36氪獲悉,DevSecOps靈活安全廠商「懸鏡安全」于今日正式宣布完成數億元人民币B輪融資。本輪融資由源碼資本領投、GGV紀源資本跟投,紅杉中國繼續加持。元啟資本擔任本輪獨家财務顧問。
懸鏡安全是36氪持續關注的一家硬科技驅動的靈活安全公司。其專注DevSecOps軟體供應鍊持續威脅一體化檢測防禦,旗下原創懸鏡DevSecOps智适應威脅管理體系。
據了解,這一體系主要覆寫從威脅模組化、開源治理、風險發現、威脅模拟到檢測響應等關鍵環節的開發營運一體化靈活安全産品,及以實戰攻防對抗為特色的軟體供應鍊安全服務,旨在幫助企業組織逐漸構築一套适應自身業務彈性發展、面向靈活業務傳遞并引領未來架構演進的内生積極防禦體系。國際上,懸鏡的同行企業Snyk在2021年連續融資E、F兩輪,總融資額達到14億美金。
公司創始人兼CEO子芽向36氪介紹,懸鏡在近一年中的業務進展主要展現在核心産品研發、原創技術開源和商業化落地等三方面。
首先在産品架構上,懸鏡目前打造了較完整的體系,主要包括一款全流程平台和四款CI/CD工具鍊産品。其中平台是夫子DevSecOps全流程安全賦能平台,工具鍊包括源鑒OSS/Open SCA開源威脅治理、靈脈IAST灰盒安全測試、靈脈BAS智慧威脅模拟和雲鲨RASP自适應威脅免疫。
談差異化能力,36氪觀察到至少從2020年起,業内專注DevSecOps的公司日漸增多,不少企業也多從IAST入手提供産品。對此子芽介紹,目前懸鏡的IAST産品在開發語言的覆寫和檢出率精準度上均具備明顯優勢,在信通院2021年的《中國DevOps現狀調查報告》中,其IAST産品以5.84%的市場占有率排名第一。而之是以能做到這樣的效果,其表示,在關鍵技術路線上,懸鏡産品采用具備真正自适應能力的原創代碼疫苗技術,通過輕量級插樁探針深入應用内部,結合自學習分析引擎,可以在準确了解情境上下文的基礎上快速識别應用自身缺陷和安全風險。
另外,公司還在去年釋出了RASP産品,通過“單探針”政策,使使用者隻需要在應用中部署一次探針就能獲得IAST和RASP的雙重能力,在降低客戶部署成本的同時快速提升業務應用的自我安全防禦能力。在SCA層面,随着開源軟體在全球範圍内的流行,開源軟體安全的重要性也随之提升。對此,懸鏡也在2021年正式對外開放Open SCA開源社群,用開源的方式做開源治理,并同時對外提供開源版本和企業版本的SCA産品。子芽介紹,之是以要針對SCA打造開源社群,是希望全球有更多開發者使用者在編碼階段就可以更好的使用創新的SCA技術來做開源治理,更好地實作安全前置。
另外在商業化上,子芽介紹,目前客戶會根據自身的差異需求選購懸鏡的多樣化産品。目前,公司的企業客戶包括中國人民銀行、中國銀聯、中國銀行、中國工商銀行、浦發銀行、重慶銀行、廣州農商銀行、蘇州農商銀行、浙商銀行、SHEIN、中國平安、中信建投證券、上海證券交易所、中國石化、中國石油、中國電信研究院、中國移動研究院、中國聯通研究院、中體彩、人民網、國家電網、北京大學、中興通訊、中國工程實體研究院、小鵬汽車、東風日産、長安汽車、中國汽車研究院、南方航空等衆多行業标杆使用者。在整體數量上,懸鏡目前的企業客戶已經達到數百家。
從開發源頭做靈活安全治理
談及行業驅動因素,公司介紹,從開發源頭做安全風險治理已經成為愈發多企業保障軟體供應鍊安全的剛需。
具體資料上,根據第三方權威調查,接近92%的已知安全漏洞都發生在軟體應用程式中,且應用中每1000行代碼至少出現一個業務邏輯缺陷。此外,78%-90%的現代應用融入了開源元件,平均每個應用包含147個開源元件,且67%的應用采用了帶有已知漏洞的開源元件。反觀現狀,公司介紹目前絕大多數企業使用者對業務應用漏洞的發現除了内部自測以外,多半源自外部第三方安全研究人員或安全廠商。整個軟體開發生命周期中,不同階段修複安全漏洞的成本差距顯著,研發測試階段與線上營運階段的修複成本甚至能夠相差數百倍。是以,前置安全工作,把漏洞風險及開源威脅消滅在萌芽狀态,防止應用帶病上線,保障軟體供應鍊安全十分迫切且必要。
針對這種情況,懸鏡安全旗下明星産品之一靈脈IAST灰盒安全測試平台,作為懸鏡DevSecOps智适應威脅管理體系中上線前測試環節的應用風險發現平台,通過新一代全場景實時資料流情景分析技術,如運作時應用插樁(含動态污點追蹤及互動式缺陷定位)、終端流量代理、旁路流量鏡像、主機流量嗅探、啟發式爬蟲、Web日志實時分析等和原創AI啟發滲透測試技術賦能傳統IT從業人員,在甲方使用者的組織内部快速建立安全衆測模式,使傳統安全小白(如研發、測試、QA等)完成應用功能測試的同時即可透明實作深度業務安全測試,運作時動态監測開源風險,精準覆寫95%以上中高危漏洞,有效防止應用帶病上線。
用智能攻防來度量安全有效性
另外,攻防對抗是網絡安全建設過程中永恒的主題,是檢驗現有安全體系防禦應對未知威脅成效能力最為直接的方式。這其中的手段包括持續的安全衆測、不定期進行攻防演練并輔以配套的檢測響應手段等。
針對這類需求,懸鏡安全旗下另外一款明星級産品靈脈BAS智慧威脅模拟平台,作為懸鏡DevSecOps智适應威脅管理體系中營運環節的自動化威脅模拟和安全驗證平台,在國内創新實作“AI+威脅模拟”的智能攻防演練機器人系統,将安全專家在大量滲透測試過程中積累的實戰經驗轉化為機器可存儲、識别、處理的結構化經驗,并且在自動化測試過程中借助人工智能算法不斷進行“自我思考”和邏輯推理決策,以貼近實際專家滲透測試的方式,對給定目标進行從資訊收集、掃描探測、漏洞發現、漏洞利用、後滲透到持續驗證的整個完整入侵模拟和安全度量過程,持續檢驗甲方使用者現有安全防禦措施的有效性,從“真實黑客”視角持續動态評估目标組織的安全态勢,并大幅度彌補安全人員水準參差不齊和效率低下的問題。
以代碼疫苗賦能業務出廠免疫
而且,随着雲原生技術的迅猛發展、應用開源的快速普及和DevSecOps實踐的規模化落地,網絡安全正在經曆從邊界安全到端點安全、再到應用安全的發展演進,下一代應用安全的技術重心将是運作時情境感覺。
懸鏡安全“積極防禦”體系中的關鍵産品之一-雲鲨RASP自适應威脅免疫平台,作為懸鏡DevSecOps智适應威脅管理體系中營運環節的檢測響應平台,通過專利級應用漏洞攻擊免疫算法、運作時安全切面排程算法、Webshell深度AI檢測引擎及縱深流量學習算法等關鍵技術, 實作RASP與IAST關鍵技術深度融合,将主動防禦能力“注入”到數字化業務應用中,借助強大的應用上下文情景分析能力,可捕捉并防禦各種繞過流量檢測的攻擊方式(如分段傳輸、編碼混淆變形、應用記憶體馬等),提供兼具業務透視和功能解耦的内生主動安全免疫能力,為業務應用出廠預設安全免疫迎來革新發展。
公司DevSecOps研究最新實踐成果
綜上,結合多年的靈活安全落地實踐經驗和軟體供應鍊安全研究成果,子芽表示懸鏡安全探索出一套基于原創專利級“靈活流程平台+關鍵技術工具鍊+元件化軟體供應鍊安全服務”的第三代DevSecOps智适應威脅管理體系。
圖1:懸鏡第三代DevSecOps智适應威脅管理體系
公司介紹,這一體系作為DevSecOps全流程靈活安全賦能平台,從構築之初就注重技術落地的柔和低侵入性,從驅動DevSecOps CI/CD管道持續運轉的幾大關鍵實踐點入手,通過對威脅模組化、開源治理、風險發現、威脅模拟及檢測響應等關鍵技術創新賦能企業組織現有人員,旨在幫助使用者逐漸構築一套适應自身業務彈性發展、面向靈活業務傳遞并引領未來架構演進的内生積極防禦體系。
整體談及公司理念,子芽表示,安全的本質是風險和信任的動态平衡,懸鏡一直在幫助甲方使用者更好地擁抱變化,更快速地适應雲原生技術普及,做好内生靈活安全。其還提及,相比過往傳統的原生軟體應用,一個很明顯的技術趨勢是,未來絕大多數被釋出出來的數字化應用将是安全可信的,原因是這些應用可以借助代碼疫苗技術的能力,實作應用自身缺陷和風險的自發現和外部未知威脅的出廠免疫”。
圖2:DevSecOps靈活安全工具金字塔v2.0
另外,懸鏡也會根據每年的研究和實踐,持續完善DevSecOps靈活安全工具金字塔,旨在達到既預測未來DevSecOps關鍵技術演進的路線,又為業内組織後續的體系化安全建設指明方向的效果。
最後談及最新業務規劃,子芽表示,本輪融資後懸鏡将進一步深化在中國軟體供應鍊安全關鍵技術的創新研發,及上下遊産業生态的布局,希望憑借下一代靈活安全架構,在DevSecOps靈活安全、軟體供應鍊安全和雲原生安全等新興應用場景下打造閉環的第三代懸鏡DevSecOps智适應威脅管理體系。并且,公司還計劃持續更新在華北、華東、華南、華中、西南、港澳等地區的規模化産品服務傳遞和營運能力,深度覆寫金融電商、能源電力、智能制造、電信營運商及泛網際網路等企業級安全市場。
關于投資:
本輪領投方源碼資本合夥人黃雲剛表示:“DevSecOps是雲原生大背景下安全靈活化的必然趨勢。以威脅管理為中心,整合多種工具鍊,DevSecOps體系能夠幫助企業把安全貫穿于開發到營運的軟體全生命周期中,必将成為企業數字基礎設施的重要組成部分。我們看好懸鏡安全在DevSecOps領域的技術前瞻性,懸鏡的産品也已經獲得了多個行業重要客戶的認可。期待懸鏡能在IT基礎設施加速雲化、安全環境日趨複雜的未來為客戶創造巨大價值。”
本輪跟投方GGV紀源資本管理合夥人李宏玮表示:“随着數字化和智能化的深入,軟體和應用程式不斷加快疊代周期和上線速度,靈活開發和開源也被廣泛應用。在軟體的生命周期中,修複漏洞的成本随着發現階段的程序呈幾何級增長,目前缺乏有效的産品在代碼開發階段和上線前做出高效檢測。懸鏡的産品正是為此打造,且已經在大量頭部客戶中積累了良好的口碑。GGV看好這支年輕團隊,并将長期支援公司發展。”
PreA輪獨家領投方紅杉中國董事總經理翟佳表示:“将安全嵌入 DevOps 流程形成 DevSecOps,符合目前的靈活開發需求趨勢,使得安全可以‘左移’和‘右移’。DevSecOps滲透至研發到營運整個軟體生命周期,與軟體供應鍊安全息息相關,可以有效幫助企業在軟體開發階段實作數字化應用漏洞的自動化檢測與修複,進而大幅降低業務安全成本和風險,這是網絡安全的新興重要發展方向。在這一領域不斷深耕的懸鏡具有确定的領先優勢,構築了較深的行業壁壘,并且業務進展迅速,拓展并沉澱了不少行業高品質标杆客戶,發展前景長期看好。 ”