36氪首發｜主攻靜态代碼分析技術，「蜚語安全」完成Pre-A輪融資

36氪獲悉，開發安全公司「蜚語安全」已于日前完成Pre-A輪融資。本輪融資投資方為紅華繁星網安天使基金，航行資本擔任獨家财務顧問。

蜚語安全是36氪持續報道的一家公司，成立于2019年，緻力于解決開發人員在研發環境中的各種安全和漏洞問題，讓研發更專注于創新。公司目前主打靜态代碼分析工具，并基于此形成了Corax代碼安全分析平台。36氪此前介紹過，目前開發安全産品路線較多，主要可分為靜态應用程式安全測試（SAST）、動态應用程式安全測試（DAST）、互動式應用程式安全測試（IAST）、軟體組成分析（SCA）、模糊測試（Fuzzing）等。各種産品類型具備不同的應用場景與優劣勢，在實際應用中具備一定程度的互補性。其中，SAST被視作研發門檻較高的一類産品，蜚語安全的Corax代碼安全分析平台也屬于此類産品。

Corax是蜚語安全目前的主打産品，于2022年年中推出。公司創始人束駿亮博士向36氪表示，除SAST之外，蜚語也在探索靜态分析技術的其他落地場景，比如針對當下比較受關注的SCA，靜态代碼分析技術也能夠提供非常大的幫助。蜚語安全也會圍繞自身在靜态代碼分析技術上優勢，推出有差異化競争力的SCA産品。

從市場角度來看，近年随着安全左移理念的普及，全球開發安全市場實作了快速增長。據Pitchbook等外媒統計，2022年全球DevSecOps市場規模在60億美金左右，未來5-10年複合增長率達到30%+，其中靜态分析或是SAST産品在國外也是占比最大的一類産品。但與全球市場對比，國内的相關市場正處于早期增長之中，還未迎來爆發。市場滞後與國内研發環境相關——國内軟體研發行業在過去幾十年主要聚焦于上層應用軟體的開發，較少關注底層基礎軟體的開發，是以對代碼品質和安全的需求不夠強烈。但近幾年，随着數字化程度的不斷提升和國産軟體研發行業的快速發展，相關技術在國内的需求度也近一步顯現。另外，國産化替代的大趨勢也為國産靜态分析産品提供了快速追趕的視窗。

目前，靜态代碼分析技術的落地以SAST最為常見。目前，利用SAST來尋找代碼中的品質問題、代碼中的風格問題和代碼安全問題，是三個主要應用方向。

束駿亮博士告訴36氪，在國外，這些靜态分析産品的分類已經非常清晰，但在國内的區分度還有待加強。更深一步拆解不同場景下的技術差異，他介紹，檢測代碼中的安全問題主要圍繞Java等服務端常用語言展開，而對代碼品質的檢測則主要圍繞C/C++展開。目前針對這兩類場景，蜚語安全均有涉足，未來希望将靜态代碼分析技術作為底層能力，向上支援各類不同的場景化産品，SCA也正是其中一種。

另談及Corax的特點，束駿亮博士介紹，這一平台靈活、易用、檢測精準度更高。在檢測精準度方面，他表示蜚語在相關領域有着多年的技術儲備，并且Corax是一款全新産品，技術架構更為靈活，更容易引入一些前沿的"黑科技"（如符号執行、抽象解釋、函數摘要、自然語言處理等技術），幫助提升檢測精度。

而在靈活性上，由于蜚語的底層靜态代碼分析架構做了子產品化的解耦，是以能根據各類場景的需要，靈活封裝成不同引擎。"比如在安全攻防場景裡，客戶追求更準确的分析結果，對效率的要求不高。而在代碼合規的場景裡，客戶會更追求掃描的效率。針對這些不同場景，我們會提供具備不同特點的引擎。"束駿亮博士舉例。更進一步拆解，在精細化場景下，蜚語會重點提供結合符号執行等"重量級分析技術"的引擎。而在需要快速産出檢查效果的場景裡，蜚語會結合模式比對、自然語言處理等技術提供輕量級引擎。從語言次元拆解，目前針對C/C++、Java、Go、Python等不同語言，蜚語均已經推出了具備不同特點的引擎。

而且，為了更契合研發流水線場景，蜚語的産品也具備容器化部署、DevOps內建等能力，能夠幫助企業降低落地成本。

除了産品不斷疊代之外，束駿亮博士表示近半年蜚語在商業拓展方面也實作了一些突破。目前，公司已經擁有數十家付費客戶，覆寫基礎軟體、汽車、物聯網、高端制造等對靜态代碼分析有剛性需求的領域。談及2023年規劃，束駿亮博士表示公司在新的一年希望拓展更多的行業應用場景，同時也将持續進行産品打磨，為使用者帶來更多的能力與産品。

總結而言，束駿亮博士認為，靜态分析産品存在巨大的市場潛力。與動态分析技術相比，靜态分析技術不需要準備運作環境、不挑選軟體類型、同時具備良好的自動化和規模化能力、也能夠衍生出比較豐富的價值。同時，靜态分析技術天然具備了成為一種普适性研發支撐技術的潛力，産品也具備成為平台型産品的能力。目前從全球範圍來看，也已經有部分産品開始往平台化方向轉變。比如老牌的開源代碼分析平台，SonarQube，也從代碼風格分析拓展到代碼品質。最近兩年，該公司也通過并購方式切入代碼安全市場，實作了營收和估值的多方位增長。

他覺得，未來任何規模和領域的軟體研發團隊，都存在從靜态分析技術中受益的可能，隻是在産品形态和商業模式上各家廠商都還需要做不同程度的持續探索和提升。

關于投資：

本輪投資方紅華繁星管理合夥人許俊表示：，代碼靜态分析是軟體領域的基礎性技術，潛在應用場景非常廣泛。而且，傳統SAST工具主要是安全團隊使用，而海外的SonarQube等工具廠商通過給開發人員提供更便捷易用的工具而開辟了新的增長賽道。蜚語的Corax産品通過多引擎政策适配不同場景，并且通過對常見安全問題分析的深度優化而顯著降低了誤報率，因而獲得了客戶的持續好評。蜚語團隊源自國内知名的GoSSIP軟體安全研究小組，一直深耕軟體安全、漏洞攻防和代碼分析領域，是國内難得的既對業界最新的各項代碼分析技術有深度專研，又對安全攻防有深刻了解的團隊。繁星看好蜚語的增長潛力。作為專注網安領域的投資機構，除投資外，繁星還将從公司營運的多個方面幫助公司成長。