36氪首发 | 开源网安完成数千万元A轮融资,聚焦软件安全产业

真梓 · 2020-10-15
打造软件安全开发工具链(IAST、SAST、SCA、FUZZ、RASP™),从源头保证安全。

36氪获悉,软件安全公司「开源网安」已于近日正式宣布完成数千万元A轮融资。本轮融资由松禾资本、匠一基金投资。

「开源网安」成立于2013年,致力于让企业交付更安全的软件,为软件安全开发提供全方位的服务,包括咨询、培训、解决方案、专业工具及安全服务等。简单理解,传统网络安全解决软件上线后的安全问题,软件安全开发帮助客户提前发现并解决潜在的安全风险。

公司当前为客户提供软件安全开发生命周期 (S-SDLC™) 解决方案、DevSecOps™解决方案、拥有“自主知识产权”的软件安全开发工具链(IAST、SAST、SCA、FUZZ、RASP™)和软件安全开发人才培养课程体系CWASP™。据公司介绍,「开源网安」是可以提供软件安全全产品链的厂商,相关产品可直接替代Gartner Application Security魔力象限的领导者厂商的同类产品。

三大“软件安全开发”抓手

「开源网安」CMO张宇介绍,当前在企业内部,软件安全开发的落地情况并不理想,其中一个重要原因在于人员——安全人员在企业内部没有足够话语权,而开发人员往往不懂安全,这导致企业的开发与安全处于断裂状态。针对这种情况,「开源网安」设计了包含平台、工具和培训在内的“三大抓手”,分别是S-SDLC™平台、S-SDLC™工具链、CWASP™(软件安全开发)课程培训体系。

首先,S-SDLC™平台是一个集成运营平台,不仅整合了需求分析、威胁建模、安全设计,同时能和IAST、SAST、SCA、FUZZ、RASP™等工具打通,形成软件安全开发统一运营平台。

其次,S-SDLC™工具链包括开源网安灰盒安全测试平台(简称VulHunter)、开源网安代码审核平台(简称CodeSec)、开源组件安全及合规管理平台(简称SourceCheck)、开源网安模糊测试平台(简称SFuzz)、开源网安实时应用自我防护平台(简称RASP™)。

将工具链一一展开,开源网安灰盒安全测试平台(简称VulHunter),使用前沿的安全检测技术IAST,在开发、测试环节中,“零干扰”实现自动化的安全测试,并提供完整的数据流、HTTP请求、配置信息等,帮助用户更准确、更高效的检测安全问题。

开源网安代码审核平台(简称CodeSec),可以无缝对接客户的开发环境、代码仓库,帮助客户简单、快速的发现代码中的各类安全与质量问题;支持目前主流的C/C++、Python、Go、Java、C#等40多种语言,并为客户定制自己的代码安全与质量检测报告。

开源组件安全及合规管理平台(简称SourceCheck)则主要用于对第三方组件安全的管控,可满足相关机构的监管,以及企业客户对开源组件安全风险的检测需求,当前「开源网安」的此类工具主要服务大型企业客户。

模糊测试平台基于模型智能生成测试用例,高效检测各种软、硬件系统中的未知漏洞,此类产品技术研发门槛较高。实时应用自我防护平台主要通过RASP技术,防护应用上线后的安全风险。

最后,就是培训,主要对甲方的开发人员进行培训,使其具备安全开发能力。

在这些平台的基础上,公司也延伸出了DevSecOps™、软件安全上线检测解决方案,同时也有针对金融、监管机构、汽车、医疗等行业的解决方案,进一步帮助客户完善软件安全开发流程。

公司认为,软件安全开发这一领域要进行商业化,需要以咨询为切入点,再持续提供完整的工具链。大客户的获客成本和服务成本比较高,完整的S-SDLC™工具链能提高其持续购买的可能性。而近两年「开源网安」每年营收增长在80%左右,大部分都来自于大客户的购买。

      开源网安业务全景图

“软件安全开发”热度攀升

从创投视角来看,可以观察到,软件安全开发的热度正在逐渐攀升。「开源网安」认为这一领域的推动力主要有国产化替代、国产基础软件行业爆发、软件供应链带动及合规性等几点。

以往一些在国内普及的软件安全开发产品有逐步退出中国市场的趋势,这给国产自主可控产品提供了市场空间。同时,当前国产基础软件处于高速增长阶段,这当中的安全性也会逐步提上日程。再者,由于头部大客户对软件安全开发的日渐重视,行业内中小客户也在不断接受软件安全开发理念、产品和服务。并且,政策引导下的合规市场也会给此赛道提供驱动力。

据36氪观察,当前软件安全开发领域也出现了许多关注度较高的项目,此前我们曾关注过「奇安信」、「爱加密」、「酷德琢木鸟」等等,RASP™领域也曾报道「安百科技」。针对行业竞争,「开源网安」认为,要想在这一领域构建核心竞争力,技术和基因缺一不可,前者是研发产品的基础,后者是真正了解客户、并解决客户诉求的前提。在公司团队方面,「开源网安」团队由来自华为、思科、微软等行业顶级的软件安全开发专家组成,团队核心成员从业经验均为10年以上。

目前,「开源网安」已在金融、能源、政府、监管、通讯、软件、教育等行业积累了大量成功案例,服务客户包括不限于:平安银行、中信银行、微众银行、国信证券、中国石油国家电网南方电网、华为、百度金蝶软件、碧桂园、IBM等大型企业。

据了解,在本轮融资后,公司将继续加大团队建设、产品完善、市场布局、技术研究等,促进公司产品、服务的日趋完善,持续为客户保障软件安全。

+1
13

好文章,需要你的鼓励

参与评论
登录后才能参与讨论哦...
后参与讨论
提交评论0/1000

请回复有价值的信息,无意义的评论将很快被删除,账号将被禁止发言。

文章提及的机构

中国最早的风险投资机构之一

文章提及的项目

微众银行

开源网安

国家电网

南方电网

中国石油

百度

平安银行

金蝶软件

下一篇

旅游公司一直在抱怨--有时是向竞争监管机构抱怨--谷歌不公平地强行进入他们的地盘。

2020-10-15

36氪APP让一部分人先看到未来
36氪
鲸准
氪空间

为你推送和解读最前沿、最有料的科技创投资讯

一级市场金融信息和系统服务提供商

聚集全球最优秀的创业者,项目融资率接近97%,领跑行业