)總經(jīng)理，也是原Synopsys SIG大中華區(qū)業(yè)務(wù)負責人，主導(dǎo)過各類DevSecOps工具在中國的產(chǎn)業(yè)化落地。另外，今年安勢信息也引入了多名來自阿里、華為、OPPO、百度，以及曾就職于專業(yè)軟件供應(yīng)鏈廠商的高管，和十余海內(nèi)外名校博士、碩士的加入，幫助提升數(shù)據(jù)處理以及工程化能力，以及推進SAST產(chǎn)品線的研發(fā)。

本輪領(lǐng)投方微智數(shù)科的創(chuàng)始合伙人郭欣表示："開源對軟件世界的貢獻越來越大，同時也帶來了軟件供應(yīng)鏈的風險，過去幾年因軟件供應(yīng)鏈引發(fā)的安全問題與合規(guī)問題呈指數(shù)級增長，軟件供應(yīng)鏈安全需求迫在眉睫。安勢信息是我們在該領(lǐng)域看到的能力極為全面的公司，在成立僅一年的時間便推出了完全自主研發(fā)的具備代碼片段識別能力SCA產(chǎn)品，成功PK海外廠商，簽約眾多最頭部的互聯(lián)網(wǎng)與科技公司。

公司創(chuàng)始團隊兼具全球化視野與本地化落地的豐富經(jīng)驗，對軟件供應(yīng)鏈安全有著深刻的洞察，相信未來不斷推出的優(yōu)秀產(chǎn)品能讓安勢信息邁上一個個新的臺階，成為具有國際影響力的軟件供應(yīng)鏈安全公司。"