訪問原網址
36氪獲悉,專註於軟件組成分析(SCA: Software Composition Analysis,以下或簡稱SCA)的「安勢信息」已於日前完成天使輪融資。據了解,本輪融資金額在數千萬元級別,投資方為晨壹投資。
「安勢信息」成立於2021年6月,專註於打造軟件供應鏈安全平台,當前主要希望幫助企業客戶應對開源軟件中存在的安全以及合規問題。軟件產品的生命周期包括設計、生產、交付、部署、使用及運營、停止等階段。因此這一生命周期中所涉及的安全問題(尤其是生產、交付等環節的安全問題),是軟件供應鏈安全關注的重點對象。
具體而言,軟件的生產階段涉及產品的開發、集成、構建等,此階段的供應鏈安全問題主要包括三類:第一類是針對軟件生產要素的攻擊,即攻擊者利用安全漏洞等修改編碼環境、源碼庫等開發工具,或軟件自身植入惡意代碼,並在用戶下載使用后產生安全風險;第二類是開發者未經安全測試而直接使用第三方軟件,特別是開源組件,這會在給產品帶來安全風險的同時引入法律風險;第三類是軟件產品構建時,開發人員在編譯和鏈接、產品容器化、打包等過程中,使用的工具或產品對象本身被污染或惡意修改而帶來安全風險。按安全行業內的細分,軟件供應鏈安全首先關注軟件在構建時的安全問題,屬於應用安全。同時其在更細分的領域也屬於開發安全,也和時下討論較多的DevSecOps有所關聯。
尤其在最近,開源軟件的安全問題隨着去年年底發生的Log4j2漏洞事件而更引起世界級範圍的廣泛關注,「安勢信息」的第一款產品亟希望從軟件組成分析(SCA)的角度切入,幫助企業解決使用開源軟件/組件時可能存在的安全威脅和合規問題。
公司創始人兼總裁薛植元向36氪介紹,過去國內已有不少大型企業重視軟件供應鏈中開源組件的安全和合規問題。不過出於市場產品成熟度方面的考慮,它們會主要採購國外公司(如Synopsys、Snyk 等)的產品。但近年來隨着國際宏觀環境的變化,軟件組成分析(SCA)工具也產生了國產替代趨勢,「安勢信息」的定位即是順應這一需求,為客戶提供能滿足其業務訴求的高端SCA類產品。
談及打造產品和解決方案的具體思路,薛植元表示,其將開源軟件供應鏈管理的難點總結為三點——People、Process和Technology(簡稱PPT)。其中,技術是影響產品打造的一個重點。在這個方面,首先開源軟件的龐雜性較強,「安勢信息」需要收錄數量龐大、高時效性的開源軟件打造自己的數據庫;第二,公司還需要打造全面且深入的掃描引擎,用以識別以各種形式被引入軟件中的開源組件。
具體在數據庫的積累方式上,當前「安勢信息」使用專門的團隊進行開源軟件信息的爬取、數據的清洗及檢索,以此在源頭上保證引擎所需數據的準確性。而在掃描引擎的打造過程中,其還需要儘可能識別出幾乎所有形式的開源引入——比如完整引用開源組件進行修改後進行二次分發,和複製開源組件中的部分代碼,以及開源組件彼此之間互相依賴的引入等,這些不同的引入方式需要的是不同細粒度的掃描引擎。
當前,「安勢信息」的重心會放在代碼片段級別的、相較細粒度較高的引擎構建上。而構建代碼片段級別的引擎,需要做到精準度與效率的結合。首先,由於代碼片段細膩的細粒度,檢測時可能會檢測出不少由於簡單調整字符串、大小寫、註釋等原因出現的疑似引入,這意味着引擎匹配規則要儘可能精確、剔除干擾項,同時需要依賴儘可能全面、精準的代碼片段的數據庫,從而中進行精準的開源組件匹配。
另一方面,由於代碼片段較多,所以需要檢測的內容也會非常多,如何提升檢測效率也成為第二個需要解決的問題。目前在這兩點上,「安勢信息」的數據庫已經覆蓋2萬億行開源代碼、2000+種許可證類型、17萬漏洞信息、1.4億組件信息等。而針對效率問題,其也通過打造相關算法的方式,達到掃描單個文件只需20微秒的效果。
在具體落地場景上,通過代碼片段級別的掃描引擎結合全新的構建依賴識別掃描引擎,可以形成包括項目許可、組件許可證、版本、漏洞、直接依賴和間接依賴組件關係的軟件物料清單(SBOM),既可以用於防範軟件供應鏈中存在的漏洞、後門等,同時也能進行開源許可合規治理。
可以看出,「安勢信息」當前的SCA產品至少可以用在上述兩個場景中。但薛植元從長期的從業經歷中發現,對SCA類產品表現出重視的客戶,往往更注重這類產品的知識產權合規作用。尤其在出海場景下,高科技企業往往需要滿足Global市場的合規性要求,開源軟件的合理使用就是其中一個不可避免的考量點。具體而言,開源軟件的修改、分發經常涉及不同許可證的不同要求,不遵守這些要求會使企業的產品和業務陷入不合規的巨大風險之中。對比之下,雖然開源軟件已經在國內廣為使用,但不少開發人員法律方面意識較為薄弱,企業也缺少開源合規方面的專業人才,這時就會體現出企業採買SCA類產品的價值。
並且薛植元還強調,雖然眼下不少企業的出海業務由於環境因素而受到更多挑戰,但也正因此,包括開源軟件安全在內的合規需求也成為剛需。當前,「安勢信息」一方面將持續加強合規分析引擎的技術突破,同時積極推進與大型企業、國內外權威行業機構、律所以及相關組織的合作,進行開源軟件協議的合規性研究和解讀,讓自身的產品更能滿足企業日益增長的合規性需求。
總體而言,「安勢信息」所主打的客戶對象,正是具有強烈合規訴求的高科技、互聯網等客戶群體。另外,隨着金融業對開源軟件的使用日趨規範化,銀行等金融客戶也將是公司的主要客戶類型。
在商業化進程上,公司的SCA產品「清源 Clean Source」於去年10月底發布,如今已有多家來自互聯網、半導體及汽車等行業客戶的合作意向,其中一些已進入具體商務洽談階段。
團隊方面,「安勢信息」總裁薛植元曾任Checkmarx大中華區總經理,也是原Synopsys SIG大中華區業務負責人,參與國內各項DevSecOps標準制定。「安勢信息」的核心團隊成員主要來自華為、中興、OPPO、Synopsys等企業,均具有多年行業背景,在軟件安全領域經驗豐富。
本輪融資之後,公司將持續進行產品打磨和相關人才梯隊的建設,同時加速商業化落地探索。
關於投資:
晨壹投資董事姜曉山表示:軟件正在吞噬世界,而開源正在吞噬軟件。越來越多企業開始關注如何解決混源開發模式下的軟件供應鏈風險問題。安勢信息以SCA技術切入,圍繞DevSecOps 流程打造具備一定特色的端到端的解決方案。憑藉團隊多年的技術和經驗積累,獲得多家頭部企業認可,作為天使投資人,我們將和安勢一起持續輸出高質量產品及解決方案。
媒體報道
- 36Kr 創業邦 投資界
相關事件
- 打造軟件供應鏈安全平台,「安勢信息」完成數千萬元天使輪融資 2022-05-06
- “孝道科技”完成數千萬元的首輪融資 2022-02-10
- Linux基金會籌集千萬美元以擴展和支持OpenSSF 2021-10-13
