訪問原網址
36氪獲悉,智能模糊測試技術提供商「安般科技」獲得超億元A輪融資,硅港資本和上海東方證券創新投資有限公司聯合領投,名川資本和中南資本跟投。
「安般科技」成立於2018年12月,提供軟件全流程負面測試產品和解決方案,當前產品線主要包括模糊測試和軟件供應鏈安全兩大類。
軟件本身的缺陷及其帶來的災難性後果無法被忽視。據統計,2020年美國不良軟件質量損失(CPSQ)約為 2.08 萬億美元,其中軟件缺陷造成的損失高達 1.56 萬億美元。近年來我國軍工、金融、汽車等多個行業也陸續出台了與軟件質量相關的強制性標準和政策。但如今動輒數億行的代碼規模已無法僅依賴現有的測試手段去對其充分測試從而保障質量。
模糊測試的重要性由此凸顯。模糊測試作為一種負面測試技術,早在1989年即被提出,它是利用自動或半自動的方法,不斷地向被測程序提供非預期輸入並監控輸出異常來發現軟件缺陷的方法。在過去幾十年經歷了“完全隨機”、“基於模板”、“基於文法”幾個階段的發展,2014年AFL提出,可以對軟件內部狀態的監控,以此實現智能化模糊測試。
在海外,模糊測試已經成為非常重要的測試手段:以Google、Microsoft為代表的巨頭已經大量使用模糊測試技術;美國國防部在其2019年的年度國防方案HR5515曾大篇幅的要求美國空軍等關鍵系統強制使用模糊測試技術;2021年發布的EO 14028總統行政命令更是將模糊測試作為各行業軟件最低發布標準。
在類似的法規要求下,海外已經出現了一些專註智能模糊測試技術服務的新興獨角獸企業:例如在2018年左右開始進入模糊測試賽道的美國公司ForAllSecure,於2020年5月僅針對美國空軍某一個部隊就簽下一筆4500萬美元為期三年的訂單;又如成立於2018年的德國公司Code Intelligence,已成功在多個無人駕駛領域和工業場景落地模糊測試技術。
「安般科技」認為,他們是世界範圍內最早一批從事模���測試技術商業化落地的企業,在技術和產品上與國外同行相差無幾。目前「安般科技」有五個測試系統產品:
企業供圖
易恆智能模糊測試系統:針對C/C++(Linux)和Java源碼的模糊測試工具,能夠發現近百種與程序健壯性和安全性相關的缺陷。易恆能夠無縫嵌入CI流程,在開發階段,提供透明化、自動化測試服務,協助開發人員挖掘、定位、復現和修復缺陷;在集成測試階段,利用人工智能技術,幫助測試人員快速生成海量有效測試用例,發現程序缺陷並大幅提升測試覆蓋率;實踐表明,易恆智能模糊測試系統可以有效提升程序健壯性,保障程序發布質量,是企業DevQualOps最佳實踐的重要工具。
易偵協議模糊測試系統:通用的自動化協議模糊測試工具,支持數十種常用協議,能夠快速識別協議軟件中的缺陷和0day漏洞。易偵支持黑盒測試和全數字仿真測試兩種測試方式,黑盒測試場景下無需提供軟件源代碼,通過協議發送變異報文對軟件進行測試,使企業快速進入測試驗收環節。在全數字仿真環境下,通過代碼插樁可以進一步獲取軟件的運行狀況、函數動態調用關係、多種覆蓋率(行覆蓋率、分支覆蓋率、函數覆蓋率、MC/DC)等信息,幫助企業更精準的發現和修復軟件中的缺陷,提升軟件質量。
易察API模糊測試系統:易察是面向API接口的黑盒模糊測試工具,創新性的將模糊測試引入了API測試領域。易察可以自動發現Web應用中的API接口並解析API規範,根據接口間的依賴關係通過模糊測試技術生成海量具有針對性的測試用例,向目標接口發送請求進行測試。不僅可以發現OWASP API Top10等常見漏洞,還可以檢測非法字符串、超出範圍的參數數據、數據類型錯誤、空參數等引起API拒絕服務的問題並自動輸出相應測試報告。
易識固件供應鏈安全管理系統:面向二進制固件的自動化靜態分析工具。 支持十餘種CPU架構、60多種固件格式,內置了19萬條漏洞信息,利用自研的HBinSim-attention算法有效解決了CWE識別低效和準確性不高的業界難題,能夠快速識別200+CWE缺陷。在固件驗收測試和評測中,易識可以分析固件中的加密算法,識別明文用戶名密碼等敏感信息、開源組件及許可協議,查找固件中的CVE/CNNVD漏洞,挖掘CWE缺陷。幫助用戶識別固件中的安全風險和法律風險。
SCA源代碼��分分析系統:面向源代碼的自動化靜態分析工具。從設計階段到發布階段,識別CVE/CNNVD安全漏洞,梳理研發過程中的軟件物料清單(SBOM),解決開源治理過程中的安全和合規問題。使用自主研發的新一代指紋識別技術,支持600多種開發語言,通過構建識別、組件識別、文件識別和代碼片段識別技術,多維度識別引入的開源組件,單個文件掃描僅需20ms;系統內置超過2萬億行開源代碼、1億2千萬組件信息、500億文件信息、2000多種許可證類型及19萬條漏洞信息。
技術能力方面,「安般科技」創新性地設計了一套支持異構引擎大規模併發測試的通用模糊測試框架ABFuzz。該框架首次引入細粒度多引擎融合技術,能夠持續整合多種模糊測試引擎,共同提升模糊測試的效率和效果。其自主研發的通用模糊測試引擎ABFast,融合了符號執行和污點分析等相關程序分析技術,具備更強的路徑探索能力;同時,ABFast的增強學習算法可以基於用戶以往的測試記錄進行自我強化,在使用過程中變的越來越“聰明”,更高效地發現被測程序的缺陷。在同等測試條件下,ABFast比AFL/AFL++引擎在缺陷發現數量方面提升300%以上 ,在LAVA-M測試集上,測試效果同樣大幅超越其他開源引擎。
據「安般科技」描述,其系列產品累計在數十個開源項目中找到上百個0day漏洞。
市場方面,「安般科技」以上海總部為中心,在北京、西安、成都等一、二線城市設有研發中心和分支機構,累計服務過上百家政府軍工、信創軟件、工業控制、智能汽車等多領域客戶。據「安般科技」描述,其與信創、汽車、軍工領域內多個權威機構成立聯合負面測試中心並參與制定了多個軟件安全及模糊測試相關的國家及行業標準。
團隊方面,「安般科技」創始成員來自中國科學院和上海科技大學,目前團隊規模近100人,其中80%以上團隊成員為研發人員,此前曾在中國科學院、中電科、摩托羅拉、騰訊等研究院所及企業的安全、測試和研究部門。
據悉,本輪融資資金將主要用於進一步提升技術壁壘、加速產品系列優化和垂直行業的規模化落地、組建金融和汽車事業部以及提升品牌影響力等工作。
投資觀點
硅港資本
硅港資本創始合伙人何欣表示:“硅港資本非常榮幸可以領投安般科技。智能模糊測試技術應用十分廣泛,包括源代碼、API接口、通訊協議、數據庫系統等。隨着汽車智能化、工業及基礎軟件國產化、強制測試的行業標準推廣等因素,智能模糊測試迎來行業爆發性機會。 安般科技是國內首家將智能模糊測試技術商業化的公司,旗下多款智能模糊測試工具已應用到了國防軍工、軟件測評中心、汽車、金融和信創等多個行業,幫助用戶大幅縮短開發周期,顯著優化產品質量。我們相信安般科技是基礎軟件領域的千里馬,肩負產業使命,為提升各行各業軟件產品質量保駕護航!”
東證創新投
東證創新投表示:“金融行業尤其是從事金融市場交易的機構最擔心的就是系統的死機宕機,哪怕是短時間的,對金融機構來說都是重大的生產安全事故,由此造成的經濟損失和聲譽損失都是無法估量的。 安般科技的智能模糊測試系列產品作為新一代的自動化負面測試工具,除了具有傳統測試方法的功能外,更可以發現軟件的缺陷和系統運行時的薄弱點,從而有效避免系統死機宕機所導致業務停擺的生產安全事故,準確地解決了金融行業、自動駕駛、航空航天和半導體芯片等對系統連續穩健運行有強烈需求的行業痛點,具有重大的革命性的經濟價值和戰略意義。 安般科技的智能模糊測試產品有效提升測試效率和降低測試成本;另一方面,也是測試敏捷化的有利支撐,通過測試左移與DevOps平台無縫對接,提前在研發側解決系統漏洞和缺陷,這也提升了軟件研發效率。安般科技在模糊測試產品標準化落地方面也是領先於市場的,使用門檻較低,可以為軍工、能源、金融和汽車等各行業軟件研發機構賦能,構建質量門禁,提升軟件質量水平。”
名川資本
名川資本創始合伙人王求樂表示:“軟件代碼的複雜性正呈幾何級發展,單靠人工測試已無法解決軟件的功能性、穩定性和可靠性難題。安般產品的程序化和智能化的自動測試能力,極大地提高了軟件行業的測試效率,豐富了軟件研發流程,優化了代碼生產能力,為我國各行業軟件開發者提供了高質量的新選擇,填補了不少空白。名川資本深耕2B軟件賽道,投資了眾多高壁壘2B軟件,作為擁有近十年軟件系統調測經驗的老兵,安般幾乎是我投資生涯做決策時最無懸念的軟件企業。”
中南資本
中南資本董事長李人潔表示:“在軟件敏捷開發和安全左移的大背景下,企業亟需高效的全流程開發安全測試產品體系以保證軟件安全。安般專註於模糊測試領域,在打磨DevOps全流程軟件測試系列產品的同時,已在大量頭部客戶中積累了成功案例及良好的口碑,對於我國軟件開發安全和軟件質量的提升具有深遠意義。 ”
媒體報道
- 億歐 創業邦 36Kr