5月5日消息,近日,专注于软件组成分析(SCA: Software Composition Analysis,以下或简称SCA)的安势信息已于日前完成天使轮融资。据了解,本轮融资金额在数千万元级别,投资方为晨壹投资。本轮融资之后,公司将持续进行产品打磨和相关人才梯队的建设,同时加速商业化落地探索。
安势信息成立于2021年6月,是一家网络安全综合解决方案提供商。专注于开源治理、漏洞风险检测、安全防御建设和攻防型团队培养,致力于帮助用户先于黑客发现并及时解决安全问题,共同打造一个更安全、更便捷、更美好的互联网世界。
公司创始人兼总裁薛植元介绍,过去国内已有不少大型企业重视软件供应链中开源组件的安全和合规问题。不过出于市场产品成熟度方面的考虑,它们会主要采购国外公司(如Synopsys、Snyk 等)的产品。但近年来随着国际宏观环境的变化,软件组成分析(SCA)工具也产生了国产替代趋势,安势信息的定位即是顺应这一需求,为客户提供能满足其业务诉求的高端SCA类产品。
具体在数据库的积累方式上,当前安势信息使用专门的团队进行开源软件信息的爬取、数据的清洗及检索,以此在源头上保证引擎所需数据的准确性。而在扫描引擎的打造过程中,其还需要尽可能识别出几乎所有形式的开源引入--比如完整引用开源组件进行修改后进行二次分发,和复制开源组件中的部分代码,以及开源组件彼此之间互相依赖的引入等,这些不同的引入方式需要的是不同细粒度的扫描引擎。
另外,安势信息的重心会放在代码片段级别的、相较细粒度较高的引擎构建上。而构建代码片段级别的引擎,需要做到精准度与效率的结合。首先,由于代码片段细腻的细粒度,检测时可能会检测出不少由于简单调整字符串、大小写、注释等原因出现的疑似引入,这意味着引擎匹配规则要尽可能精确、剔除干扰项,同时需要依赖尽可能全面、精准的代码片段的数据库,从而中进行精准的开源组件匹配。
总体而言,安势信息所主打的客户对象,正是具有强烈合规诉求的高科技、互联网等客户群体。另外,随着金融业对开源软件的使用日趋规范化,银行等金融客户也将是公司的主要客户类型。
在商业化进程上,公司的SCA产品“清源 Clean Source”于去年10月底发布,如今已有多家来自互联网、半导体及汽车等行业客户的合作意向,其中一些已进入具体商务洽谈阶段。
团队方面,安势信息总裁薛植元曾任Checkmarx大中华区总经理,也是原Synopsys SIG大中华区业务负责人,参与国内各项DevSecOps标准制定。“安势信息”的核心团队成员主要来自华为、中兴、OPPO、Synopsys等企业,均具有多年行业背景,在软件安全领域经验丰富。
晨壹投资董事姜晓山表示:软件正在吞噬世界,而开源正在吞噬软件。越来越多企业开始关注如何解决混源开发模式下的软件供应链风险问题。安势信息以SCA技术切入,围绕DevSecOps 流程打造具备一定特色的端到端的解决方案。凭借团队多年的技术和经验积累,获得多家头部企业认可,作为天使投资人,我们将和安势一起持续输出高质量产品及解决方案。