GSRNews金沙江创投宣布投资水
安全厂商「水木羽林」宣布完成完成数千万元Pre-A轮融资。本轮投资方为金沙江创投、考拉基金,天使轮投资人银杏谷资本继续跟投。航行资本担任本轮融资独家财务顾问。
「水木羽林」成立于年3月,在年9月完成千万元天使轮融资。公司致力于针对基础软件面临的质量与安全风险,通过模糊测试、程序分析等技术手段,打造下一代缺陷检测与治理方案。
从行业来看,在国家“十四五”规划中,基础软件、工业软件的完善是软件产业链升级的首要任务之一,而软件质量与安全性支撑能力也被作为“补短板”重点方向。「水木羽林」表示,为了响应这一目标,其也将发挥自身技术优势,面向协议、数据库、内核等多层次软件,以及信创、车控、工控、区块链等多行业方向,再加上检测、修复、防护等多应用场景,意在打造“能用、管用、好用”的平台产品,帮助提升基础软件系统的健壮性和安全性。「水木羽林」的核心技术为模糊测试。从技术分类角度出发,这一领域在广义上被划入开发安全范畴。对于不同技术路线,行业中也有不少公司有所侧重,「水木羽林」认为,静态检测、动态检测、模糊测试等软件检测技术应该是相互补充,协同工作的关系,每个技术也各有长处。不过,提及技术路线的差异性,「水木羽林」认为,在面向基础软件场景时,模糊测试是唯一既可深度检测未知缺陷,又能提供无误报精准定位的技术。所以在当前,这种技术在整体检测技术栈中具有不可替代的作用,被Google、微软、Linux基金会、云原生基金会、美国国防部等机构广泛应用。
「水木羽林」的自研技术利用污点分析、语义感知、并行调度、和硬件指令追踪等技术引导测试输入的自动生成,通过在测试执行过程中动态观察软件系统的行为和反馈,更快更多的触发程序分支和潜在缺陷。据介绍,这种自动化的测试输入生成手段,可以显著降低当前软件测试和安全分析的难度和人力成本。而将模糊测试产品化也有两个难点,或者说也需要两方面能力。一个是底层核心技术的掌控能力,需要解决性能的持续提升与优化,不同类型检测对象的通用支持,不同语言特性的适配等问题。另一个是工程化能力,需要应对测试驱动自动生成、测试任务自动调度、测试过程与结果可视化、测试环境封装等等挑战。
「水木羽林」在打磨产品时也在持续突破以上问题。整体来看,模糊测试平台具有如下亮点:
?深度覆盖支持:在权威第三方及客户测试数据集的对比中,相较于AFL,Peach,SQLSmith,Syzkaller等标杆工具,核心指标如测试覆盖率,发现缺陷数,测试速度等均大幅领先。具体展开,测试覆盖率是模糊测试技术的核心性能指标,覆盖率越高代表缺陷发现能力越强。「水木羽林」介绍,与业界标杆开源工具相比,其应用检测技术在测试覆盖率上有20%~50%的提升,在数据库检测上有超过50%的提升,在协议测试上有超过25%的提升。
?跨层全栈支持:全面支持应用、类库、数据库、操作系统、通信协议等检测对象,完整覆盖基础软件供应链,已在Linux,MySql,IEC等基础软件及协议上累计发现百余个漏洞,被中美国家信息安全漏洞库作为CVE官方收录。
?DevSecOps支持:通过全量API、CLI工具等特性,可实现自动化、集成化与持续化的软件开发安全左移,同时支持测试入口可视化选择,测试驱动自动生成,多任务并行调度,覆盖信息实时显示,缺陷报告自动生成等功能。
另从商业落地角度,理论上来说,所有自己写代码的企业都可以采用模糊测试类产品进行测试。不过当前,「水木羽林」更看重服务作为国家信息产业关键基础设施的客户的软件安全。公司介绍,当前核心目标客户涵盖以下类型:
1,国产基础软件,如操作系统、数据库和办公软件等。这部分客户数量规模不大,但是是国家信息产业的关键基础设施,也是公司重点希望保障的领域。此外,围绕着国产基础软件打造的上万个信创应用软件也是其服务的对象。
2,军工、通信、航空航天、大型船舶、智能汽车、能源等软硬结合,安全要求高的行业,具体比如航天OS、大飞机的控制软件、车控软件、能源行业工业控制软件等。此类行业客户由大型央国企、知名民营企业及其庞大的供应商体系组成。
具体在落地上,公司当前已经与多家基础软件头部企业,以及航空航天、工控、检测机构等行业或单位达成业务合作。同时,「水木羽林」也通过加入OpenSSF开源软件安全基金会与Linux基金会,开源系统内核检测工具Healer等途径,加强社区合作,共同提升基础软件检测与保障能力。
整体来看,在本轮融资之后,公司将加强人才引进,持续投入技术研发,完善产品线,加速市场扩展,以期在快速增长的测试市场进一步夯实自身整体实力。
金沙江创投主管合伙人朱啸虎表示,过往几年的安全更多都集中在上层应用领域,而最近几年大家也逐渐意识到基础软件安全的重要性,水木羽林是我们在这个领域持续
转载请注明:http://www.abuoumao.com/hytd/837.html