供应链管理|打造软件供应链安全平台,「安势信息」完成数千万元天使轮融资


36氪获悉 , 专注于软件组成分析(SCA: Software Composition Analysis , 以下或简称SCA)的「安势信息」已于日前完成天使轮融资 。 据了解 , 本轮融资金额在数千万元级别 , 投资方为晨壹投资 。
「安势信息」成立于2021年6月 , 专注于打造软件供应链安全平台 , 当前主要希望帮助企业客户应对开源软件中存在的安全以及合规问题 。 软件产品的生命周期包括设计、生产、交付、部署、使用及运营、停止等阶段 。 因此这一生命周期中所涉及的安全问题(尤其是生产、交付等环节的安全问题) , 是软件供应链安全关注的重点对象 。
具体而言 , 软件的生产阶段涉及产品的开发、集成、构建等 , 此阶段的供应链安全问题主要包括三类:第一类是针对软件生产要素的攻击 , 即攻击者利用安全漏洞等修改编码环境、源码库等开发工具 , 或软件自身植入恶意代码 , 并在用户下载使用后产生安全风险;第二类是开发者未经安全测试而直接使用第三方软件 , 特别是开源组件 , 这会在给产品带来安全风险的同时引入法律风险;第三类是软件产品构建时 , 开发人员在编译和链接、产品容器化、打包等过程中 , 使用的工具或产品对象本身被污染或恶意修改而带来安全风险 。 按安全行业内的细分 , 软件供应链安全首先关注软件在构建时的安全问题 , 属于应用安全 。 同时其在更细分的领域也属于开发安全 , 也和时下讨论较多的DevSecOps有所关联 。
尤其在最近 , 开源软件的安全问题随着去年年底发生的Log4j2漏洞事件而更引起世界级范围的广泛关注 , 「安势信息」的第一款产品亟希望从软件组成分析(SCA)的角度切入 , 帮助企业解决使用开源软件/组件时可能存在的安全威胁和合规问题 。
公司创始人兼总裁薛植元向36氪介绍 , 过去国内已有不少大型企业重视软件供应链中开源组件的安全和合规问题 。 不过出于市场产品成熟度方面的考虑 , 它们会主要采购国外公司(如Synopsys、Snyk 等)的产品 。 但近年来随着国际宏观环境的变化 , 软件组成分析(SCA)工具也产生了国产替代趋势 , 「安势信息」的定位即是顺应这一需求 , 为客户提供能满足其业务诉求的高端SCA类产品 。
谈及打造产品和解决方案的具体思路 , 薛植元表示 , 其将开源软件供应链管理的难点总结为三点——People、Process和Technology(简称PPT) 。 其中 , 技术是影响产品打造的一个重点 。 在这个方面 , 首先开源软件的庞杂性较强 , 「安势信息」需要收录数量庞大、高时效性的开源软件打造自己的数据库;第二 , 公司还需要打造全面且深入的扫描引擎 , 用以识别以各种形式被引入软件中的开源组件 。
【供应链管理|打造软件供应链安全平台,「安势信息」完成数千万元天使轮融资】具体在数据库的积累方式上 , 当前「安势信息」使用专门的团队进行开源软件信息的爬取、数据的清洗及检索 , 以此在源头上保证引擎所需数据的准确性 。 而在扫描引擎的打造过程中 , 其还需要尽可能识别出几乎所有形式的开源引入——比如完整引用开源组件进行修改后进行二次分发 , 和复制开源组件中的部分代码 , 以及开源组件彼此之间互相依赖的引入等 , 这些不同的引入方式需要的是不同细粒度的扫描引擎 。
当前 , 「安势信息」的重心会放在代码片段级别的、相较细粒度较高的引擎构建上 。 而构建代码片段级别的引擎 , 需要做到精准度与效率的结合 。 首先 , 由于代码片段细腻的细粒度 , 检测时可能会检测出不少由于简单调整字符串、大小写、注释等原因出现的疑似引入 , 这意味着引擎匹配规则要尽可能精确、剔除干扰项 , 同时需要依赖尽可能全面、精准的代码片段的数据库 , 从而中进行精准的开源组件匹配 。