36氪首發|主攻靜態代碼分析技術,「蜚語安全」完成Pre-A輪融資
36氪獲悉,開發安全公司「蜚語安全」已於日前完成Pre-A輪融資。本輪融資投資方爲紅華繁星網安天使基金,航行資本擔任獨家財務顧問。
蜚語安全是36氪持續報道的一家公司,成立於2019年,致力於解決開發人員在研發環境中的各種安全和漏洞問題,讓研發更專注於創新。公司目前主打靜態代碼分析工具,並基於此形成了Corax代碼安全分析平臺。36氪此前介紹過,當前開發安全產品路線較多,主要可分爲靜態應用程序安全測試(SAST)、動態應用程序安全測試(DAST)、交互式應用程序安全測試(IAST)、軟件組成分析(SCA)、模糊測試(Fuzzing)等。各種產品類型具備不同的應用場景與優劣勢,在實際應用中具備一定程度的互補性。其中,SAST被視作研發門檻較高的一類產品,蜚語安全的Corax代碼安全分析平臺也屬於此類產品。
Corax是蜚語安全當前的主打產品,於2022年年中推出。公司創始人束駿亮博士向36氪表示,除SAST之外,蜚語也在探索靜態分析技術的其他落地場景,比如針對當下比較受關注的SCA,靜態代碼分析技術也能夠提供非常大的幫助。蜚語安全也會圍繞自身在靜態代碼分析技術上優勢,推出有差異化競爭力的SCA產品。
從市場角度來看,近年隨着安全左移理念的普及,全球開發安全市場實現了快速增長。據Pitchbook等外媒統計,2022年全球DevSecOps市場規模在60億美金左右,未來5-10年複合增長率達到30%+,其中靜態分析或是SAST產品在國外也是佔比最大的一類產品。但與全球市場對比,國內的相關市場正處於早期增長之中,還未迎來爆發。市場滯後與國內研發環境相關——國內軟件研發行業在過去幾十年主要聚焦於上層應用軟件的開發,較少關注底層基礎軟件的開發,所以對代碼質量和安全的需求不夠強烈。但近幾年,隨着數字化程度的不斷提升和國產軟件研發行業的快速發展,相關技術在國內的需求度也近一步顯現。另外,國產化替代的大趨勢也爲國產靜態分析產品提供了快速追趕的窗口。
目前,靜態代碼分析技術的落地以SAST最爲常見。當前,利用SAST來尋找代碼中的質量問題、代碼中的風格問題和代碼安全問題,是三個主要應用方向。
束駿亮博士告訴36氪,在國外,這些靜態分析產品的分類已經非常清晰,但在國內的區分度還有待加強。更深一步拆解不同場景下的技術差異,他介紹,檢測代碼中的安全問題主要圍繞Java等服務端常用語言展開,而對代碼質量的檢測則主要圍繞C/C++展開。當前針對這兩類場景,蜚語安全均有涉足,未來希望將靜態代碼分析技術作爲底層能力,向上支持各類不同的場景化產品,SCA也正是其中一種。
另談及Corax的特點,束駿亮博士介紹,這一平臺靈活、易用、檢測精準度更高。在檢測精準度方面,他表示蜚語在相關領域有着多年的技術儲備,並且Corax是一款全新產品,技術框架更爲靈活,更容易引入一些前沿的"黑科技"(如符號執行、抽象解釋、函數摘要、自然語言處理等技術),幫助提升檢測精度。
而在靈活性上,由於蜚語的底層靜態代碼分析框架做了模塊化的解耦,所以能根據各類場景的需要,靈活封裝成不同引擎。"比如在安全攻防場景裏,客戶追求更準確的分析結果,對效率的要求不高。而在代碼合規的場景裏,客戶會更追求掃描的效率。針對這些不同場景,我們會提供具備不同特點的引擎。"束駿亮博士舉例。更進一步拆解,在精細化場景下,蜚語會重點提供結合符號執行等"重量級分析技術"的引擎。而在需要快速產出檢查效果的場景裏,蜚語會結合模式匹配、自然語言處理等技術提供輕量級引擎。從語言維度拆解,當前針對C/C++、Java、Go、Python等不同語言,蜚語均已經推出了具備不同特點的引擎。
而且,爲了更契合研發流水線場景,蜚語的產品也具備容器化部署、DevOps集成等能力,能夠幫助企業降低落地成本。
除了產品不斷迭代之外,束駿亮博士表示近半年蜚語在商業拓展方面也實現了一些突破。當前,公司已經擁有數十家付費客戶,覆蓋基礎軟件、汽車、物聯網、高端製造等對靜態代碼分析有剛性需求的領域。談及2023年規劃,束駿亮博士表示公司在新的一年希望拓展更多的行業應用場景,同時也將持續進行產品打磨,爲用戶帶來更多的能力與產品。
總結而言,束駿亮博士認爲,靜態分析產品存在巨大的市場潛力。與動態分析技術相比,靜態分析技術不需要準備運行環境、不挑選軟件類型、同時具備良好的自動化和規模化能力、也能夠衍生出比較豐富的價值。同時,靜態分析技術天然具備了成爲一種普適性研發支撐技術的潛力,產品也具備成爲平臺型產品的能力。目前從全球範圍來看,也已經有部分產品開始往平臺化方向轉變。比如老牌的開源代碼分析平臺,SonarQube,也從代碼風格分析拓展到代碼質量。最近兩年,該公司也通過併購方式切入代碼安全市場,實現了營收和估值的多方位增長。
他覺得,未來任何規模和領域的軟件研發團隊,都存在從靜態分析技術中受益的可能,只是在產品形態和商業模式上各家廠商都還需要做不同程度的持續探索和提升。
關於投資:
本輪投資方紅華繁星管理合夥人許俊表示:,代碼靜態分析是軟件領域的基礎性技術,潛在應用場景非常廣泛。而且,傳統SAST工具主要是安全團隊使用,而海外的SonarQube等工具廠商通過給開發人員提供更便捷易用的工具而開闢了新的增長賽道。蜚語的Corax產品通過多引擎策略適配不同場景,並且通過對常見安全問題分析的深度優化而顯著降低了誤報率,因而獲得了客戶的持續好評。蜚語團隊源自國內知名的GoSSIP軟件安全研究小組,一直深耕軟件安全、漏洞攻防和代碼分析領域,是國內難得的既對業界最新的各項代碼分析技術有深度專研,又對安全攻防有深刻理解的團隊。繁星看好蜚語的增長潛力。作爲專注網安領域的投資機構,除投資外,繁星還將從公司運營的多個方面幫助公司成長。
