软件安全公司「开源网安」已于近日正式宣布完成数千万元A轮融资。本轮融资由松禾资本、匠一基金投资。
据公司介绍,「开源网安」成立于2013年,致力于让企业交付更安全的软件,为软件安全开发提供全方位的服务,包括咨询、培训、解决方案、专业工具及安全服务等。简单理解,传统网络安全解决软件上线后的安全问题,软件安全开发帮助客户提前发现并解决潜在的安全风险。
公司当前为客户提供软件安全开发生命周期 (S-SDLC™) 解决方案、DevSecOps™解决方案、拥有“自主知识产权”的软件安全开发工具链(IAST、SAST、SCA、FUZZ、RASP™)和软件安全开发人才培养课程体系CWASP™。据公司介绍,「开源网安」是可以提供软件安全全产品链的厂商,相关产品可直接替代Gartner Application Security魔力象限的领导者厂商的同类产品。
三大“软件安全开发”抓手
据「开源网安」CMO张宇介绍,当前在企业内部,软件安全开发的落地情况并不理想,其中一个重要原因在于人员——安全人员在企业内部没有足够话语权,而开发人员往往不懂安全,这导致企业的开发与安全处于断裂状态。针对这种情况,「开源网安」设计了包含平台、工具和培训在内的“三大抓手”,分别是S-SDLC™平台、S-SDLC™工具链、CWASP™(软件安全开发)课程培训体系。
首先,S-SDLC™平台是一个集成运营平台,不仅整合了需求分析、威胁建模、安全设计,同时能和IAST、SAST、SCA、FUZZ、RASP™等工具打通,形成软件安全开发统一运营平台。
其次,S-SDLC™工具链包括开源网安灰盒安全测试平台(简称VulHunter)、开源网安代码审核平台(简称CodeSec)、开源组件安全及合规管理平台(简称SourceCheck)、开源网安模糊测试平台(简称SFuzz)、开源网安实时应用自我防护平台(简称RASP™)。
具体展开,开源网安灰盒安全测试平台(简称VulHunter),使用前沿的安全检测技术IAST,在开发、测试环节中,“零干扰”实现自动化的安全测试,并提供完整的数据流、HTTP请求、配置信息等,帮助用户更准确、更高效的检测安全问题。
开源网安代码审核平台(简称CodeSec),可以无缝对接客户的开发环境、代码仓库,帮助客户简单、快速的发现代码中的各类安全与质量问题;支持目前主流的C/C++、Python、Go、Java、C#等40多种语言,并为客户定制自己的代码安全与质量检测报告。
开源组件安全及合规管理平台(简称SourceCheck)则主要用于对第三方组件安全的管控,可满足相关机构的监管,以及企业客户对开源组件安全风险的检测需求,当前「开源网安」的此类工具主要服务大型企业客户。模糊测试平台基于模型智能生成测试用例,高效检测各种软、硬件系统中的未知漏洞,此类产品技术研发门槛较高。实时应用自我防护平台主要通过RASP技术,防护应用上线后的安全风险。
最后,就是培训,主要对甲方的开发人员进行培训,使其具备安全开发能力。
在这些平台的基础上,公司也延伸出了DevSecOps™、软件安全上线检测解决方案,同时也有针对金融、监管机构、汽车、医疗等行业的解决方案,进一步帮助客户完善软件安全开发流程。
公司认为,软件安全开发这一领域要进行商业化,需要以咨询为切入点,再持续提供完整的工具链。大客户的获客成本和服务成本比较高,完整的S-SDLC™工具链能提高其持续购买的可能性。公司介绍,近两年「开源网安」每年营收增长在80%左右,大部分都来自于大客户的购买。
开源网安业务全景图
“软件安全开发”热度攀升
从创投视角来看,可以观察到近年软件安全开发热度正在逐渐攀升。「开源网安」认为这一领域的推动力主要有国产化替代、国产基础软件行业爆发、软件供应链带动及合规性等几点。
以往一些在国内普及的软件安全产品有逐步退出中国市场的趋势,这给国产自主可控产品提供了市场空间。同时,当前国产基础软件处于高速增长阶段,这当中的安全性也会逐步提上日程。再者,由于头部大客户对软件安全的日渐重视,行业内中小客户也在不断接受软件安全理念、产品和服务。并且,政策引导下的合规市场也会给此赛道提供驱动力。
据36氪观察,当前软件安全行业也出现了许多关注度较高的项目,此前我们曾关注过「奇安信」、「爱加密」、「酷德琢木鸟」等等,RASP™领域也曾报道「安百科技」。针对行业竞争,「开源网安」认为,要想在这一领域构建核心竞争力,技术和基因缺一不可,前者是研发产品的基础,后者是真正了解客户、并解决客户诉求的前提。在公司团队方面,「开源网安」团队由来自华为、思科、微软等行业顶级的软件开发安全专家组成,团队核心成员从业经验均为10年以上。
目前,「开源网安」已在金融、能源、政府、监管、通讯、软件、教育等行业积累了大量成功案例,服务客户包括不限于:平安银行、中信银行、微众银行、国信证券、中国石油、国家电网、南方电网、华为、百度、金蝶软件、碧桂园、IBM等大型企业。
据了解,在本轮融资后,公司将继续加大团队建设、产品完善、市场布局、技术研究等,促进公司产品、服务的日趋完善,持续为客户保障软件安全。
如若转载,请注明原文地址