安势信息是36氪持续宣布过的一家公司,成立于2021年6月,专注打造软件供应链安全平台,目前紧张帮助企业客户应对开源软件中存在的安全及合规问题。
公司创始人兼总裁薛植元向36氪先容,安势信息的第一款产品清源 (CleanSource) SCA从软件组成剖析(SCA) 的需求切入,希望帮助客户创造自身所利用的开源软件、组件中的安全及合规问题。如今,公司还有SAST(静态运用程序安全测试,业内也称为白盒测试)产品线。
关于SCA产品的推出,36氪此前先容过,过去海内已有不少大型企业重视软件供应链中开源组件的安全和合规问题。不过出于市场产品成熟度方面的考虑,他们一样平常会紧张采购国外厂商的产品。但近年随着国际宏不雅观环境的变革,软件组成剖析(SCA) 等工具也产生了国产替代趋势,安势顺应这一需求,为客户供应高端SCA类产品。
产品运作模式方面,36氪曾先容过,安势信息的清源 (CleanSource) SCA通过收录多数量、高时效性的开源软件打造自己的数据库,同时结合多维度的扫描探测技能和匹配算法,帮助客户识别以各种形式被引入软件中的开源组件。
而在SCA之外,安势信息去年也开始推进SAST产品线的研发。谈及如此布局的缘故原由,薛植元向36氪表示,SCA意在帮助客户创造自己所利用的开源组件中的安全性问题,SAST则能帮助客户检测自研代码中的毛病与安全问题。这意味着,这两款产品的结合,可以覆盖企业构建软件过程中的大部分代码安全问题。而从环球市场来看,SAST和SCA也是市场空间最大的开拓安全产品品类。
薛植元表示,2023年安势也将这两款产品进行了却合。个中,清源SCA近期最主要的功能升级之一是将静态运用安全测试(SAST) 中的语义剖析技能融入个中,从而使得SCA能够识别并确认那些真正被调用、可能被利用的漏洞。他先容,这个步骤提升了安全检测的精确度,并减少了对人工干预的依赖,从而提高了安全风险的管控效率。
薛植元补充,目前安势的静态运用安全测试(SAST) 支持多种主流编程措辞,包括但不限于 C/C++、Java、JSP和Go等。从效果上,他比拟,与大多数SAST工具不同,安势SAST通过捕获编译过程,能够创造C/C++的运行时毛病,例如内存泄露、空指针引用和多线程问题等。这类问题对付电子、汽车、国防和航空航天行业的用户尤其主要,但常日难以通过非编译的办法来创造。
在整体商业化进展上,安势的清源SCA的代表客户包括腾讯、阿里巴巴、百度、蚂蚁集团、光彩、VIVO、小米集团、延锋汽车等。薛植元表示,公司商业化一年,年度复现收入(ARR) 超过千万元。另在出海方面,他先容,安势的清源产品也一贯帮助多家客户知足欧美市场的最新法规需求。目前,清源SCA已为数十万名软件开拓者供应做事,逐日为上述企业供应数十万次的SBOM扫描做事。本轮融资后,公司操持持续提升产品力,拓展更多企业客户和开拓者用户。
关于投资:
考拉基金总裁魏凯:
在当前开源技能飞速发展、开拓安全左移、前置的大背景下,软件供应链安全的主要性日益突出。作为软件供应链中极为关键的产品,软件组成剖析(SCA) 的浸染愈创造显。安势信息在全体领域中拥有头部产品, 发展很快。
金蚂投资刘万春、王沁雪:
开源软件已经逐渐成为当今软件行业的核心部分,伴随着近两年数量激增的网络攻击事宜,软件供应链安全正在崛起为一个主要的新兴竞争领域。安势信息创始团队履历丰富,技能实力出众,赢得互联网、汽车、科技等行业的头部客户认可。相信随着公司产品矩阵的不断丰富和优化,安势信息将更上台阶。
