Redian新闻
>
主攻静态代码分析技术,「蜚语安全」完成Pre-A轮融资|36氪首发

主攻静态代码分析技术,「蜚语安全」完成Pre-A轮融资|36氪首发

公众号新闻

静态代码分析技术的落地以SAST最为常见。当前,利用SAST来寻找代码中的质量问题、代码中的风格问题和代码安全问题,是三个主要应用方向。


 | 真梓

封面来源 | 视觉中国

36氪获悉,开发安全公司「蜚语安全」已于日前完成Pre-A轮融资。本轮融资投资方为红华繁星网安天使基金,航行资本担任独家财务顾问。

蜚语安全是36氪持续报道的一家公司,成立于2019年,致力于解决开发人员在研发环境中的各种安全和漏洞问题,让研发更专注于创新。公司目前主打静态代码分析工具,并基于此形成了Corax代码安全分析平台。36氪此前介绍过,当前开发安全产品路线较多,主要可分为静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)、软件组成分析(SCA)、模糊测试(Fuzzing)等。各种产品类型具备不同的应用场景与优劣势,在实际应用中具备一定程度的互补性。其中,SAST被视作研发门槛较高的一类产品,蜚语安全的Corax代码安全分析平台也属于此类产品。

Corax是蜚语安全当前的主打产品,于2022年年中推出。公司创始人束骏亮博士向36氪表示,除SAST之外,蜚语也在探索静态分析技术的其他落地场景,比如针对当下比较受关注的SCA,静态代码分析技术也能够提供非常大的帮助。蜚语安全也会围绕自身在静态代码分析技术上优势,推出有差异化竞争力的SCA产品。

从市场角度来看,近年随着安全左移理念的普及,全球开发安全市场实现了快速增长。据Pitchbook等外媒统计,2022年全球DevSecOps市场规模在60亿美金左右,未来5-10年复合增长率达到30%+,其中静态分析或是SAST产品在国外也是占比最大的一类产品。但与全球市场对比,国内的相关市场正处于早期增长之中,还未迎来爆发。市场滞后与国内研发环境相关——国内软件研发行业在过去几十年主要聚焦于上层应用软件的开发,较少关注底层基础软件的开发,所以对代码质量和安全的需求不够强烈。但近几年,随着数字化程度的不断提升和国产软件研发行业的快速发展,相关技术在国内的需求度也近一步显现。另外,国产化替代的大趋势也为国产静态分析产品提供了快速追赶的窗口。

目前,静态代码分析技术的落地以SAST最为常见。当前,利用SAST来寻找代码中的质量问题、代码中的风格问题和代码安全问题,是三个主要应用方向。

束骏亮博士告诉36氪,在国外,这些静态分析产品的分类已经非常清晰,但在国内的区分度还有待加强。更深一步拆解不同场景下的技术差异,他介绍,检测代码中的安全问题主要围绕Java等服务端常用语言展开,而对代码质量的检测则主要围绕C/C++展开。当前针对这两类场景,蜚语安全均有涉足,未来希望将静态代码分析技术作为底层能力,向上支持各类不同的场景化产品,SCA也正是其中一种。

另谈及Corax的特点,束骏亮博士介绍,这一平台灵活、易用、检测精准度更高。在检测精准度方面,他表示蜚语在相关领域有着多年的技术储备,并且Corax是一款全新产品,技术框架更为灵活,更容易引入一些前沿的"黑科技"(如符号执行、抽象解释、函数摘要、自然语言处理等技术),帮助提升检测精度。

而在灵活性上,由于蜚语的底层静态代码分析框架做了模块化的解耦,所以能根据各类场景的需要,灵活封装成不同引擎。"比如在安全攻防场景里,客户追求更准确的分析结果,对效率的要求不高。而在代码合规的场景里,客户会更追求扫描的效率。针对这些不同场景,我们会提供具备不同特点的引擎。"束骏亮博士举例。更进一步拆解,在精细化场景下,蜚语会重点提供结合符号执行等"重量级分析技术"的引擎。而在需要快速产出检查效果的场景里,蜚语会结合模式匹配、自然语言处理等技术提供轻量级引擎。从语言维度拆解,当前针对C/C++、Java、Go、Python等不同语言,蜚语均已经推出了具备不同特点的引擎。

而且,为了更契合研发流水线场景,蜚语的产品也具备容器化部署、DevOps集成等能力,能够帮助企业降低落地成本。

除了产品不断迭代之外,束骏亮博士表示近半年蜚语在商业拓展方面也实现了一些突破。当前,公司已经拥有数十家付费客户,覆盖基础软件、汽车、物联网、高端制造等对静态代码分析有刚性需求的领域。谈及2023年规划,束骏亮博士表示公司在新的一年希望拓展更多的行业应用场景,同时也将持续进行产品打磨,为用户带来更多的能力与产品。

总结而言,束骏亮博士认为,静态分析产品存在巨大的市场潜力。与动态分析技术相比,静态分析技术不需要准备运行环境、不挑选软件类型、同时具备良好的自动化和规模化能力、也能够衍生出比较丰富的价值。同时,静态分析技术天然具备了成为一种普适性研发支撑技术的潜力,产品也具备成为平台型产品的能力。目前从全球范围来看,也已经有部分产品开始往平台化方向转变。比如老牌的开源代码分析平台,SonarQube,也从代码风格分析拓展到代码质量。最近两年,该公司也通过并购方式切入代码安全市场,实现了营收和估值的多方位增长。

他觉得,未来任何规模和领域的软件研发团队,都存在从静态分析技术中受益的可能,只是在产品形态和商业模式上各家厂商都还需要做不同程度的持续探索和提升。

关于投资:

本轮投资方红华繁星管理合伙人许俊表示:,代码静态分析是软件领域的基础性技术,潜在应用场景非常广泛。而且,传统SAST工具主要是安全团队使用,而海外的SonarQube等工具厂商通过给开发人员提供更便捷易用的工具而开辟了新的增长赛道。蜚语的Corax产品通过多引擎策略适配不同场景,并且通过对常见安全问题分析的深度优化而显著降低了误报率,因而获得了客户的持续好评。蜚语团队源自国内知名的GoSSIP软件安全研究小组,一直深耕软件安全、漏洞攻防和代码分析领域,是国内难得的既对业界最新的各项代码分析技术有深度专研,又对安全攻防有深刻理解的团队。繁星看好蜚语的增长潜力。作为专注网安领域的投资机构,除投资外,繁星还将从公司运营的多个方面帮助公司成长。

了解更多信息,可点击36氪创投平台小程序

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
打造下一代网络安全靶场产品,「丈八网安」完成数千万元级别A轮融资|36氪首发扎根装备制造业数字化转型服务,「 恒远科技」完成亿元级B轮融资|36氪首发主打电影级超写实数智人,「奥丁科技」完成Pre-A轮融资丨36氪首发「谛声科技」完成B轮融资,利用AI声学检测技术服务企业运维|36氪首发通信芯片公司「芯迈微半导体」完成Pre-A+轮融资,5G芯片Q3流片,4G芯片Q4量产|36氪首发「珩创纳米」完成PreA+轮过亿元融资,抓住磷酸锰铁锂风口的上游材料商|36氪首发专注卫星测控通信市场,「讯联科技」获得数千万A+轮融资|36氪首发聚焦车规大算力芯片市场,「复睿微」完成数亿元天使+轮融资|36氪首发「聆心智能」完成preA轮融资,计划打造全新「超拟人大模型」|36氪首发「非凡生物科技」完成数千万元Pre-A轮融资,挖掘人体「清道夫」SOD的医疗潜力|36氪首发Chad Lawson - fields of forever (solo piano)主攻静态代码分析技术,「蜚语安全」完成Pre-A轮融资|早起看早期对标「Retool」,低代码开发平台「码匠」完成数百万美元天使轮融资|36氪首发专注牙科器械制造,「赛乐医疗」获数亿元人民币B轮融资|36氪首发Empty Box光驱动负碳合成化合物,「光玥生物」获近亿元Pre-A轮融资|36氪首发聚焦攻击面管理,「华云安」完成数千万元B轮融资|36氪首发专注安全运营自动化,「碳泽」完成数千万元A轮融资|36氪首发早上游泳前先要做力量从消毒延伸至空气管理全场景,「清越科技」完成数千万元A轮融资|36氪首发研发AR眼镜电致变色镜片,「伯宇科技」完成数千万元Pre-A+轮融资|36氪首发「啤卤侠」完成近千万元Pre-A轮融资,打造「精酿啤酒+热卤炸串」快速复制模式|36氪首发利用AI辅助药物设计,「QuanMol Tech」获数百万美元天使轮融资|36氪首发关于致富,我告诉你们我读的第一本关于投资的书。。。深耕食品及生物制药工艺行业,「数郜智造」获近亿元C轮融资|36氪首发从纳升级移液工作站切入实验室自动化,「雷奥科学」获数千万元天使轮融资|36氪首发主打IM场景自动化,「自然机器人」获顺为领投Pre-A2轮融资|36氪首发研发XR设备专用交互芯片,「耀宇视芯」完成数千万天使轮融资|36氪首发让全球4亿家庭拥有自有数据中心,「冰鲸科技」完成数千万元融资|36氪首发专注皮肤病的小分子药物研发,「特科罗」获数千万元A+轮融资|36氪首发打通大模型、中间层、产品应用三层能力,「西湖心辰」完成Pre-A轮融资|36氪首发完成Pre-A+轮融资,语言大模型企业「澜舟科技」推出孟子MChat可控大模型|36氪首发「飞蝶XR科技」完成数千万A+轮融资,自研零代码AIGC工具解放XR内容创作力|36氪首发想成为装配式建筑的「亚马逊」,「大乐装」获近亿元人民币B轮融资|36氪首发女儿和她爸
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。