36 氪获悉,专注于软件组成分析(SCA: Software Composition Analysis,以下或简称 SCA)的「安势信息」已于日前完成天使轮融资。据了解,本轮融资金额在数千万元级别,投资方为晨壹投资。
「安势信息」成立于 2021 年 6 月,专注于打造软件供应链安全平台,当前主要希望帮助企业客户应对开源软件中存在的安全以及合规问题。软件产品的生命周期包括设计、生产、交付、部署、使用及运营、停止等阶段。因此这一生命周期中所涉及的安全问题(尤其是生产、交付等环节的安全问题),是软件供应链安全关注的重点对象。
具体而言,软件的生产阶段涉及产品的开发、集成、构建等,此阶段的供应链安全问题主要包括三类:第一类是针对软件生产要素的攻击,即攻击者利用安全漏洞等修改编码环境、源码库等开发工具,或软件自身植入恶意代码,并在用户下载使用后产生安全风险;第二类是开发者未经安全测试而直接使用第三方软件,特别是开源组件,这会在给产品带来安全风险的同时引入法律风险;第三类是软件产品构建时,开发人员在编译和链接、产品容器化、打包等过程中,使用的工具或产品对象本身被污染或恶意修改而带来安全风险。按安全行业内的细分,软件供应链安全首先关注软件在构建时的安全问题,属于应用安全。同时其在更细分的领域也属于开发安全,也和时下讨论较多的 DevSecOps 有所关联。
尤其在最近,开源软件的安全问题随着去年年底发生的 Log4j2 漏洞事件而更引起世界级范围的广泛关注,「安势信息」的第一款产品亟希望从软件组成分析(SCA)的角度切入,帮助企业解决使用开源软件/组件时可能存在的安全威胁和合规问题。
公司创始人兼总裁薛植元向 36 氪介绍,过去国内已有不少大型企业重视软件供应链中开源组件的安全和合规问题。不过出于市场产品成熟度方面的考虑,它们会主要采购国外公司(如 Synopsys、Snyk 等)的产品。但近年来随着国际宏观环境的变化,软件组成分析(SCA)工具也产生了国产替代趋势,「安势信息」的定位即是顺应这一需求,为客户提供能满足其业务诉求的高端 SCA 类产品。
谈及打造产品和解决方案的具体思路,薛植元表示,其将开源软件供应链管理的难点总结为三点——People、Process 和 Technology(简称 PPT)。其中,技术是影响产品打造的一个重点。在这个方面,首先开源软件的庞杂性较强,「安势信息」需要收录数量庞大、高时效性的开源软件打造自己的数据库;第二,公司还需要打造全面且深入的扫描引擎,用以识别以各种形式被引入软件中的开源组件。
具体在数据库的积累方式上,当前「安势信息」使用专门的团队进行开源软件信息的爬取、数据的清洗及检索,以此在源头上保证引擎所需数据的准确性。而在扫描引擎的打造过程中,其还需要尽可能识别出几乎所有形式的开源引入——比如完整引用开源组件进行修改后进行二次分发,和复制开源组件中的部分代码,以及开源组件彼此之间互相依赖的引入等,这些不同的引入方式需要的是不同细粒度的扫描引擎。
当前,「安势信息」的重心会放在代码片段级别的、相较细粒度较高的引擎构建上。而构建代码片段级别的引擎,需要做到精准度与效率的结合。首先,由于代码片段细腻的细粒度,检测时可能会检测出不少由于简单调整字符串、大小写、注释等原因出现的疑似引入,这意味着引擎匹配规则要尽可能精确、剔除干扰项,同时需要依赖尽可能全面、精准的代码片段的数据库,从而中进行精准的开源组件匹配。
另一方面,由于代码片段较多,所以需要检测的内容也会非常多,如何提升检测效率也成为第二个需要解决的问题。目前在这两点上,「安势信息」的数据库已经覆盖 2 万亿行开源代码、2000 种许可证类型、17 万漏洞信息、1.4 亿组件信息等。而针对效率问题,其也通过打造相关算法的方式,达到扫描单个文件只需 20 微秒的效果。
在具体落地场景上,通过代码片段级别的扫描引擎结合全新的构建依赖识别扫描引擎,可以形成包括项目许可、组件许可证、版本、漏洞、直接依赖和间接依赖组件关系的软件物料清单(SBOM),既可以用于防范软件供应链中存在的漏洞、后门等,同时也能进行开源许可合规治理。
可以看出,「安势信息」当前的 SCA 产品至少可以用在上述两个场景中。但薛植元从长期的从业经历中发现,对 SCA 类产品表现出重视的客户,往往更注重这类产品的知识产权合规作用。尤其在出海场景下,高科技企业往往需要满足 Global 市场的合规性要求,开源软件的合理使用就是其中一个不可避免的考量点。具体而言,开源软件的修改、分发经常涉及不同许可证的不同要求,不遵守这些要求会使企业的产品和业务陷入不合规的巨大风险之中。对比之下,虽然开源软件已经在国内广为使用,但不少开发人员法律方面意识较为薄弱,企业也缺少开源合规方面的专业人才,这时就会体现出企业采买 SCA 类产品的价值。
并且薛植元还强调,虽然眼下不少企业的出海业务由于环境因素而受到更多挑战,但也正因此,包括开源软件安全在内的合规需求也成为刚需。当前,「安势信息」一方面将持续加强合规分析引擎的技术突破,同时积极推进与大型企业、国内外权威行业机构、律所以及相关组织的合作,进行开源软件协议的合规性研究和解读,让自身的产品更能满足企业日益增长的合规性需求。
总体而言,「安势信息」所主打的客户对象,正是具有强烈合规诉求的高科技、互联网等客户群体。另外,随着金融业对开源软件的使用日趋规范化,银行等金融客户也将是公司的主要客户类型。
在商业化进程上,公司的 SCA 产品「清源 CleanSource」于去年 10 月底发布,如今已有多家来自互联网、半导体及汽车等行业客户的合作意向,其中一些已进入具体商务洽谈阶段。
团队方面,「安势信息」总裁薛植元曾任 Checkmarx 大中华区总经理,也是原 Synopsys SIG 大中华区业务负责人,参与国内各项 DevSecOps 标准制定。「安势信息」的核心团队成员主要来自华为、中兴、OPPO、Synopsys 等企业,均具有多年行业背景,在软件安全领域经验丰富。
本轮融资之后,公司将持续进行产品打磨和相关人才梯队的建设,同时加速商业化落地探索。
关于此次投资,晨壹投资董事姜晓山表示:软件正在吞噬世界,而开源正在吞噬软件。越来越多企业开始关注如何解决混源开发模式下的软件供应链风险问题。安势信息以 SCA 技术切入,围绕 DevSecOps 流程打造具备一定特色的端到端的解决方案。凭借团队多年的技术和经验积累,获得多家头部企业认可,作为天使投资人,我们将和安势一起持续输出高质量产品及解决方案。