上海2022年12月26日 /美通社/ -- 近日，專注軟件(jian)供應鏈安全的「安勢信息」宣(xuan)布已完(wan)成Pre-A輪(lun)融資(zi)。本輪(lun)融資(zi)金額(e)在數千(qian)萬元級(ji)別，領投(tou)方(fang)為微智數科，晨壹投(tou)資(zi)跟投(tou)，山景資(zi)本擔任(ren)獨家財務顧問。

安勢信息(xi)成立于2021年6月，專注于打造軟(ruan)件供應鏈安全平臺，目前主(zhu)要幫助企業客戶應對開源(yuan)軟(ruan)件中存在的(de)安全以(yi)及合規問(wen)題。

談及開源(yuan)軟(ruan)件的(de)(de)安全(quan)問題，一個里程碑事件是2021年底爆發(fa)的(de)(de)Log4j漏(lou)洞——當(dang)時，這一"核彈級"漏(lou)洞事件將開源(yuan)軟(ruan)件的(de)(de)安全(quan)問題推向了風口浪尖。安勢信息的(de)(de)第一款產(chan)品清源(yuan)（CleanSource） SCA即從軟(ruan)件組成分析（SCA）的(de)(de)需求切入，在商業化第一年訂閱的(de)(de)總金額已經超過(guo)千萬元，成功覆蓋(gai)高科技互聯(lian)網、消費電(dian)子、智能制造(zao)、基(ji)礎軟(ruan)件、汽車等(deng)領(ling)域的(de)(de)客戶。

從行業看，過去國內已有不(bu)少大型企業重視軟(ruan)件供應鏈中開源組件的(de)安(an)全和合規(gui)問題。不(bu)過出于市場產(chan)(chan)品(pin)成(cheng)熟(shu)度方面的(de)考慮(lv)，他們一般(ban)會主要采購國外廠商的(de)產(chan)(chan)品(pin)。近(jin)年來隨著國際宏觀環境的(de)變(bian)化，軟(ruan)件組成(cheng)分(fen)析（SCA）等工具也產(chan)(chan)生了(le)國產(chan)(chan)替(ti)代趨(qu)勢，安(an)勢信息即順應這一需求，為(wei)客(ke)戶提供高端SCA類產(chan)(chan)品(pin)。

安(an)(an)勢信(xin)息(xi)創始人(ren)兼(jian)總裁薛植元表示與上(shang)次(ci)融資時(shi)相比，安(an)(an)勢信(xin)息(xi)如今在(zai)產(chan)品(pin)成熟度(du)、商業化以及(ji)未來產(chan)品(pin)規劃方面均取得了突破(po)性進展。

軟件組成(cheng)分析(xi)（SCA）工(gong)具(ju)作(zuo)為當前全(quan)球公認應對開源(yuan)軟件安全(quan)與合規問題(ti)的主要解決方案，其挑戰之一就是如何準確全(quan)面的識(shi)別(bie)出代碼(ma)庫(ku)中(zhong)的開源(yuan)代碼(ma)，這背后要求 SCA 工(gong)具(ju)必須具(ju)備(bei)多維度(du)的掃描探測技(ji)術和匹(pi)配算法，同時需要一個強大的數據庫(ku)來(lai)支撐。

安勢信息的(de)清(qing)源(yuan) (CleanSource) SCA通過收錄(lu)數量龐(pang)大、高時效(xiao)性的(de)開源(yuan)軟件打造(zao)自己(ji)的(de)數據(ju)庫，同時結合多維度(du)的(de)掃描探(tan)測技術和匹配算法，幫(bang)助客戶識別以各種形式(shi)被引入(ru)軟件中的(de)開源(yuan)組件。

在掃描探(tan)測技術(shu)方(fang)面，早期，安勢信(xin)息(xi)的(de)重心(xin)放在代碼(ma)片段(duan)級(ji)別的(de)、相(xiang)較(jiao)(jiao)細粒(li)度較(jiao)(jiao)高的(de)引擎(qing)構建(jian)上。而現在，清源(CleanSource) SCA已(yi)經能夠支持組件(jian)、文件(jian)、代碼(ma)片段(duan)、直接依(yi)賴、間接依(yi)賴等掃描，相(xiang)較(jiao)(jiao)之(zhi)前更(geng)為全(quan)面。

在數(shu)據(ju)(ju)庫(ku)方(fang)面，安(an)勢信息(xi)(xi)(xi)通過(guo)對開(kai)源軟件的(de)(de)信息(xi)(xi)(xi)進(jin)(jin)行爬取(qu)，再(zai)進(jin)(jin)行清洗(xi)和檢索，不斷(duan)對數(shu)據(ju)(ju)庫(ku)進(jin)(jin)行打磨，以保證引擎使用數(shu)據(ju)(ju)的(de)(de)準(zhun)確(que)性(xing)。之后(hou)，引擎再(zai)根據(ju)(ju)數(shu)據(ju)(ju)庫(ku)的(de)(de)信息(xi)(xi)(xi)進(jin)(jin)行對比，通過(guo)匹配(pei)規(gui)則告知客戶開(kai)源軟件可能存(cun)在的(de)(de)安(an)全與(yu)(yu)合規(gui)風險。近(jin)半年里清源(CleanSource) SCA數(shu)據(ju)(ju)庫(ku)中組件版本信息(xi)(xi)(xi)已經(jing)從1.4億(yi)上升到1.7億(yi)，代碼片段指(zhi)紋也從2萬億(yi)增加到3萬億(yi)。安(an)勢信息(xi)(xi)(xi)近(jin)期構建(jian)了(le)兼(jian)具學術(shu)和實(shi)踐經(jing)驗(yan)的(de)(de)數(shu)據(ju)(ju)挖(wa)掘團隊(dui)，通過(guo)NLP等(deng)人(ren)工智(zhi)能方(fang)式幫助進(jin)(jin)行自動化的(de)(de)數(shu)據(ju)(ju)清洗(xi)和數(shu)據(ju)(ju)挖(wa)掘，進(jin)(jin)一(yi)步提升數(shu)據(ju)(ju)庫(ku)的(de)(de)準(zhun)確(que)性(xing)與(yu)(yu)更新(xin)速度。

在(zai)易用性方(fang)面，清源(CleanSource) SCA如(ru)今可提供更為豐富(fu)的API接口和插件(jian)，方(fang)便(bian)用戶和更多的DevOps工具打通。

SCA工具之(zhi)外，安勢信息(xi)當前(qian)也在(zai)推進SAST（靜(jing)態應用程(cheng)序安全(quan)測(ce)試,也稱為(wei)白盒(he)測(ce)試）產品線的(de)(de)(de)(de)研發(fa)。談及(ji)如此設計(ji)產品線的(de)(de)(de)(de)思路(lu)，薛植(zhi)元表示(shi)，SCA意在(zai)幫助客戶發(fa)現自己所使用的(de)(de)(de)(de)開(kai)源組件中的(de)(de)(de)(de)安全(quan)性問(wen)題(ti)，SAST則能(neng)幫助客戶檢測(ce)自研代碼(ma)中的(de)(de)(de)(de)缺陷與安全(quan)問(wen)題(ti)。這意味著(zhu)，這兩款(kuan)產品的(de)(de)(de)(de)結合，可以覆蓋企業構建軟件過程(cheng)中的(de)(de)(de)(de)大部分代碼(ma)安全(quan)問(wen)題(ti)。從全(quan)球市場來看(kan)，SAST和SCA也是市場空間最大的(de)(de)(de)(de)開(kai)發(fa)安全(quan)產品品類。

和SCA產(chan)品類似，目前占據優(you)勢(shi)(shi)(shi)的(de)(de)SAST產(chan)品也(ye)主要來自(zi)國外廠(chang)商(shang)。近年借(jie)力(li)國產(chan)化(hua)趨勢(shi)(shi)(shi)，國內也(ye)出現(xian)了不(bu)少SAST廠(chang)商(shang)，但產(chan)品能力(li)大(da)多(duo)和國外同業相比仍存(cun)在較大(da)差距，這(zhe)也(ye)給安(an)(an)(an)勢(shi)(shi)(shi)信息(xi)提(ti)供了市場切入機會。當前安(an)(an)(an)勢(shi)(shi)(shi)信息(xi)已搭建十(shi)余人的(de)(de)團隊推進這(zhe)一產(chan)品的(de)(de)研(yan)發(fa)(fa)(fa)，核(he)心人員不(bu)僅(jin)擁有985院校的(de)(de)博士或(huo)碩士學位，且有相關領域(yu)高質量學術論文的(de)(de)發(fa)(fa)(fa)表和深(shen)(shen)度項(xiang)目開(kai)發(fa)(fa)(fa)經驗。該產(chan)品計劃于明(ming)年正式(shi)發(fa)(fa)(fa)布(bu)第一個(ge)版本。開(kai)發(fa)(fa)(fa)語言支持的(de)(de)深(shen)(shen)度及廣度是SAST產(chan)品的(de)(de)核(he)心指標之一，安(an)(an)(an)勢(shi)(shi)(shi)將從C/C++語言出發(fa)(fa)(fa)，最終覆蓋二(er)十(shi)余種主流開(kai)發(fa)(fa)(fa)語言。

國內 ToB 產(chan)品的(de)商業(ye)(ye)化(hua)之(zhi)路一直以來(lai)充滿挑戰，安勢信息的(de)清源（CleanSource） SCA 在(zai)商業(ye)(ye)化(hua)的(de)第一年就(jiu)成(cheng)功(gong)服務眾多垂直領域的(de)頭部企業(ye)(ye)。在(zai)商業(ye)(ye)模(mo)式上，清源(CleanSource) SCA采用(yong)訂(ding)閱模(mo)式，并(bing)可根據不同企業(ye)(ye)的(de)規模(mo)提供適(shi)合的(de)定價模(mo)式。未來(lai)，安勢信息的(de)SAST產(chan)品也將采用(yong)訂(ding)閱模(mo)式收費。

團隊方面，安勢信息(xi)總裁薛(xue)植元曾(ceng)任Checkmarx大中華區總經理(li)(li)，也(ye)是原Synopsys SIG大中華區業務負責(ze)人，主導(dao)過各類DevSecOps工具(ju)在中國的產業化(hua)落地。另外，今年安勢信息(xi)也(ye)引入了多名來自阿里、華為、OPPO、百度，以及(ji)(ji)曾(ceng)就職于專(zhuan)業軟件供(gong)應鏈廠商的高(gao)管，和十余海內外名校博士、碩士的加入，幫助提(ti)升數據處(chu)理(li)(li)以及(ji)(ji)工程化(hua)能力，以及(ji)(ji)推(tui)進SAST產品線(xian)的研發(fa)。

本輪領投方微(wei)智(zhi)數科的創始合伙人郭欣(xin)表示："開源對軟(ruan)件世界的貢(gong)獻(xian)越來(lai)(lai)越大，同(tong)時也帶來(lai)(lai)了軟(ruan)件供應(ying)鏈的風險，過去幾年(nian)(nian)因(yin)軟(ruan)件供應(ying)鏈引發的安(an)全問題(ti)與合規問題(ti)呈(cheng)指數級增長，軟(ruan)件供應(ying)鏈安(an)全需求(qiu)迫在(zai)眉睫。安(an)勢信息是我們在(zai)該領域看到的能(neng)力極為(wei)全面的公司(si)(si)，在(zai)成(cheng)立僅一(yi)年(nian)(nian)的時間便推出了完全自(zi)主研發的具(ju)備代碼片段(duan)識別能(neng)力SCA產品，成(cheng)功PK海外廠商，簽(qian)約眾多最頭部的互聯網(wang)與科技公司(si)(si)。

公(gong)司創(chuang)始團隊兼(jian)具全球化(hua)視野(ye)與本地(di)(di)化(hua)落地(di)(di)的(de)豐富經(jing)驗，對軟件(jian)供應鏈安(an)全有著深刻的(de)洞察，相信(xin)未(wei)來不斷推出的(de)優秀產品能讓(rang)安(an)勢信(xin)息邁(mai)上一個(ge)個(ge)新的(de)臺階，成為(wei)具有國際(ji)影響力的(de)軟件(jian)供應鏈安(an)全公(gong)司。"