《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動(dòng)態(tài) > 全清華班底,智能模糊測(cè)試安全公司“水木羽林”完成千萬級(jí)天使輪融資

全清華班底,智能模糊測(cè)試安全公司“水木羽林”完成千萬級(jí)天使輪融資

2021-09-09
來源: FreeBuf
關(guān)鍵詞: 軟件安全

  軟件安全值得關(guān)注。

  36氪獲悉,關(guān)注軟件安全的初創(chuàng)安全公司「水木羽林」已于日前完成千萬元級(jí)天使輪融資,本輪投資人包括前沿基金、銀杏谷資本、斗象科技、海南層林等。

  當(dāng)前,不少企業(yè)面臨的安全問題之一即是軟件的安全無法保障。所以,軟件在開發(fā)流程中的安全問題也引起不少關(guān)注。根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)早前的統(tǒng)計(jì),在發(fā)布后執(zhí)行代碼修復(fù),其修復(fù)成本相當(dāng)于在設(shè)計(jì)階段執(zhí)行修復(fù)的30倍。而開發(fā)安全類產(chǎn)品則從開發(fā)過程切入,希望通過對(duì)軟件開發(fā)流程的管控,降低軟件本身存在的安全風(fēng)險(xiǎn)。

  當(dāng)前為了解決這一問題,業(yè)內(nèi)出現(xiàn)了不同類型的工具,其中主要包括AST工具,涵蓋靜態(tài)應(yīng)用程序安全測(cè)試(SAST)、動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)、交互式應(yīng)用程序安全測(cè)試(IAST)產(chǎn)品等。公司介紹,當(dāng)前AST工具在應(yīng)用程序上的效果顯著,而Fuzz技術(shù)可以更好的適配到不同類型的基礎(chǔ)和系統(tǒng)軟件,并在漏報(bào)和誤報(bào)以及自動(dòng)化支持上取得更好的平衡。

  36氪也觀察到,當(dāng)前一些公司以FUZZ類產(chǎn)品為主打,希望幫助企業(yè)解決軟件安全問題。本文主角「水木羽林」,正式成立于2021年3月,其團(tuán)隊(duì)核心成員均畢業(yè)于清華大學(xué),在軟件安全測(cè)試方向有超過10年積累,在SOSP和S&P等軟件系統(tǒng)和信息安全領(lǐng)域頂會(huì)上發(fā)表30余篇學(xué)術(shù)論文,在各類系統(tǒng)軟件上挖掘數(shù)百個(gè)高危安全漏洞收錄到國(guó)家安全漏洞庫中。公司主打產(chǎn)品為XFUZZ智能模糊測(cè)試系統(tǒng),不僅支持應(yīng)用層軟件及類庫,也支持協(xié)議、內(nèi)核、數(shù)據(jù)庫等大規(guī)?;A(chǔ)軟件的自動(dòng)化安全測(cè)評(píng)。

  公司COO李遠(yuǎn)翼介紹,XFUZZ智能模糊測(cè)試系統(tǒng)是新一代軟件質(zhì)量與安全檢測(cè)平臺(tái),可以對(duì)各種層次與類型的軟件進(jìn)行自動(dòng)化漏洞挖掘,有效檢測(cè)各類高危漏洞,提升軟件健壯性和安全性,為軟件供應(yīng)鏈安全提供基礎(chǔ)支撐。

  其還介紹,智能模糊測(cè)試會(huì)在測(cè)試過程中動(dòng)態(tài)觀察程序的反饋,利用污點(diǎn)分析和硬件指令追蹤等技術(shù)引導(dǎo)測(cè)試輸入的生成,更快更多的觸發(fā)程序分支,分支覆蓋的越深,最終找到的漏洞越多。不過在李遠(yuǎn)翼看來,由于程序不同,如今具體的覆蓋度指標(biāo)不能一概而論,但這種自動(dòng)化的測(cè)試輸入生成手段,可以顯著降低當(dāng)前軟件測(cè)試和安全分析的難度和人力成本。

  當(dāng)前,「水木羽林」主要依靠智能模糊測(cè)試等前沿技術(shù),瞄準(zhǔn)開發(fā)安全、代碼安全等DevSecOps場(chǎng)景,希望解決各行業(yè)軟件供應(yīng)鏈安全保障難題。

  具體展開,公司介紹其XFUZZ智能模糊測(cè)試系統(tǒng)具有如下亮點(diǎn):

  ?智能深度挖掘能力:在權(quán)威第三方及客戶測(cè)試數(shù)據(jù)集的對(duì)比中,相較于AFL,Peach,Syzkaller等標(biāo)桿工具,核心指標(biāo)如測(cè)試覆蓋率,發(fā)現(xiàn)缺陷數(shù),測(cè)試速度等均大幅領(lǐng)先。

  跨層全棧支持能力:全面支持應(yīng)用、類庫、數(shù)據(jù)庫、操作系統(tǒng)、通信協(xié)議等檢測(cè)對(duì)象,完整覆蓋軟件供應(yīng)鏈,在Linux,MySql,IEC104等基礎(chǔ)軟件及協(xié)議上累計(jì)發(fā)現(xiàn)百余個(gè)漏洞被中美國(guó)家信息安全漏洞庫作為CVE官方收錄。

   DevSecOps支持能力:通過全量API、CLI工具等特性,可實(shí)現(xiàn)自動(dòng)化、集成化與持續(xù)化的軟件開發(fā)安全左移,支持測(cè)試驅(qū)動(dòng)自動(dòng)生成,覆蓋信息實(shí)時(shí)顯示,缺陷報(bào)告自動(dòng)生成,缺陷輸入自動(dòng)復(fù)現(xiàn)等功能。

  另外,當(dāng)前行業(yè)內(nèi)也正出現(xiàn)各類技術(shù)路線不同的工具,不同工具往往具備不同功能特點(diǎn),在一些場(chǎng)景下可以整合滿足客戶需求,之后「水木羽林」也會(huì)進(jìn)行相關(guān)拓展,完善自身產(chǎn)品覆蓋面。

  在具體的商業(yè)化落地上,「水木羽林」在成立半年來已獲統(tǒng)信軟件、南大通用等客戶數(shù)百萬元訂單。本輪融資之后,公司也將持續(xù)投入產(chǎn)品研發(fā),同時(shí)不斷拓展市場(chǎng)。

 


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。