共计 2665 个字符,预计需要花费 7 分钟才能阅读完成。
36 氪获悉,专一于软件组成剖析(SCA: Software Composition Analysis,以下或简称 SCA)的「安势信息」已于日前实现天使轮融资。据理解,本轮融资金额在数千万元级别,投资方为晨壹投资。
「安势信息」成立于 2021 年 6 月,专一于打造软件供应链平安平台,以后次要心愿帮忙企业客户应答开源软件中存在的平安以及合规问题。软件产品的生命周期包含设计、生产、交付、部署、应用及经营、进行等阶段。因而这一生命周期中所波及的平安问题(尤其是生产、交付等环节的平安问题),是软件供应链平安关注的重点对象。
具体而言,软件的生产阶段波及产品的开发、集成、构建等,此阶段的供应链平安问题次要包含三类:第一类是针对软件生产因素的攻打,即攻击者利用安全漏洞等批改编码环境、源码库等开发工具,或软件本身植入恶意代码,并在用户下载应用后产生平安危险;第二类是开发者未经平安测试而间接应用第三方软件,特地是开源组件,这会在给产品带来平安危险的同时引入法律危险;第三类是软件产品构建时,开发人员在编译和链接、产品容器化、打包等过程中,应用的工具或产品对象自身被净化或歹意批改而带来平安危险。按平安行业内的细分,软件供应链平安首先关注软件在构建时的平安问题,属于利用平安。同时其在更细分的畛域也属于开发平安,也和时下探讨较多的 DevSecOps 有所关联。
尤其在最近,开源软件的平安问题随着去年年底产生的 Log4j2 破绽事件而更引起世界级范畴的宽泛关注,「安势信息」的第一款产品亟心愿从软件组成剖析(SCA)的角度切入,帮忙企业解决应用开源软件 / 组件时可能存在的平安威逼和合规问题。
公司创始人兼总裁薛植元向 36 氪介绍,过来国内已有不少大型企业器重软件供应链中开源组件的平安和合规问题。不过出于市场产品成熟度方面的思考,它们会次要洽购国外公司(如 Synopsys、Snyk 等)的产品。但近年来随着国内宏观环境的变动,软件组成剖析(SCA)工具也产生了国产代替趋势,「安势信息」的定位即是适应这一需要,为客户提供能满足其业务诉求的高端 SCA 类产品。
谈及打造产品和解决方案的具体思路,薛植元示意,其将开源软件供应链治理的难点总结为三点——People、Process 和 Technology(简称 PPT)。其中,技术是影响产品打造的一个重点。在这个方面,首先开源软件的庞杂性较强,「安势信息」须要收录数量宏大、高时效性的开源软件打造本人的数据库;第二,公司还须要打造全面且深刻的扫描引擎,用以辨认以各种模式被引入软件中的开源组件。
具体在数据库的积攒形式上,以后「安势信息」应用专门的团队进行开源软件信息的爬取、数据的荡涤及检索,以此在源头上保障引擎所需数据的准确性。而在扫描引擎的打造过程中,其还须要尽可能辨认出简直所有模式的开源引入——比方残缺援用开源组件进行批改后进行二次散发,和复制开源组件中的局部代码,以及开源组件彼此之间相互依赖的引入等,这些不同的引入形式须要的是不同细粒度的扫描引擎。
以后,「安势信息」的重心会放在代码片段级别的、相较细粒度较高的引擎构建上。而构建代码片段级别的引擎,须要做到精准度与效率的联合。首先,因为代码片段细腻的细粒度,检测时可能会检测出不少因为简略调整字符串、大小写、正文等起因呈现的疑似引入,这意味着引擎匹配规定要尽可能准确、剔除烦扰项,同时须要依赖尽可能全面、精准的代码片段的数据库,从而中进行精准的开源组件匹配。
另一方面,因为代码片段较多,所以须要检测的内容也会十分多,如何晋升检测效率也成为第二个须要解决的问题。目前在这两点上,「安势信息」的数据库曾经笼罩 2 万亿行开源代码、2000 种许可证类型、17 万破绽信息、1.4 亿组件信息等。而针对效率问题,其也通过打造相干算法的形式,达到扫描单个文件只需 20 微秒的成果。
在具体落地场景上,通过代码片段级别的扫描引擎联合全新的构建依赖辨认扫描引擎,能够造成包含我的项目许可、组件许可证、版本、破绽、间接依赖和间接依赖组件关系的软件物料清单(SBOM),既能够用于防备软件供应链中存在的破绽、后门等,同时也能进行开源许可合规治理。
能够看出,「安势信息」以后的 SCA 产品至多能够用在上述两个场景中。但薛植元从长期的从业经验中发现,对 SCA 类产品体现出器重的客户,往往更重视这类产品的知识产权合规作用。尤其在出海场景下,高科技企业往往须要满足 Global 市场的合规性要求,开源软件的正当应用就是其中一个不可避免的考量点。具体而言,开源软件的批改、散发常常波及不同许可证的不同要求,不恪守这些要求会使企业的产品和业务陷入不合规的微小危险之中。比照之下,尽管开源软件曾经在国内广为应用,但不少开发人员法律方面意识较为单薄,企业也短少开源合规方面的专业人才,这时就会体现出企业采买 SCA 类产品的价值。
并且薛植元还强调,尽管眼下不少企业的出海业务因为环境因素而受到更多挑战,但也正因而,包含开源软件平安在内的合规需要也成为刚需。以后,「安势信息」一方面将继续增强合规剖析引擎的技术冲破,同时踊跃推动与大型企业、国内外权威行业机构、律所以及相干组织的单干,进行开源软件协定的合规性钻研和解读,让本身的产品更能满足企业日益增长的合规性需要。
总体而言,「安势信息」所主打的客户对象,正是具备强烈合规诉求的高科技、互联网等客户群体。另外,随着金融业对开源软件的应用日趋规范化,银行等金融客户也将是公司的次要客户类型。
在商业化过程上,公司的 SCA 产品「清源 CleanSource」于去年 10 月底公布,现在已有多家来自互联网、半导体及汽车等行业客户的合作意向,其中一些已进入具体商务洽谈阶段。
团队方面,「安势信息」总裁薛植元曾任 Checkmarx 大中华区总经理,也是原 Synopsys SIG 大中华区业务负责人,参加国内各项 DevSecOps 规范制订。「安势信息」的外围团队成员次要来自华为、中兴、OPPO、Synopsys 等企业,均具备多年行业背景,在软件平安畛域经验丰富。
本轮融资之后,公司将继续进行产品打磨和相干人才梯队的建设,同时减速商业化落地摸索。
对于此次投资,晨壹投资董事姜晓山示意:软件正在吞噬世界,而开源正在吞噬软件。越来越多企业开始关注如何解决混源开发模式下的软件供应链危险问题。安势信息以 SCA 技术切入,围绕 DevSecOps 流程打造具备肯定特色的端到端的解决方案。凭借团队多年的技术和教训积攒,取得多家头部企业认可,作为天使投资人,咱们将和安势一起继续输入高质量产品及解决方案。
