安勢信息成立于2021年6月,專注于打造軟件供應鏈安全平臺,目前主要幫助企業客戶應對開源軟件中存在的安全以及合規問題。
談及開源軟件的安全問題,一個里程碑事件是2021年底爆發的Log4j漏洞——當時,這一"核彈級"漏洞事件將開源軟件的安全問題推向了風口浪尖。安勢信息的第一款產品清源(CleanSource) SCA即從軟件組成分析(SCA)的需求切入,在商業化第一年訂閱的總金額已經超過千萬元,成功覆蓋高科技互聯網、消費電子、智能制造、基礎軟件、汽車等領域的客戶。
從行業看,過去國內已有不少大型企業重視軟件供應鏈中開源組件的安全和合規問題。不過出于市場產品成熟度方面的考慮,他們一般會主要采購國外廠商的產品。近年來隨著國際宏觀環境的變化,軟件組成分析(SCA)等工具也產生了國產替代趨勢,安勢信息即順應這一需求,為客戶提供高端SCA類產品。
安勢信息創始人兼總裁薛植元表示與上次融資時相比,安勢信息如今在產品成熟度、商業化以及未來產品規劃方面均取得了突破性進展。
軟件組成分析(SCA)工具作為當前全球公認應對開源軟件安全與合規問題的主要解決方案,其挑戰之一就是如何準確全面的識別出代碼庫中的開源代碼,這背后要求 SCA 工具必須具備多維度的掃描探測技術和匹配算法,同時需要一個強大的數據庫來支撐。
安勢信息的清源 (CleanSource) SCA通過收錄數量龐大、高時效性的開源軟件打造自己的數據庫,同時結合多維度的掃描探測技術和匹配算法,幫助客戶識別以各種形式被引入軟件中的開源組件。
在掃描探測技術方面,早期,安勢信息的重心放在代碼片段級別的、相較細粒度較高的引擎構建上。而現在,清源(CleanSource) SCA已經能夠支持組件、文件、代碼片段、直接依賴、間接依賴等掃描,相較之前更為全面。
在數據庫方面,安勢信息通過對開源軟件的信息進行爬取,再進行清洗和檢索,不斷對數據庫進行打磨,以保證引擎使用數據的準確性。之后,引擎再根據數據庫的信息進行對比,通過匹配規則告知客戶開源軟件可能存在的安全與合規風險。近半年里清源(CleanSource) SCA數據庫中組件版本信息已經從1.4億上升到1.7億,代碼片段指紋也從2萬億增加到3萬億。安勢信息近期構建了兼具學術和實踐經驗的數據挖掘團隊,通過NLP等人工智能方式幫助進行自動化的數據清洗和數據挖掘,進一步提升數據庫的準確性與更新速度。
在易用性方面,清源(CleanSource) SCA如今可提供更為豐富的API接口和插件,方便用戶和更多的DevOps工具打通。
SCA工具之外,安勢信息當前也在推進SAST(靜態應用程序安全測試,也稱為白盒測試)產品線的研發。談及如此設計產品線的思路,薛植元表示,SCA意在幫助客戶發現自己所使用的開源組件中的安全性問題,SAST則能幫助客戶檢測自研代碼中的缺陷與安全問題。這意味著,這兩款產品的結合,可以覆蓋企業構建軟件過程中的大部分代碼安全問題。從全球市場來看,SAST和SCA也是市場空間最大的開發安全產品品類。
和SCA產品類似,目前占據優勢的SAST產品也主要來自國外廠商。近年借力國產化趨勢,國內也出現了不少SAST廠商,但產品能力大多和國外同業相比仍存在較大差距,這也給安勢信息提供了市場切入機會。當前安勢信息已搭建十余人的團隊推進這一產品的研發,核心人員不僅擁有985院校的博士或碩士學位,且有相關領域高質量學術論文的發表和深度項目開發經驗。該產品計劃于明年正式發布第一個版本。開發語言支持的深度及廣度是SAST產品的核心指標之一,安勢將從C/C++語言出發,最終覆蓋二十余種主流開發語言。
國內 ToB 產品的商業化之路一直以來充滿挑戰,安勢信息的清源(CleanSource) SCA 在商業化的第一年就成功服務眾多垂直領域的頭部企業。在商業模式上,清源(CleanSource) SCA采用訂閱模式,并可根據不同企業的規模提供適合的定價模式。未來,安勢信息的SAST產品也將采用訂閱模式收費。
團隊方面,安勢信息總裁薛植元曾任Checkmarx大中華區總經理,也是原Synopsys SIG大中華區業務負責人,主導過各類DevSecOps工具在中國的產業化落地。另外,今年安勢信息也引入了多名來自阿里、華為、OPPO、百度,以及曾就職于專業軟件供應鏈廠商的高管,和十余海內外名校博士、碩士的加入,幫助提升數據處理以及工程化能力,以及推進SAST產品線的研發。
本輪領投方微智數科的創始合伙人郭欣表示:"開源對軟件世界的貢獻越來越大,同時也帶來了軟件供應鏈的風險,過去幾年因軟件供應鏈引發的安全問題與合規問題呈指數級增長,軟件供應鏈安全需求迫在眉睫。安勢信息是我們在該領域看到的能力極為全面的公司,在成立僅一年的時間便推出了完全自主研發的具備代碼片段識別能力SCA產品,成功PK海外廠商,簽約眾多最頭部的互聯網與科技公司。
公司創始團隊兼具全球化視野與本地化落地的豐富經驗,對軟件供應鏈安全有著深刻的洞察,相信未來不斷推出的優秀產品能讓安勢信息邁上一個個新的臺階,成為具有國際影響力的軟件供應鏈安全公司。"
]]>開源軟件在促進全球的技術創新方面發揮著越來越重要的作用,企業越來越依賴開源軟件來加速開發與創新,根據 Gartner 的調查報告,如今超過 90% 的企業在其重要的 IT 系統中使用了開源軟件。不過正如2021年底爆發的Log4j事件對整個軟件供應鏈造成的影響,開源安全問題仍然充滿挑戰。通過SCA (Software Composition Analysis, 軟件成分分析) 工具,可幫助企業構建準確的 SBOM (Software bill of materials, 軟件物料清單),提供清晰的軟件成分可視性分析,降低和管理應用或容器中因使用開源軟件和其他第三方代碼(軟件)引入的安全、質量與許可證合規性風險。
在軟件開發過程中,企業將不可避免的直接或間接引入開源軟件。如在開發階段由開發人員引入的代碼片段,通過Maven等常用的包管理器引入的依賴等,正是由于開源軟件可能通過多種不同形式引入代碼庫,這就要求SCA工具必須具備不同的探測技術來準確識別在各種場景下引入代碼庫中的開源軟件。在這一點上,清源SCA充分覆蓋所有的引入場景:
1. 多維度的探測技術
清源 SCA可進行代碼片段識別、文件識別、組件識別、依賴識別和容器鏡像掃描。通過多種行業領先的算法打造出安全、合規、高效、易用的軟件成分分析系統,為企業梳理研發過程中的軟件物料清單,提供強大的技術支持。
SCA工具的挑戰之一是如何完整、準確的識別出產品中所引入的開源組件,除了多維度的探測技術和匹配算法外,同時必須有一個強大的數據庫,在此基礎上,關聯組件版本的許可證、漏洞、加密算法等其他特征數據。
2. 強大的數據庫
清源SCA擁有海量數據儲備,其中包含24萬漏洞數據、1億7千萬的組件信息、3萬億行開源代碼、2,000多種許可證類型、1000億文件特征信息等,檢測范圍覆蓋各大開源組件倉庫。清源SCA龐大的數據庫為準確識別開源組件提供強大的支撐,保證組件識別的完整性。同時,清源SCA的專家團隊不斷優化數據庫匹配算法的效率和性能,保證持續更新和積累。
隨著近年DevOps的應用與發展,SCA工具作為工具鏈當中的一環,集成與接入能力顯得尤為重要;其次,作為一款成熟的企業級的SCA工具,必須經過大型企業的落地實踐檢驗,產品性能需要滿足大型企業的高標準的要求,工具絕不能成為影響研發效率的卡點。通常大型企業的業務場景、組織架構比較復雜,所以一款企業級SCA工具必須具備負載均衡等靈活的方式來滿足企業復雜的需求場景。
3. 企業級的解決方案
清源SCA作為一款已在大型互聯網企業落地實踐的SCA工具,具備以下特點:
- 安全與合規并重
- 高并發
- 可擴展性
- 數據隔離
- 支持大型項目(>5GB、多語言)掃描
清源(CleanSource) SCA憑借突出的產品性能,可通過負載均衡等方式滿足高并發的需求。同具有極強的可擴展性、可滿足數據隔離,來達到資源的合理分配和最大化利用。
為滿足企業的數據安全合規需求,清源SCA同時支持私有云和公有云部署。作為一款軟件成分分析的工具,在提供本地部署的同時兼顧數據庫快速、高效更新。
4. 靈活的部署和更新
清源SCA引擎和KB庫均支持本地部署,支持掃描、代碼比對等全部離線掃描分析能力,掃描過程無需連接外網;并且代碼進行不可逆加密后識別,無代碼泄露風險。KB庫支持增量更新,多種方式滿足客戶在不影響業務的前提下快速、高效的完成更新。
多維度的探測技術、強大的數據庫、企業級的解決方案以及靈活的部署和更新方式構成了清源SCA的強大產品優勢,同時,此次在騰訊的成功部署,體現了安勢信息對大型企業強大的技術支持能力。
作為開源領域的"資深玩家",騰訊很早就開始接觸和使用SCA工具來推動內部開源安全和合規治理。面對規模愈趨龐大、復雜的開源組件,一款兼具掃描準確與高性能的企業級SCA工具顯得尤為重要。清源(CleanSource) SCA工具,經過多輪PoC測試,從眾多國內外競品中脫穎而出,滿足了騰訊對SCA工具的高標準要求:掃描速度快、掃描結果準確、及合規性掃描能力、知識庫全面,達到提升內部安全與合規管控的目的。
隨著國家數字化轉型不斷加速和開源產業的持續發展,多項發布的政策把開源上升到國家政策層面,肯定了開源模式對信息技術創新和軟件產業發展的重要性。同時,頻繁的開源軟件安全漏洞使開源軟件的安全與合規風險受到空前重視,安勢信息十分肯定SCA軟件成分分析技術將得到更加廣泛的應用。未來,安勢信息會繼續加大對產品研發的投入,不斷進行技術創新,助力提升中國軟件供應鏈安全。
]]>OpenChain項目是由Linux基金會發起的一項旨在制定開源軟件供應鏈標準,幫助全球企業更高效地解決開源許可證一致性的問題。
安勢信息創始人兼總裁薛植元表示:"我們很高興在開源生態領域與全球其他成員一起加入OpenChain。從2016年開始,OpenChain一直致力于為市場上不同規模的企業提供可信賴與合規一致的開源供應鏈。安勢信息將攜手OpenChain,在工具、培訓、研究、最佳實踐和咨詢方面,為開源社區做出持續貢獻。開源社區和OpenChain的協作基因也將有助于我們協調和利用業內最佳資源。我們相信,這樣的緊密合作將會讓軟件供應鏈變得更加安全和可靠。"
在混源開發不可避免的同時,一系列的安全和合規風險也伴隨著整個軟件開發生命周期,并影響著整個軟件供應鏈。安勢信息以行業領先的SCA產品作為切入點,圍繞DevSecOps流程,從工具到流程再到組織,堅持持續創新,打造獨具特色的端到端最佳實踐。經過團隊成員多年的持續積累,安勢信息目前已與多家高科技頭部企業建立了深厚的合作關系。
"就人口而言,中國是世界上最大的單一市場,也是全球供應鏈中最重要的一部分,"OpenChain的總經理Shane Coughlan說到:"安勢信息代表了圍繞開源的本土企業領先實力的發展。與產品交付能力緊密相關的是,產品的支持與服務流程需要不斷改善。在這個十年的開端,SCA一直是開源供應鏈中重要的組成部分,在未來幾年里,它仍將是至關重要的。"
在隨后OpenChain組織召開的第42期線上研討會上,上海安勢信息技術有限公司(下稱安勢信息)的技術市場總監王峰受邀出席并發表名為《SCA廠商在中國市場面臨的機遇與挑戰》的全英文主題演講。
王峰發表名為《SCA廠商在中國市場面臨的機遇與挑戰》的全英文主題演講
王峰擁有威斯康星大學麥迪遜分校電子工程學士、賓夕法尼亞大學電子工程碩士學位,曾擔任美國有線電視運營商Comcast高級軟件工程師,負責網絡自動化軟件開發等工作,作為企業內部開源貢獻者(Innersource Contributor)將項目和軟件在企業內部進行分享使用。他在美國工作學習11年,在感受到開源軟件在中國市場的蓬勃發展后,王峰選擇回國并加入安勢信息。
正如王峰在《SCA廠商在中國市場面臨的機遇與挑戰》主題演講中提到的,開源軟件在中國市場經歷了由萌芽到蓬勃發展的階段。
開源軟件在中國的緣起、落地及發展
中國的開源軟件產業相較于歐美發達國家而言起步相對較晚,大致經歷了從萌芽、云計算&人工智能加速落地和高速發展的三個階段。目前,中國已經逐步建立了相對成熟的開源生態系統。
在中國的開源生態領域,由云計算、科技企業孵化、創辦的開源企業/項目和由開發者社區、代碼托管平臺、開源基金會、開源聯盟共同構成了開源軟件市場的參與主體。
中國企業在積極參與全球開源生態建設的過程中,影響力與日俱增。截止目前GitHub有755萬名中國開發者,人數位居全球第二;更多的中國企業進入全球開源領域行業的前列;中國正成為全球開發者社區中不可忽視的重要力量。
此外,在這一時期,中國本土創辦了很多的開源組織和社區,企業積極捐獻開源項目,相關開源基金會的成立,共同推動中國開源產業發展壯大。安勢信息此次加入OpenChain,很榮幸能與中國信通院、華為和OPPO等伙伴共建可信、安全的軟件供應鏈。
開源產業同樣引起了國家層面的高度重視。政府將開源明確列入"十四五"規劃中,并從法律層面明確加強對知識產權的保護。一些因違反開源許可證使用協議( 例如: GPL 3.0 ) 引發的版權糾紛案也引起了企業對開源許可證合規的重視。
國內的開源生態發展經歷了一個從無都有,再到蓬勃發展過程,對全球開源的貢獻和影響力也會越來越大。
SCA的發展 挑戰與機遇并存
Apache Log4j漏洞事件的爆發,讓開源軟件供應鏈安全的話題熱度持續走高的同時,也為網絡安全市場吹來了新的風向。隨著開源風險的持續擴大,SCA(Software Composition Analysis,軟件成分分析)正在得到更廣泛的應用。
為了在SCA產品需求爆發式增長的市場中搶占高地,應用安全賽道涌現了一大批新的SCA廠商。據統計,中國SCA初創公司的數量較去年增長了1倍,資本也紛紛入局,開源領域的融資案例數量和資金總額不斷創新高。
放眼全球,當前國內企業在軟件安全方面的資金投入僅占全球企業軟件安全平均投入金額的三分之一,中國網絡安全市場的空間巨大。
隨后,王峰分別從政治、經濟、文化和技術四個角度分別闡釋了SCA廠商當前面臨的機遇和挑戰。機遇來自于在國家產業轉型升級的大環境下,政府對開源產業高度重視,相關政策和知識產權法律保護水平都有了顯著提升。
關于SCA廠商面臨的挑戰,王峰分別列舉了本土SCA廠商和海外SCA廠商亟需解決的問題并展開說明。中國開源軟件產業起步相對較晚,相關專業技術人才相對匱乏;另一方面,企業對開源合規的重要性認識還不夠;很多廠商提供的SCA工具往往更多的是基于安全而非合規,對于提供成熟的開源合規治理工具方面仍有很多經驗需要積累
海外SCA廠商在進入中國市場時也同樣面臨挑戰。例如:對本地支持較弱,不能提供二次開發服務,缺少靈活性;而隨著SaaS技術的發展,海外SCA供應商也在逐漸減少對本地化部署的支持,不能滿足部分有本地化部署需求的用戶;或因為一些其他因素對國內客戶斷供,無法為國內企業提供持續可靠的支持。
以上的外部因素和內部因素共同構成了中國SCA廠商面臨的機遇與挑戰。
擁抱開源,攜手OpenChain共建開源生態
作為中國市場領先的軟件供應鏈安全治理工具提供商,安勢信息加入OpenChain組織,將極大地促進開源許可證合規領域的國際標準OpenChain ISO/IEC 5230在中國市場的推廣,并幫助其在企業落地實施。
同時,作為OpenChain的一員,安勢信息將持續對市場輸出建立安全、可靠軟件供應鏈的重要性的理念,不斷提高市場對SCA工具和開源合規的重要性的認識。
安勢信息在高速發展的同時,一直高度重視與開源生態各領域的協作。公司近期也加入了OpenSSF (開源軟件安全基金會),有幸成為國內第一家加入該基金會的SCA廠商。并放眼全球,與全球領先的國際開源組織和微軟、谷歌、華為等伙伴一起攜手共建安全可靠的開源軟件供應鏈。
以技術為導向,以客戶為中心。安勢信息始終相信市場和客戶才是我們保持創新性和先進性的源泉和基石。"正本清源,不止于安全",安勢信息將堅持在軟件供應鏈風險治理上持續發力,不斷完善產品和最佳實踐。未來,安勢信息將攜手OpenChain,持續提升市場和企業對SCA關注和投入,更加緊密地擁抱開源。