訪問原網址
36氪獲悉,安全初創廠商「雲起無垠」於今日正式對外宣布完成天使輪融資。據介紹,本輪融資金額在數千萬元級別,綠洲資本獨家投資。
雲起無垠成立於2021年7月,定位為新一代智能模糊測試技術提供商,希望通過Fuzzing(模糊測試)技術,為企業的整個軟件生命開發周期提供助力,從開發環節即幫助企業提升整體安全能力。
從技術分類角度出發,Fuzzing在廣義上被划入開發安全範疇,是一種針對軟件��全的自動化測試方法。概括而言,其核心理念是通過向目標系統提供海量的非預期輸入,並通過監控與捕捉異常結果來找到更多的未知安全問題。
從行業角度而言,過去相對更被熟知的開發安全工具是AST,主要包括靜態應用程序安全測試(SAST)、動態應用程序安全測試(DAST)、交互式應用程序安全測試(IAST)。對比之下,Fuzzing技術過去多出現在學術領域 ,國內少見獨立廠商。但36氪觀察到,自2020年左右開發安全在國內愈發被重視,主攻不同安全測試工具的公司也隨之增多,和AST對標的Fuzzing同樣也浮現出一些國內廠商。
雲起無垠正是其中一家。公司創始人兼CEO沈凱文表示,其在此時間點選擇Fuzzing作為創業方向主要有以下幾個原因:
首先對於行業格局而言,隨着市場需求的變化,國內安全行業近年來更受客戶和資本認可。其中,開發安全已逐步成為客戶完成安全基礎建設后的下一個建設重點。此外,Fuzzing近年在產業側的推廣與落地給了初創公司更多信心。目前在國際上,Fuzzing已被應用到 Google、Microsoft、美國國防部 (DoD)等頭部機構,側面說明Fuzzing技術擁有較高成長潛力。而且,沈凱文還覺得,Fuzzing技術的發展與落地使真正的代碼安全自動化測試成為���能。比如,智能覆蓋引導技術的融入大幅度提升了Fuzzing技術的細粒度測試效率與效果。
另從客戶需求迭代的角度來看,沈凱文表示,此前客戶多用AST類產品,但此類產品只能找到Web場景中的問題,而Fuzzing技術還可以拓展至API、協議、數據庫等更多場景。並且,與傳統測試技術相比,Fuzzing技術不僅能夠發現已知(1 day)漏洞,還能通過自動化技術挖掘更多的未知(0 day)漏洞。其本質的原因在於Fuzzing做軟件安全測試時,整體的粒度會更細,測試點會更多,判斷位置也會更精準。
他進一步介紹,模糊測試技術可通過模版生成或流量提取的方式自動化得到海量優質的測試種子。在測試過程中,模糊測試技術還可通過軟件覆蓋率反饋機制,智能地指導測試種子往優秀的方向變異。另值得一提的是,模糊測試還會通過觀測程序控制流圖(CFG)來判定內存破壞漏洞。這種基於系統底層邏輯的漏洞檢測方法,也使得任何細微的漏洞都可以被及時發現。“這會讓更多的客戶關注到Fuzzing的應用價值,從而給Fuzzing創業提供更大的市場空間。”沈凱文說。
然而從落地來看,將Fuzzing從技術轉化為產品,在國內還處於早期階段。
在代碼安全自動化測試技術領域,沈凱文表示,Fuzzing技術無疑是近幾年網絡安全四大頂級學術會議中最熱門的研究方向。通過學者們的不斷研究,目前Fuzzing在科研層面已經成熟。
但另一方面,產業界長期仍缺乏簡單易用的產品。這意味着,當前市場上雖然有更多客戶意識到Fuzzing的價值,但由於缺乏Fuzzing專業知識與落地經驗,普通客戶很難只基於開源的學術Fuzzing框架來進行代碼自動化測試。比如從產品易用性來看,開源Fuzzing版本也缺少UI界面與用戶報告等基本模塊,這使得普通客戶難以將這些開源Fuzzing框架應用到日常工作任務中。總之,沈凱文覺得即便Fuzzing技術的優越性已在學術界得到認可,而由於Fuzzing自身的高技術門檻,“開箱即用”型模糊測試產品成為市場剛需。
在行業客戶畫像上,雲起無垠主要服務兩類客戶:第一類是對代碼安全漏洞容忍度很低的企業,比如汽車、Web 3.0、工業控制、軍工和航空航天等。這類客戶的產品一旦出現問題,往往會造成巨大的產品召回損失。所以,它們對產品的安全性要求非常高,願意投入大量資金來購買軟件安全自動化檢測工具。第二類是DevOps客戶,包括金融、互聯網企業等。這類客戶往往有着海量快速迭代的代碼,人工代碼審計完全不能跟上開發的速度。為了確保業務安全的快速迭代,自動化安全檢測是它們的剛需。
當前,雲起無垠正在逐步建立更為全面的產品矩陣——針對“開發、測試、部署、運維”各階段,其提供基於Fuzzing技術的模糊測試產品,主要包括黑盒Fuzzing測試、灰/白盒Fuzzing盒測試。其中,前者主要覆蓋開發、測試階段,後者可覆蓋開發、測試、部署、運維階段。在推廣邏輯上,伴隨着和客戶間信任度的提升,雲起無垠可以從提供黑盒Fuzzing測試產品,拓展到灰/白盒Fuzzing測試,進而提升自身產品在客戶處的覆蓋面和效果。在使用場景上,這些產品主要落在協議、API、數據庫、Web3.0等場景。
總體而言,沈凱文認為Fuzzing領域的創業不僅需要技術能力,還需要對客戶的深入理解。對此,他表示雲起無垠的核心競爭力之一在於其已經建立起具備產學研一體化能力的團隊。整體來看,雲起無垠的創始團隊分別來自清華大學、北京郵電大學、海外頭部高校及一線互聯網廠商。技術團隊成員多次在 DEFCON CTF、HITCON CTF、GEEKPWN 等世界國際頭部網絡安全競賽中獲獎,並在網絡安全四大學術會議和工業會議 Blackhat USA 發表多篇論文及演講。公司銷售團隊核心成員具備8年以上銷售及管理經驗,客戶群覆蓋車聯網、金融、互聯網和運營商等重要行業。創始人沈凱文是清華大學網絡空間安全博士,也是藍蓮花、Tea Deliverers核心成員,在GeekPwn2019國際安全極客大賽中獲全球第一名,入選”極棒名人堂”。
在近期計劃上,雲起無垠計劃持續打磨產品,並進行客戶推廣。
關於投資:
綠洲資本表示:“作為新一代Fuzzing(模糊測試)技術先鋒,雲起無垠捕捉未知,服務企業軟件全生命開發周期。其創始團隊具備產學研一體的特點,能夠抓住市場痛點,實現技術落地。綠洲很期待與雲起無垠一起,實現其對產業發展的延展性。”
媒體報道
- 36Kr 投資界 投中網
相關事件
- 定位新一代智能模糊測試技術提供商,「雲起無垠」宣布完成數千萬元天使輪融資 2022-09-14
- 安般科技獲超億元A輪融資 2022-08-16
