推出SCA、SAST软件供应链安全产品线，「安势信息」完成Pre-A+轮融资｜36氪首发

2023-06-13 08:06

SCA意在帮助客户发现自己所使用的开源组件中的安全性问题，SAST则能帮助客户检测自研代码中的缺陷与安全问题。

文｜真梓

封面来源｜IC photo

36氪获悉，专注软件供应链安全的“安势信息”已于日前完成Pre-A+轮融资。据介绍，本轮融资金额在数千万元级别，和Pre-A轮融资额结合总计近亿元。本次Pre-A+轮投资方为金蚂投资和考拉基金，老股东微智数科持续跟投，山景资本担任独家财务顾问。

安势信息是36氪持续报道过的一家公司，成立于2021年6月，专注打造软件供应链安全平台，目前主要帮助企业客户应对开源软件中存在的安全及合规问题。

公司创始人兼总裁薛植元向36氪介绍，安势信息的第一款产品清源 (CleanSource) SCA从软件组成分析(SCA) 的需求切入，希望帮助客户发现自身所使用的开源软件、组件中的安全及合规问题。如今，公司还有SAST（静态应用程序安全测试，业内也称为白盒测试）产品线。

关于SCA产品的推出，36氪此前介绍过，过去国内已有不少大型企业重视软件供应链中开源组件的安全和合规问题。不过出于市场产品成熟度方面的考虑，他们一般会主要采购国外厂商的产品。但近年随着国际宏观环境的变化，软件组成分析(SCA) 等工具也产生了国产替代趋势，安势顺应这一需求，为客户提供高端SCA类产品。

产品运作模式方面，36氪曾介绍过，安势信息的清源 (CleanSource) SCA通过收录多数量、高时效性的开源软件打造自己的数据库，同时结合多维度的扫描探测技术和匹配算法，帮助客户识别以各种形式被引入软件中的开源组件。

而在SCA之外，安势信息去年也开始推进SAST产品线的研发。谈及如此布局的原因，薛植元向36氪表示，SCA意在帮助客户发现自己所使用的开源组件中的安全性问题，SAST则能帮助客户检测自研代码中的缺陷与安全问题。这意味着，这两款产品的结合，可以覆盖企业构建软件过程中的大部分代码安全问题。而从全球市场来看，SAST和SCA也是市场空间最大的开发安全产品品类。

薛植元表示，2023年安势也将这两款产品进行了结合。其中，清源SCA近期最重要的功能升级之一是将静态应用安全测试(SAST) 中的语义分析技术融入其中，从而使得SCA能够识别并确认那些真正被调用、可能被利用的漏洞。他介绍，这个步骤提升了安全检测的精确度，并减少了对人工干预的依赖，从而提高了安全风险的管控效率。

薛植元补充，目前安势的静态应用安全测试(SAST) 支持多种主流编程语言，包括但不限于 C/C++、Java、JSP和Go等。从效果上，他对比，与大多数SAST工具不同，安势SAST通过捕获编译过程，能够发现C/C++的运行时缺陷，例如内存泄漏、空指针引用和多线程问题等。这类问题对于电子、汽车、国防和航空航天行业的用户尤其重要，但通常难以通过非编译的方式来发现。

在整体商业化进展上，安势的清源SCA的代表客户包括腾讯、阿里巴巴、百度、蚂蚁集团、荣耀、VIVO、小米集团、延锋汽车等。薛植元表示，公司商业化一年，年度复现收入(ARR) 超过千万元。另在出海方面，他介绍，安势的清源产品也一直帮助多家客户满足欧美市场的最新法规需求。目前，清源SCA已为数十万名软件开发者提供服务，每日为上述企业提供数十万次的SBOM扫描服务。本轮融资后，公司计划持续提升产品力，拓展更多企业客户和开发者用户。