投資界1月31日消息，開發(fā)安全公司蜚語(yǔ)安全已于日前完成Pre-A輪融資。本輪融資投資方為紅華繁星網(wǎng)安天使基金，航行資本擔(dān)任獨(dú)家財(cái)務(wù)顧問。

蜚語(yǔ)安全成立于2019年，致力于解決開發(fā)人員在研發(fā)環(huán)境中的各種安全和漏洞問題，讓研發(fā)更專注于創(chuàng)新。公司目前主打靜態(tài)代碼分析工具，并基于此形成了Corax代碼安全分析平臺(tái)。

Corax是蜚語(yǔ)安全當(dāng)前的主打產(chǎn)品，于2022年年中推出。公司創(chuàng)始人束駿亮博士表示，除SAST之外，蜚語(yǔ)也在探索靜態(tài)分析技術(shù)的其他落地場(chǎng)景，比如針對(duì)當(dāng)下比較受關(guān)注的SCA，靜態(tài)代碼分析技術(shù)也能夠提供非常大的幫助。蜚語(yǔ)安全也會(huì)圍繞自身在靜態(tài)代碼分析技術(shù)上優(yōu)勢(shì)，推出有差異化競(jìng)爭(zhēng)力的SCA產(chǎn)品。

目前，靜態(tài)代碼分析技術(shù)的落地以SAST最為常見。當(dāng)前，利用SAST來(lái)尋找代碼中的質(zhì)量問題、代碼中的風(fēng)格問題和代碼安全問題，是三個(gè)主要應(yīng)用方向。

束駿亮博士表示，在國(guó)外，這些靜態(tài)分析產(chǎn)品的分類已經(jīng)非常清晰，但在國(guó)內(nèi)的區(qū)分度還有待加強(qiáng)。更深一步拆解不同場(chǎng)景下的技術(shù)差異，他介紹，檢測(cè)代碼中的安全問題主要圍繞Java等服務(wù)端常用語(yǔ)言展開，而對(duì)代碼質(zhì)量的檢測(cè)則主要圍繞C/C++展開。當(dāng)前針對(duì)這兩類場(chǎng)景，蜚語(yǔ)安全均有涉足，未來(lái)希望將靜態(tài)代碼分析技術(shù)作為底層能力，向上支持各類不同的場(chǎng)景化產(chǎn)品，SCA也正是其中一種。

另談及Corax的特點(diǎn)，束駿亮博士介紹，這一平臺(tái)靈活、易用、檢測(cè)精準(zhǔn)度更高。在檢測(cè)精準(zhǔn)度方面，他表示蜚語(yǔ)在相關(guān)領(lǐng)域有著多年的技術(shù)儲(chǔ)備，并且Corax是一款全新產(chǎn)品，技術(shù)框架更為靈活，更容易引入一些前沿的"黑科技"（如符號(hào)執(zhí)行、抽象解釋、函數(shù)摘要、自然語(yǔ)言處理等技術(shù)），幫助提升檢測(cè)精度。

而在靈活性上，由于蜚語(yǔ)的底層靜態(tài)代碼分析框架做了模塊化的解耦，所以能根據(jù)各類場(chǎng)景的需要，靈活封裝成不同引擎。"比如在安全攻防場(chǎng)景里，客戶追求更準(zhǔn)確的分析結(jié)果，對(duì)效率的要求不高。而在代碼合規(guī)的場(chǎng)景里，客戶會(huì)更追求掃描的效率。針對(duì)這些不同場(chǎng)景，我們會(huì)提供具備不同特點(diǎn)的引擎。"束駿亮博士舉例。更進(jìn)一步拆解，在精細(xì)化場(chǎng)景下，蜚語(yǔ)會(huì)重點(diǎn)提供結(jié)合符號(hào)執(zhí)行等"重量級(jí)分析技術(shù)"的引擎。而在需要快速產(chǎn)出檢查效果的場(chǎng)景里，蜚語(yǔ)會(huì)結(jié)合模式匹配、自然語(yǔ)言處理等技術(shù)提供輕量級(jí)引擎。從語(yǔ)言維度拆解，當(dāng)前針對(duì)C/C++、Java、Go、Python等不同語(yǔ)言，蜚語(yǔ)均已經(jīng)推出了具備不同特點(diǎn)的引擎。

而且，為了更契合研發(fā)流水線場(chǎng)景，蜚語(yǔ)的產(chǎn)品也具備容器化部署、DevOps集成等能力，能夠幫助企業(yè)降低落地成本。

除了產(chǎn)品不斷迭代之外，束駿亮博士表示近半年蜚語(yǔ)在商業(yè)拓展方面也實(shí)現(xiàn)了一些突破。當(dāng)前，公司已經(jīng)擁有數(shù)十家付費(fèi)客戶，覆蓋基礎(chǔ)軟件、汽車、物聯(lián)網(wǎng)、高端制造等對(duì)靜態(tài)代碼分析有剛性需求的領(lǐng)域。談及2023年規(guī)劃，束駿亮博士表示公司在新的一年希望拓展更多的行業(yè)應(yīng)用場(chǎng)景，同時(shí)也將持續(xù)進(jìn)行產(chǎn)品打磨，為用戶帶來(lái)更多的能力與產(chǎn)品。

總結(jié)而言，束駿亮博士認(rèn)為，靜態(tài)分析產(chǎn)品存在巨大的市場(chǎng)潛力。與動(dòng)態(tài)分析技術(shù)相比，靜態(tài)分析技術(shù)不需要準(zhǔn)備運(yùn)行環(huán)境、不挑選軟件類型、同時(shí)具備良好的自動(dòng)化和規(guī)模化能力、也能夠衍生出比較豐富的價(jià)值。同時(shí)，靜態(tài)分析技術(shù)天然具備了成為一種普適性研發(fā)支撐技術(shù)的潛力，產(chǎn)品也具備成為平臺(tái)型產(chǎn)品的能力。目前從全球范圍來(lái)看，也已經(jīng)有部分產(chǎn)品開始往平臺(tái)化方向轉(zhuǎn)變。比如老牌的開源代碼分析平臺(tái)，SonarQube，也從代碼風(fēng)格分析拓展到代碼質(zhì)量。最近兩年，該公司也通過并購(gòu)方式切入代碼安全市場(chǎng)，實(shí)現(xiàn)了營(yíng)收和估值的多方位增長(zhǎng)。

他覺得，未來(lái)任何規(guī)模和領(lǐng)域的軟件研發(fā)團(tuán)隊(duì)，都存在從靜態(tài)分析技術(shù)中受益的可能，只是在產(chǎn)品形態(tài)和商業(yè)模式上各家廠商都還需要做不同程度的持續(xù)探索和提升。

本輪投資方紅華繁星管理合伙人許俊表示：，代碼靜態(tài)分析是軟件領(lǐng)域的基礎(chǔ)性技術(shù)，潛在應(yīng)用場(chǎng)景非常廣泛。而且，傳統(tǒng)SAST工具主要是安全團(tuán)隊(duì)使用，而海外的SonarQube等工具廠商通過給開發(fā)人員提供更便捷易用的工具而開辟了新的增長(zhǎng)賽道。蜚語(yǔ)的Corax產(chǎn)品通過多引擎策略適配不同場(chǎng)景，并且通過對(duì)常見安全問題分析的深度優(yōu)化而顯著降低了誤報(bào)率，因而獲得了客戶的持續(xù)好評(píng)。蜚語(yǔ)團(tuán)隊(duì)源自國(guó)內(nèi)知名的GoSSIP軟件安全研究小組，一直深耕軟件安全、漏洞攻防和代碼分析領(lǐng)域，是國(guó)內(nèi)難得的既對(duì)業(yè)界最新的各項(xiàng)代碼分析技術(shù)有深度專研，又對(duì)安全攻防有深刻理解的團(tuán)隊(duì)。繁星看好蜚語(yǔ)的增長(zhǎng)潛力。作為專注網(wǎng)安領(lǐng)域的投資機(jī)構(gòu)，除投資外，繁星還將從公司運(yùn)營(yíng)的多個(gè)方面幫助公司成長(zhǎng)。