上海2022年12月26日 /美通社/ -- 近日,專注軟件供應鏈安全的「安勢信息」宣布已完成Pre-A輪融資。本輪融資金額在數(shù)千萬元級別,領投方為微智數(shù)科,晨壹投資跟投,山景資本擔任獨家財務顧問。
安勢信息成立于2021年6月,專注于打造軟件供應鏈安全平臺,目前主要幫助企業(yè)客戶應對開源軟件中存在的安全以及合規(guī)問題。
談及開源軟件的安全問題,一個里程碑事件是2021年底爆發(fā)的Log4j漏洞——當時,這一"核彈級"漏洞事件將開源軟件的安全問題推向了風口浪尖。安勢信息的第一款產(chǎn)品清源(CleanSource) SCA即從軟件組成分析(SCA)的需求切入,在商業(yè)化第一年訂閱的總金額已經(jīng)超過千萬元,成功覆蓋高科技互聯(lián)網(wǎng)、消費電子、智能制造、基礎軟件、汽車等領域的客戶。
從行業(yè)看,過去國內(nèi)已有不少大型企業(yè)重視軟件供應鏈中開源組件的安全和合規(guī)問題。不過出于市場產(chǎn)品成熟度方面的考慮,他們一般會主要采購國外廠商的產(chǎn)品。近年來隨著國際宏觀環(huán)境的變化,軟件組成分析(SCA)等工具也產(chǎn)生了國產(chǎn)替代趨勢,安勢信息即順應這一需求,為客戶提供高端SCA類產(chǎn)品。
安勢信息創(chuàng)始人兼總裁薛植元表示與上次融資時相比,安勢信息如今在產(chǎn)品成熟度、商業(yè)化以及未來產(chǎn)品規(guī)劃方面均取得了突破性進展。
軟件組成分析(SCA)工具作為當前全球公認應對開源軟件安全與合規(guī)問題的主要解決方案,其挑戰(zhàn)之一就是如何準確全面的識別出代碼庫中的開源代碼,這背后要求 SCA 工具必須具備多維度的掃描探測技術和匹配算法,同時需要一個強大的數(shù)據(jù)庫來支撐。
安勢信息的清源 (CleanSource) SCA通過收錄數(shù)量龐大、高時效性的開源軟件打造自己的數(shù)據(jù)庫,同時結合多維度的掃描探測技術和匹配算法,幫助客戶識別以各種形式被引入軟件中的開源組件。
在掃描探測技術方面,早期,安勢信息的重心放在代碼片段級別的、相較細粒度較高的引擎構建上。而現(xiàn)在,清源(CleanSource) SCA已經(jīng)能夠支持組件、文件、代碼片段、直接依賴、間接依賴等掃描,相較之前更為全面。
在數(shù)據(jù)庫方面,安勢信息通過對開源軟件的信息進行爬取,再進行清洗和檢索,不斷對數(shù)據(jù)庫進行打磨,以保證引擎使用數(shù)據(jù)的準確性。之后,引擎再根據(jù)數(shù)據(jù)庫的信息進行對比,通過匹配規(guī)則告知客戶開源軟件可能存在的安全與合規(guī)風險。近半年里清源(CleanSource) SCA數(shù)據(jù)庫中組件版本信息已經(jīng)從1.4億上升到1.7億,代碼片段指紋也從2萬億增加到3萬億。安勢信息近期構建了兼具學術和實踐經(jīng)驗的數(shù)據(jù)挖掘團隊,通過NLP等人工智能方式幫助進行自動化的數(shù)據(jù)清洗和數(shù)據(jù)挖掘,進一步提升數(shù)據(jù)庫的準確性與更新速度。
在易用性方面,清源(CleanSource) SCA如今可提供更為豐富的API接口和插件,方便用戶和更多的DevOps工具打通。
SCA工具之外,安勢信息當前也在推進SAST(靜態(tài)應用程序安全測試,也稱為白盒測試)產(chǎn)品線的研發(fā)。談及如此設計產(chǎn)品線的思路,薛植元表示,SCA意在幫助客戶發(fā)現(xiàn)自己所使用的開源組件中的安全性問題,SAST則能幫助客戶檢測自研代碼中的缺陷與安全問題。這意味著,這兩款產(chǎn)品的結合,可以覆蓋企業(yè)構建軟件過程中的大部分代碼安全問題。從全球市場來看,SAST和SCA也是市場空間最大的開發(fā)安全產(chǎn)品品類。
和SCA產(chǎn)品類似,目前占據(jù)優(yōu)勢的SAST產(chǎn)品也主要來自國外廠商。近年借力國產(chǎn)化趨勢,國內(nèi)也出現(xiàn)了不少SAST廠商,但產(chǎn)品能力大多和國外同業(yè)相比仍存在較大差距,這也給安勢信息提供了市場切入機會。當前安勢信息已搭建十余人的團隊推進這一產(chǎn)品的研發(fā),核心人員不僅擁有985院校的博士或碩士學位,且有相關領域高質(zhì)量學術論文的發(fā)表和深度項目開發(fā)經(jīng)驗。該產(chǎn)品計劃于明年正式發(fā)布第一個版本。開發(fā)語言支持的深度及廣度是SAST產(chǎn)品的核心指標之一,安勢將從C/C++語言出發(fā),最終覆蓋二十余種主流開發(fā)語言。
國內(nèi) ToB 產(chǎn)品的商業(yè)化之路一直以來充滿挑戰(zhàn),安勢信息的清源(CleanSource) SCA 在商業(yè)化的第一年就成功服務眾多垂直領域的頭部企業(yè)。在商業(yè)模式上,清源(CleanSource) SCA采用訂閱模式,并可根據(jù)不同企業(yè)的規(guī)模提供適合的定價模式。未來,安勢信息的SAST產(chǎn)品也將采用訂閱模式收費。
團隊方面,安勢信息總裁薛植元曾任Checkmarx大中華區(qū)總經(jīng)理,也是原Synopsys SIG大中華區(qū)業(yè)務負責人,主導過各類DevSecOps工具在中國的產(chǎn)業(yè)化落地。另外,今年安勢信息也引入了多名來自阿里、華為、OPPO、百度,以及曾就職于專業(yè)軟件供應鏈廠商的高管,和十余海內(nèi)外名校博士、碩士的加入,幫助提升數(shù)據(jù)處理以及工程化能力,以及推進SAST產(chǎn)品線的研發(fā)。
本輪領投方微智數(shù)科的創(chuàng)始合伙人郭欣表示:"開源對軟件世界的貢獻越來越大,同時也帶來了軟件供應鏈的風險,過去幾年因軟件供應鏈引發(fā)的安全問題與合規(guī)問題呈指數(shù)級增長,軟件供應鏈安全需求迫在眉睫。安勢信息是我們在該領域看到的能力極為全面的公司,在成立僅一年的時間便推出了完全自主研發(fā)的具備代碼片段識別能力SCA產(chǎn)品,成功PK海外廠商,簽約眾多最頭部的互聯(lián)網(wǎng)與科技公司。
公司創(chuàng)始團隊兼具全球化視野與本地化落地的豐富經(jīng)驗,對軟件供應鏈安全有著深刻的洞察,相信未來不斷推出的優(yōu)秀產(chǎn)品能讓安勢信息邁上一個個新的臺階,成為具有國際影響力的軟件供應鏈安全公司。"