「蜚语安全」完成Pre-A轮融资，为软件质量与安全保驾护航

「蜚语安全」于近期完成Pre-A轮融资，投资方为红华繁星网安天使基金，由航行资本担任独家财务顾问。

蜚语安全成立于2019年，创始团队来自于上海交通大学计算机系。自成立起，蜚语安全就致力于通过静态分析技术解决开发人员在软件研发过程中面临的各类质量与安全问题，帮助提升研发效率，为软件质量与安全保驾护航。

公司目前深耕自动化静态代码分析技术，并基于此形成了Corax代码安全分析平台。当前开发安全行业内产品路线较多，主要可分为静态应用程序安全测试（SAST）、动态应用程序安全测试（DAST）、交互式应用程序安全测试（IAST）、软件组成分析（SCA）、模糊测试（Fuzzing）等。各种产品类型具备不同的应用场景与优劣势，在实际应用中具备一定程度的互补性。其中，SAST被视作研发门槛较高的一类产品，蜚语安全的Corax代码安全分析平台也属于此类产品。

Corax是蜚语安全当前的主打产品，于2022年年中推出，能够帮助研发人员解决代码中的质量与安全问题。与传统SAST工具相比，Corax有着落地成本低、分析精度高、误报率低、易用性高等特点。除SAST之外，蜚语也在探索静态分析技术的其他落地场景，比如针对当下比较受关注的软件成分分析（SCA），静态代码分析技术也能够提供非常大的帮助。后续蜚语安全会围绕自身在静态代码分析技术上优势，推出更多有差异化竞争能力的产品。

从市场角度来看，近年随着安全左移理念的普及，全球开发安全市场实现了快速增长。据Pitchbook等外媒统计，2022年全球DevSecOps市场规模在60亿美金左右，未来5-10年复合增长率达到30%+，其中静态分析或是SAST产品是占比最大的一类产品。但与全球市场对比，国内的相关市场正处于早期增长之中，还未迎来爆发。市场滞后与国内研发环境相关——国内软件研发行业在过去几十年主要聚焦于上层应用软件的开发，较少关注底层基础软件的开发，所以对代码质量和安全的需求不够强烈。但近几年，随着数字化程度的不断提升和国产软件研发行业的快速发展，相关技术在国内的需求度也进一步显现。另外，国产化替代的大趋势也为国产静态分析产品提供了快速追赶和打磨产品的窗口。

静态分析类产品存在巨大的市场潜力。与动态分析技术相比，静态分析技术不需要准备运行环境、不挑选软件类型、同时具备良好的自动化和规模化能力、也能够衍生出比较丰富的价值。同时，静态分析技术天然具备了成为一种普适性研发支撑技术的潜力，产品也具备成为平台型产品的能力。目前从全球范围来看，也已经有部分产品开始往平台化方向转变。比如老牌的开源代码分析平台SonarQube，从最早的代码风格逐渐衍生至代码质量分析。最近两年，该公司也通过并购方式切入代码安全市场，实现了营收和估值的多方位增长。未来任何规模和领域的软件研发团队，都存在从静态分析技术中受益的可能，只是在产品形态和商业模式上各家厂商都还需要做不同程度的持续探索和提升。

从应用看， SAST是目前静态代码分析技术最主要的落地场景。此外，利用静态代码分析技术来解决代码风格和代码质量问题也是比较常见的应用场景。在国外，这些静态分析产品的分类已经非常清晰，但在国内的区分度还有待加强，需要在国内市场进一步拆解不同场景下的需求和技术差异。以目前的国内市场来说，检测代码中的安全问题主要围绕Java等服务端常用语言展开，而对代码质量的检测则主要围绕C/C++展开。当前针对这两类场景，蜚语安全均有涉足，未来希望将静态代码分析技术作为底层能力，向上支持各类不同的场景化产品。

作为蜚语安全最为重要的第一款产品，Corax这一平台具备灵活、易用、检测精准度等特点。由于Corax是一款全新产品，技术框架更为灵活，得益于蜚语安全在相关技术领域多年的技术储备，能够更加方便的引入一些前沿的"黑科技"，如符号执行、抽象解释、函数摘要、自然语言处理等等技术，帮助提升检测能力。蜚语安全在Corax底层基础架构上做了模块化的解耦，能根据各类场景的需要，灵活封装成不同引擎。比如在安全攻防场景里，用户追求更准确的分析结果，对效率的要求不高。而在代码合规的场景里，客户会更追求扫描的效率。针对这些不同场景，Corax能够提供具备不同特点的引擎。进一步拆解，在精细化场景下，蜚语会重点提供结合符号执行等"重量级分析技术"的引擎。而在需要快速产出检查效果的场景里，蜚语会结合模式匹配、自然语言处理等技术提供轻量级引擎。从语言维度拆解，当前针对C/C++、Java、Go、Python等不同语言，蜚语安全均已经推出了具备不同特点的引擎。

除了不断完善与迭代产品，2022年蜚语安全在商业拓展方面也做出了很多突破。目前公司已经拥有数十家付费客户，覆盖基础软件、汽车、物联网、高端制造等对软件质量与安全有刚性需求的领域。同时，Corax也通过了信通院、公安部三所等权威机构的评估认证，与统信、麒麟、AliOS、OpenEuler、DaoCloud、极狐等基础平台完成了兼容。2023年在摆脱疫情的影响之后，蜚语安全希望拓展更多的行业应用场景，为用户带来更多的能力与产品。

投资人评价：

本轮投资方红华繁星管理合伙人许俊表示：代码静态分析是软件领域的基础性技术，潜在应用场景非常广泛。而且，传统SAST工具主要是安全团队使用，而海外的SonarQube等工具厂商通过给开发人员提供更便捷易用的工具而开辟了新的增长赛道。蜚语的Corax产品通过多引擎策略适配不同场景，并且通过对常见安全问题分析的深度优化而显著降低了误报率，因而获得了客户的持续好评。蜚语团队源自国内知名的GoSSIP软件安全研究小组，一直深耕软件安全、漏洞攻防和代码分析领域，是国内难得的既对业界最新的各项代码分析技术有深度专研，又对安全攻防有深刻理解的团队。繁星看好蜚语的增长潜力。作为专注网安领域的投资机构，除投资外，繁星还将从公司运营的多个方面帮助公司成长。

本轮财务顾问航行资本表示，软件供应链安全市场是个海外技术相对成熟，但国内却刚刚兴起的市场。随着国产软件的逐渐崛起，国内软件供应链安全面对巨大机会浪潮。基于代码静态分析技术的SAST产品是其中最具有普适性，客户应用最广泛，也是真正贴近研发的平台型产品。蜚语团队是其中难得同时具备学术背景和安全攻防能力，也是一直坚持产品驱动的年轻有热情的团队，我们非常看好蜚语未来的发展潜力。

蜚语安全是一家专注于提供软件供应链安全创新解决方案的网络安全企业，成立于2019年。蜚语安全孵化自上海交通大学计算机系，创始团队由4名博士组成，拥有十数年的前沿安全研究和一线安全业务经验。蜚语安全扎根左移安全开发赛道，深耕企业安全服务市场，以自动化程序分析技术为核心，致力于探索软件供应链安全的新场景和新边界。蜚语安全于2021年获得真格基金投资，服务于众多世界500强、高科技与互联网公司。得益于客户与资本市场的信任，蜚语安全正处在快速增长之中。

本文章暂未取得发布方确认，如有失实，可联系编辑，我们将作出相应处理。
详情请扫码联系编辑。

责任编辑： 云舒