36Kr获悉,DevSecOps开发安全平台公司思可云(北京)软件技术有限公司(以下简称“思可云”)宣布完成数千万元天使轮融资 。本轮投资方为先导新界资本,吴歌资本为独家财务顾问 。
36Kr之前曾推出过DevSecOps 。它是DevOps的衍生概念,指的是在DevOps流程中嵌入安全性 。其核心是安全前置,强调安全需要贯穿软件从开发到运行整个生命周期的每一个关键环节 。据观察,DevSecOps自2012年被Gartner提出以来,逐渐引起了业界的关注 。来自国外的一个例子是,在被称为“全球网络安全风向标”的RSA大会上,2020年十大企业中有三家与DevSecOps有关 。在国内,关于DevSecOps的讨论也越来越多,也出现了一些相关的安全创业公司 。
【创业计划书风险控制 创业计划书财务分析】思可云的核心团队来自全球最早的源代码检测公司Fortify、Checkmarx旗下知名安全公司和财富500强公司,在网络安全产品市场和技术方面拥有超过15年的经验 。公司高管追溯到2006年左右,国内市场基本没有开发安全意识 。到了2012年左右,一些大B、大G客户已经熟悉了这类产品,很多腰部客户开始产生购买需求 。截至目前,国内软件交易量较十年前增长数倍,开发安全越来越受到重视 。安全产品的开发得到了客户的广泛认可,很多投资者都关注了这个市场 。
谈及公司特点,其高管认为,思可云是国内少数几家拥有完全自主知识产权的源代码安全检测解决方案提供商之一 。除了源代码检测产品,其“findmyna”产品系列还包括开源组件、源代码防泄漏等九大细分产品,希望能帮助企业搭建一个开发安全平台 。
在整个市场上,目前的安全测试工具是开发安全公司向客户提供的主要产品类型之一 。主流工具包括静态应用安全测试(SAST)、动态应用安全测试(DAST)、交互式应用安全测试(IAST)等 。
从技术角度来看,SAST的意思不是运行被测程序本身,而是通过分析或检查源代码或二进制文件的语法、语义、数据流、控制流、上下文结构、配置和接口来检查程序的安全性和正确性 。DAST指的是在测试或运行阶段分析应用程序的动态运行状态 。它主要模拟黑客的行为来动态攻击应用程序,通过分析应用程序的反应来判断应用程序是否易受攻击 。IAST通过部署在服务器上的代理和Agent程序的方式,收集和监控Web应用的请求数据和功能执行情况,并与扫描器实时交互,识别安全漏洞 。
目前有企业认为IAST产品比较新,很多厂家也推出了相应的产品 。对此,司可云高管认为,目前市场对IAST产品的理解存在一定偏差 。首先,它认为IAST不是一个新产品方案 。国外厂商十几年前就有这种产品了,但是这种产品在国内外还没有普及,用户的接受度也不是很高 。其次,从“安全左移”或“安全开发”的角度来看,IAST并不是DevSecOps或开发安全中最重要的产品,因为IAST产品本身的定位和原理决定了其应用场景是有限的(适用于个别开发语言的WEB应用系统) 。具体来说,首先,IAST产品不完全支持开发语言 。目前已知国内产品只支持一两种开发语言,会影响客户体验;此外,部分IAST产品需要插桩才能实现功能,可能会给客户实施带来困难;此外,它还存在一定的漏报问题,开发安全的目标是协调和组件所有开发人员对开发过程的每个环节进行安全治理,以确保
相应地,思可云强调其主攻SAST产品路线,这与市场上很多开发安全公司不同 。根据实践和观察,从从国外到国内用户的采购来看,SAST产品有较好的落地和执行,用户接受度也最高 。这是因为“发展安全”换句话说就是“安全发展” 。只有培训和指导每个开发人员安全编码,保证每一行代码的安全,才能更好地构建整个安全开发生命周期(SDL) 。公司技术团队认为,正是因为如此,掌握底层并细化到代码级的粒度,再推出一批整体开发安全向左向右的产品,才是最好的解决方案 。但难点在于,由于技术要求,SAST产品对开发语言的理解和编译水平要求较高,代码漏洞可能较多,使得此类产品的研发门槛较高 。目前思可云是一家很少掌握这类核心技术的公司,已经申请了多项专利 。
此外,上一篇文章中提到,思克云的“寻找星芭儿”产品系列还包括开源组件、源代码防泄漏等9个细分产品 。现在
的一些产品还在持续迭代中,公司最终想实现的目标是覆盖“开发-安全-运维”(DevSecOps)的全阶段,形成闭环 。在落地方面,思客云介绍目前在国产替代的大背景下,其产品已开始广泛部署于不少金融机构,大型央企,软件研发企业及制造业等,数量级别在数十家左右
在本轮融资之后,公司将主要进一步完善源代码安全产品,并构建安全开发综合管理平台 。
关于投资:
领航新界技术合伙人谭永献:根据全球信息安全发展技术趋势的研判,看好新一轮信息安全的投资热点方向,尤其持续看好与软件开发安全和应用安全相关的未来市场 。本次投资是领航新界在信息安全赛道的连续投资之一,未来还将持续布局构建信息安全生态圈 。
- 大学生版 蛋糕店创业计划书,产品设计创业计划书(大学生版)
- 烟台创业补贴政策2020,烟台创业补贴政策
- 通常我们将创业动机,驱动创业者做好客户关系的动机
- 想创业没钱怎么贷款 创业失败家人都不会理你
- 成功就业及自主创业 自主创业 选择成功的文章
- 金融服务项目计划书,互联网金融怎么创业
- 涉嫌擦边球的暴利生意 明年好门路创业代理
- 如何从股票代码辨别是不是创业板,怎么区分创业板股票和沪深股票
- 创业沙龙主题名称大全 杭州创业沙龙分享会
- 在校大学生创业项目 创业者调查报告