蜚语安全完成Pre-A轮融资

安全419了解到，软件供应链安全厂商蜚语安全已于近期完成Pre-A轮的融资。本轮融资的投资方为红华繁星网安天使基金，由航行资本担任独家财务顾问。

自新冠疫情爆发以来，与软件供应链安全相关的安全事件频发，对用户隐私、财产乃至国家安全都造成了重大威胁。因此，软件供应链安全问题越来越受到国家、企业的重视。我国针对这一问题颁布了许多法案，比如《国家网络空间安全战略》指出，需要重视软件安全，加快安全可信产品推广应用；《网络安全产业高质量发展三年行动计划（2021-2023年）》提出加快发展源代码分析、组件成分分析等软件供应链安全工具；《关键信息基础设施安全保护条例》也对软件供应链安全提出了重点关注，明确指出运营者应当优先采购安全可信的网络产品和服务。然而在云原生这一大背景下，软件的开放程度加大、开发流程的复杂化，使得保障软件供应链安全的难度进一步提高。

上海蜚语信息科技有限公司成立于2019年，以高精度，自动化的静态代码扫描工具Corax切入软件供应链安全市场，解决代码中存在的质量与安全问题。蜚语安全的创始人束骏亮博士表示，“在国内，这个话题会更加严峻。过去国内的软件产业主要集中在做上层的应用程序，对质量与安全问题的关注程度不高。但是随着国际关系的变化，国产底层硬件与基础软件正成为国家的重点发展目标，对于与这些领域相关的软件产品，一旦出现任何安全与质量问题都会带来致命的影响，在这样的背景下下国内软件所面临的安全与质量压力就更大了”。

在国外的软件供应链安全体系内，有很多自动化的工具来解决代码中存在的问题，比如静态代码分析工具（SAST），交互式应用安全测试工具（IAST），动态测试工具（DAST），模糊测试（FUZZ）等等。据Pitchbook等外媒统计，2022年全球DevSecOps市场规模在60亿美金左右，未来5-10年复合增长率达到30%+，其中静态代码分析工具（SAST）占据了最大的一块市场，占比超过40%。然而这类工具在国内的渗透率却迟迟无法提升。

蜚语安全团队希望通过自己十多年对程序分析技术的积累以及对现实中实际安全漏洞的深刻理解，来突破国内静态代码分析工具的使用瓶颈：

束骏亮博士表示，“静态代码分析工具只需要接触源代码即可完成分析。这样的天然优势给予了静态代码分析类工具更广阔的市场空间，使得静态代码分析类工具更有可能成为走向研发者市场，成为一类具备普适性的研发效能工具。我们希望更多的研发人员可以使用到这一类的产品，而不是成为研发人员的负担”。

目前蜚语安全已有两款主打产品，分别是Corax（静态代码分析工具）与Stork（软件成分分析工具）。在未来，蜚语安全将会不断打磨自己的产品，覆盖更多的使用场景，优化分析引擎，从而提高产品能力。作为客户之一的长亭科技表示，“开发安全从目前来看，国内整体上来说做的都还没有特别好的厂商出现，如果蜚语能扩展好，在静态分析技术上做深耕的话，这个领域前景是非常好的”。

蜚语安全的核心技术团队来自上海交通大学 GoSSIP 软件安全研究组，具备软件安全全栈式能力，研究成果获得过上海市科技进步一等奖。他们深耕软件安全、漏洞攻防与程序分析领域，曾发表多篇国际顶会论文，也曾参与组建0ops战队，多次获得国内外CTF竞赛冠军，包括被誉为“黑客世界杯”之称的DEFCON CTF。

此外，蜚语也在探索自动化代码修复的领域。蜚语安全的CTO杨文博博士表示，“通过从检测过程中保留下文本敏感的信息，并且结合修复的一些模式一起去提示到用户，这样用户的体验会更好。甚至可以做到类似于一键修复的程度，这是可能的”。通过在IDE侧赋能研发人员，蜚语团队正在尝试实现自动化的安全代码生成和修复，让安全无感，使“左移”更进一步。