获悉,开发安全公司「蜚语安全」已于日前完成近千万元的天使轮融资,投资方为真格基金。
关于开发安全,简单来说,目前不少企业面临的安全问题之一即是软件的安全无法保障。根据美国国家标准与技术研究所(NIST)的统计,在发布后执行代码修复,其修复成本相当于在设计阶段执行修复的30倍。而开发安全类产品则从开发过程切入,希望通过对软件开发流程的管控,降低软件本身存在的安全风险。
时至2021年,由于DevSecOps理念的日渐普及,以及国产化替代浪潮中软件的重要性逐步突显,国内专注于开发安全的企业也不断涌现。本文主角「蜚语安全」,成立于2019年,创始团队来自于上海交通大学计算机系,由数名专注于网络安全研究的博士组成。团队成员在校期间共同建立并发展壮大了在国际学术界非常活跃的软件安全研究团队—G.O.S.S.I.P。其研究成果不仅转换成了多篇发表在国际顶级的学术会议上的学术论文以及相关技术专利,还多次受邀在各大峰会等活动上做主题报告。
具体在业务端,公司当前核心产品为Corax源码分析平台,这一产品也即将于下个月上线。当前开发安全产品路线较多,主要可分为静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)、模糊测试(Fuzzing)等。各种产品类型具备不同的效果,在应用中具备一定程度的互补性。其中,SAST被视作研发门槛较高的一类产品,蜚语安全的Corax源码分析平台也属于此类产品。
在Corax源码分析平台的特点上,公司创始人束骏亮博士介绍其会利用前沿代码分析技术,对传统代码安全扫描工具进行革新。具体展开,传统产品会更偏向于关注代码规范和风格,即代码编写的合理性,而现如今随着技术进步,蜚语安全的产品已经能够做到更复杂、更深层次的分析,有效的挖掘源代码中可能导致安全攻击的代码缺陷。这给客户带来的体感变化是,可以真正利用此类平台发现重要的安全问题,避免由于仅关注编码风格而造成的研发人员内耗。目前Corax已在各大开源项目(Linux Kernel、OpenSSL等)中发现并确认超过100个真实代码缺陷。
另外,目前市场中有关SAST类产品最大的质疑是其较高的误报率。对此束骏亮介绍,蜚语安全的产品会在传统的维度之外再提取更多复杂的代码语义信息,从而对程序进行较完整的建模,提升对整个程序行为的精确性认知。在此基础上,公司会结合自身长期的安全攻防经验,以完善对真实代码缺陷的特征提取。当二者结合,即会在较大程度上降低产品误报率,提升其精确性。
在产品之外,蜚语安全也对外提供专业的安全服务。Corax源码分析平台现已成为蜚语安全服务团队的标准化工具,帮助安全服务人员提升交付效率与质量。之前,凭借在软件漏洞分析与修复、移动智能终端安全、IoT系统与协议安全测试等方向的长期技术积累,蜚语安全已经与互联网、人工智能、能源、运营商、游戏与电商等重点领域头部企业建立了较稳定的合作。
在之后的商业落地上,束骏亮认为,当前安全行业还是以互联网、能源、运营商、金融、军工、政务等行业客户为主,公司也会重点关注此类客户需求。但在之后的发展上,其觉得开发安全未来更大的发展空间还是在数量众多的中小型企业中,这一趋势也可从国外市场中得到些许例证。
另在本轮融资之后,公司将持续进行研发、销售等人才团队的扩充,同时进行核心产品的运营和推广,希望在持续打磨产品的同时,与国内正快速发展的开发安全市场一同获得快速增长。