主攻静态代码分析技术,「蜚语安全」完成Pre-A轮融资|36氪首发
静态代码分析技术的落地以SAST最为常见。当前,利用SAST来寻找代码中的质量问题、代码中的风格问题和代码安全问题,是三个主要应用方向。 |
文 | 真梓
封面来源 | 视觉中国
36氪获悉,开发安全公司「蜚语安全」已于日前完成Pre-A轮融资。本轮融资投资方为红华繁星网安天使基金,航行资本担任独家财务顾问。
蜚语安全是36氪持续报道的一家公司,成立于2019年,致力于解决开发人员在研发环境中的各种安全和漏洞问题,让研发更专注于创新。公司目前主打静态代码分析工具,并基于此形成了Corax代码安全分析平台。36氪此前介绍过,当前开发安全产品路线较多,主要可分为静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)、软件组成分析(SCA)、模糊测试(Fuzzing)等。各种产品类型具备不同的应用场景与优劣势,在实际应用中具备一定程度的互补性。其中,SAST被视作研发门槛较高的一类产品,蜚语安全的Corax代码安全分析平台也属于此类产品。
Corax是蜚语安全当前的主打产品,于2022年年中推出。公司创始人束骏亮博士向36氪表示,除SAST之外,蜚语也在探索静态分析技术的其他落地场景,比如针对当下比较受关注的SCA,静态代码分析技术也能够提供非常大的帮助。蜚语安全也会围绕自身在静态代码分析技术上优势,推出有差异化竞争力的SCA产品。
从市场角度来看,近年随着安全左移理念的普及,全球开发安全市场实现了快速增长。据Pitchbook等外媒统计,2022年全球DevSecOps市场规模在60亿美金左右,未来5-10年复合增长率达到30%+,其中静态分析或是SAST产品在国外也是占比最大的一类产品。但与全球市场对比,国内的相关市场正处于早期增长之中,还未迎来爆发。市场滞后与国内研发环境相关——国内软件研发行业在过去几十年主要聚焦于上层应用软件的开发,较少关注底层基础软件的开发,所以对代码质量和安全的需求不够强烈。但近几年,随着数字化程度的不断提升和国产软件研发行业的快速发展,相关技术在国内的需求度也近一步显现。另外,国产化替代的大趋势也为国产静态分析产品提供了快速追赶的窗口。
目前,静态代码分析技术的落地以SAST最为常见。当前,利用SAST来寻找代码中的质量问题、代码中的风格问题和代码安全问题,是三个主要应用方向。
束骏亮博士告诉36氪,在国外,这些静态分析产品的分类已经非常清晰,但在国内的区分度还有待加强。更深一步拆解不同场景下的技术差异,他介绍,检测代码中的安全问题主要围绕Java等服务端常用语言展开,而对代码质量的检测则主要围绕C/C++展开。当前针对这两类场景,蜚语安全均有涉足,未来希望将静态代码分析技术作为底层能力,向上支持各类不同的场景化产品,SCA也正是其中一种。
另谈及Corax的特点,束骏亮博士介绍,这一平台灵活、易用、检测精准度更高。在检测精准度方面,他表示蜚语在相关领域有着多年的技术储备,并且Corax是一款全新产品,技术框架更为灵活,更容易引入一些前沿的"黑科技"(如符号执行、抽象解释、函数摘要、自然语言处理等技术),帮助提升检测精度。
而在灵活性上,由于蜚语的底层静态代码分析框架做了模块化的解耦,所以能根据各类场景的需要,灵活封装成不同引擎。"比如在安全攻防场景里,客户追求更准确的分析结果,对效率的要求不高。而在代码合规的场景里,客户会更追求扫描的效率。针对这些不同场景,我们会提供具备不同特点的引擎。"束骏亮博士举例。更进一步拆解,在精细化场景下,蜚语会重点提供结合符号执行等"重量级分析技术"的引擎。而在需要快速产出检查效果的场景里,蜚语会结合模式匹配、自然语言处理等技术提供轻量级引擎。从语言维度拆解,当前针对C/C++、Java、Go、Python等不同语言,蜚语均已经推出了具备不同特点的引擎。
而且,为了更契合研发流水线场景,蜚语的产品也具备容器化部署、DevOps集成等能力,能够帮助企业降低落地成本。
除了产品不断迭代之外,束骏亮博士表示近半年蜚语在商业拓展方面也实现了一些突破。当前,公司已经拥有数十家付费客户,覆盖基础软件、汽车、物联网、高端制造等对静态代码分析有刚性需求的领域。谈及2023年规划,束骏亮博士表示公司在新的一年希望拓展更多的行业应用场景,同时也将持续进行产品打磨,为用户带来更多的能力与产品。
总结而言,束骏亮博士认为,静态分析产品存在巨大的市场潜力。与动态分析技术相比,静态分析技术不需要准备运行环境、不挑选软件类型、同时具备良好的自动化和规模化能力、也能够衍生出比较丰富的价值。同时,静态分析技术天然具备了成为一种普适性研发支撑技术的潜力,产品也具备成为平台型产品的能力。目前从全球范围来看,也已经有部分产品开始往平台化方向转变。比如老牌的开源代码分析平台,SonarQube,也从代码风格分析拓展到代码质量。最近两年,该公司也通过并购方式切入代码安全市场,实现了营收和估值的多方位增长。
他觉得,未来任何规模和领域的软件研发团队,都存在从静态分析技术中受益的可能,只是在产品形态和商业模式上各家厂商都还需要做不同程度的持续探索和提升。
关于投资:
本轮投资方红华繁星管理合伙人许俊表示:,代码静态分析是软件领域的基础性技术,潜在应用场景非常广泛。而且,传统SAST工具主要是安全团队使用,而海外的SonarQube等工具厂商通过给开发人员提供更便捷易用的工具而开辟了新的增长赛道。蜚语的Corax产品通过多引擎策略适配不同场景,并且通过对常见安全问题分析的深度优化而显著降低了误报率,因而获得了客户的持续好评。蜚语团队源自国内知名的GoSSIP软件安全研究小组,一直深耕软件安全、漏洞攻防和代码分析领域,是国内难得的既对业界最新的各项代码分析技术有深度专研,又对安全攻防有深刻理解的团队。繁星看好蜚语的增长潜力。作为专注网安领域的投资机构,除投资外,繁星还将从公司运营的多个方面帮助公司成长。
了解更多信息,可点击36氪创投平台小程序
微信扫码关注该文公众号作者