omniture

專注軟件供應(yīng)鏈安全,「安勢(shì)信息」完成數(shù)千萬元級(jí)別Pre-A輪融資

上海2022年12月26日 /美通社/ -- 近日,專注軟件供應(yīng)鏈安全的「安勢(shì)信息」宣布已完成Pre-A輪融資。本輪融資金額在數(shù)千萬元級(jí)別,領(lǐng)投方為微智數(shù)科,晨壹投資跟投,山景資本擔(dān)任獨(dú)家財(cái)務(wù)顧問。

安勢(shì)信息成立于2021年6月,專注于打造軟件供應(yīng)鏈安全平臺(tái),目前主要幫助企業(yè)客戶應(yīng)對(duì)開源軟件中存在的安全以及合規(guī)問題。

談及開源軟件的安全問題,一個(gè)里程碑事件是2021年底爆發(fā)的Log4j漏洞——當(dāng)時(shí),這一"核彈級(jí)"漏洞事件將開源軟件的安全問題推向了風(fēng)口浪尖。安勢(shì)信息的第一款產(chǎn)品清源(CleanSource) SCA即從軟件組成分析(SCA)的需求切入,在商業(yè)化第一年訂閱的總金額已經(jīng)超過千萬元,成功覆蓋高科技互聯(lián)網(wǎng)、消費(fèi)電子、智能制造、基礎(chǔ)軟件、汽車等領(lǐng)域的客戶。

從行業(yè)看,過去國(guó)內(nèi)已有不少大型企業(yè)重視軟件供應(yīng)鏈中開源組件的安全和合規(guī)問題。不過出于市場(chǎng)產(chǎn)品成熟度方面的考慮,他們一般會(huì)主要采購(gòu)國(guó)外廠商的產(chǎn)品。近年來隨著國(guó)際宏觀環(huán)境的變化,軟件組成分析(SCA)等工具也產(chǎn)生了國(guó)產(chǎn)替代趨勢(shì),安勢(shì)信息即順應(yīng)這一需求,為客戶提供高端SCA類產(chǎn)品。

安勢(shì)信息創(chuàng)始人兼總裁薛植元表示與上次融資時(shí)相比,安勢(shì)信息如今在產(chǎn)品成熟度、商業(yè)化以及未來產(chǎn)品規(guī)劃方面均取得了突破性進(jìn)展。

軟件組成分析(SCA)工具作為當(dāng)前全球公認(rèn)應(yīng)對(duì)開源軟件安全與合規(guī)問題的主要解決方案,其挑戰(zhàn)之一就是如何準(zhǔn)確全面的識(shí)別出代碼庫中的開源代碼,這背后要求 SCA 工具必須具備多維度的掃描探測(cè)技術(shù)和匹配算法,同時(shí)需要一個(gè)強(qiáng)大的數(shù)據(jù)庫來支撐。

安勢(shì)信息的清源 (CleanSource) SCA通過收錄數(shù)量龐大、高時(shí)效性的開源軟件打造自己的數(shù)據(jù)庫,同時(shí)結(jié)合多維度的掃描探測(cè)技術(shù)和匹配算法,幫助客戶識(shí)別以各種形式被引入軟件中的開源組件。

在掃描探測(cè)技術(shù)方面,早期,安勢(shì)信息的重心放在代碼片段級(jí)別的、相較細(xì)粒度較高的引擎構(gòu)建上。而現(xiàn)在,清源(CleanSource) SCA已經(jīng)能夠支持組件、文件、代碼片段、直接依賴、間接依賴等掃描,相較之前更為全面。

在數(shù)據(jù)庫方面,安勢(shì)信息通過對(duì)開源軟件的信息進(jìn)行爬取,再進(jìn)行清洗和檢索,不斷對(duì)數(shù)據(jù)庫進(jìn)行打磨,以保證引擎使用數(shù)據(jù)的準(zhǔn)確性。之后,引擎再根據(jù)數(shù)據(jù)庫的信息進(jìn)行對(duì)比,通過匹配規(guī)則告知客戶開源軟件可能存在的安全與合規(guī)風(fēng)險(xiǎn)。近半年里清源(CleanSource) SCA數(shù)據(jù)庫中組件版本信息已經(jīng)從1.4億上升到1.7億,代碼片段指紋也從2萬億增加到3萬億。安勢(shì)信息近期構(gòu)建了兼具學(xué)術(shù)和實(shí)踐經(jīng)驗(yàn)的數(shù)據(jù)挖掘團(tuán)隊(duì),通過NLP等人工智能方式幫助進(jìn)行自動(dòng)化的數(shù)據(jù)清洗和數(shù)據(jù)挖掘,進(jìn)一步提升數(shù)據(jù)庫的準(zhǔn)確性與更新速度。

在易用性方面,清源(CleanSource) SCA如今可提供更為豐富的API接口和插件,方便用戶和更多的DevOps工具打通。

SCA工具之外,安勢(shì)信息當(dāng)前也在推進(jìn)SAST(靜態(tài)應(yīng)用程序安全測(cè)試,也稱為白盒測(cè)試)產(chǎn)品線的研發(fā)。談及如此設(shè)計(jì)產(chǎn)品線的思路,薛植元表示,SCA意在幫助客戶發(fā)現(xiàn)自己所使用的開源組件中的安全性問題,SAST則能幫助客戶檢測(cè)自研代碼中的缺陷與安全問題。這意味著,這兩款產(chǎn)品的結(jié)合,可以覆蓋企業(yè)構(gòu)建軟件過程中的大部分代碼安全問題。從全球市場(chǎng)來看,SAST和SCA也是市場(chǎng)空間最大的開發(fā)安全產(chǎn)品品類。

和SCA產(chǎn)品類似,目前占據(jù)優(yōu)勢(shì)的SAST產(chǎn)品也主要來自國(guó)外廠商。近年借力國(guó)產(chǎn)化趨勢(shì),國(guó)內(nèi)也出現(xiàn)了不少SAST廠商,但產(chǎn)品能力大多和國(guó)外同業(yè)相比仍存在較大差距,這也給安勢(shì)信息提供了市場(chǎng)切入機(jī)會(huì)。當(dāng)前安勢(shì)信息已搭建十余人的團(tuán)隊(duì)推進(jìn)這一產(chǎn)品的研發(fā),核心人員不僅擁有985院校的博士或碩士學(xué)位,且有相關(guān)領(lǐng)域高質(zhì)量學(xué)術(shù)論文的發(fā)表和深度項(xiàng)目開發(fā)經(jīng)驗(yàn)。該產(chǎn)品計(jì)劃于明年正式發(fā)布第一個(gè)版本。開發(fā)語言支持的深度及廣度是SAST產(chǎn)品的核心指標(biāo)之一,安勢(shì)將從C/C++語言出發(fā),最終覆蓋二十余種主流開發(fā)語言。

國(guó)內(nèi) ToB 產(chǎn)品的商業(yè)化之路一直以來充滿挑戰(zhàn),安勢(shì)信息的清源(CleanSource) SCA 在商業(yè)化的第一年就成功服務(wù)眾多垂直領(lǐng)域的頭部企業(yè)。在商業(yè)模式上,清源(CleanSource) SCA采用訂閱模式,并可根據(jù)不同企業(yè)的規(guī)模提供適合的定價(jià)模式。未來,安勢(shì)信息的SAST產(chǎn)品也將采用訂閱模式收費(fèi)。

團(tuán)隊(duì)方面,安勢(shì)信息總裁薛植元曾任Checkmarx大中華區(qū)總經(jīng)理,也是原Synopsys SIG大中華區(qū)業(yè)務(wù)負(fù)責(zé)人,主導(dǎo)過各類DevSecOps工具在中國(guó)的產(chǎn)業(yè)化落地。另外,今年安勢(shì)信息也引入了多名來自阿里、華為、OPPO、百度,以及曾就職于專業(yè)軟件供應(yīng)鏈廠商的高管,和十余海內(nèi)外名校博士、碩士的加入,幫助提升數(shù)據(jù)處理以及工程化能力,以及推進(jìn)SAST產(chǎn)品線的研發(fā)。

本輪領(lǐng)投方微智數(shù)科的創(chuàng)始合伙人郭欣表示:"開源對(duì)軟件世界的貢獻(xiàn)越來越大,同時(shí)也帶來了軟件供應(yīng)鏈的風(fēng)險(xiǎn),過去幾年因軟件供應(yīng)鏈引發(fā)的安全問題與合規(guī)問題呈指數(shù)級(jí)增長(zhǎng),軟件供應(yīng)鏈安全需求迫在眉睫。安勢(shì)信息是我們?cè)谠擃I(lǐng)域看到的能力極為全面的公司,在成立僅一年的時(shí)間便推出了完全自主研發(fā)的具備代碼片段識(shí)別能力SCA產(chǎn)品,成功PK海外廠商,簽約眾多最頭部的互聯(lián)網(wǎng)與科技公司。

公司創(chuàng)始團(tuán)隊(duì)兼具全球化視野與本地化落地的豐富經(jīng)驗(yàn),對(duì)軟件供應(yīng)鏈安全有著深刻的洞察,相信未來不斷推出的優(yōu)秀產(chǎn)品能讓安勢(shì)信息邁上一個(gè)個(gè)新的臺(tái)階,成為具有國(guó)際影響力的軟件供應(yīng)鏈安全公司。"

消息來源:上海安勢(shì)信息技術(shù)有限公司
China-PRNewsire-300-300.png
全球TMT
微信公眾號(hào)“全球TMT”發(fā)布全球互聯(lián)網(wǎng)、科技、媒體、通訊企業(yè)的經(jīng)營(yíng)動(dòng)態(tài)、財(cái)報(bào)信息、企業(yè)并購(gòu)消息。掃描二維碼,立即訂閱!
collection