36氪获悉,关注软件安全的初创安全公司「水木羽林」已于日前完成千万元级天使轮融资,本轮投资人包括前沿基金、银杏谷资本、斗象科技、海南层林等。

当前,不少企业面临的安全问题之一即是软件的安全无法保障。所以,软件在开发流程中的安全问题也引起不少关注。根据美国国家标准与技术研究所(NIST)早前的统计,在发布后执行代码修复,其修复成本相当于在设计阶段执行修复的30倍。而开发安全类产品则从开发过程切入,希望通过对软件开发流程的管控,降低软件本身存在的安全风险。

当前为了解决这一问题,业内出现了不同类型的工具,其中主要包括AST工具,涵盖静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)产品等。公司介绍,当前AST工具在应用程序上的效果显著,而Fuzz技术可以更好的适配到不同类型的基础和系统软件,并在漏报和误报以及自动化支持上取得更好的平衡。

36氪也观察到,当前一些公司以FUZZ类产品为主打,希望帮助企业解决软件安全问题。本文主角「水木羽林」,正式成立于2021年3月,其团队核心成员均毕业于清华大学,在软件安全测试方向有超过10年积累,在SOSP和S&P等软件系统和信息安全领域顶会上发表30余篇学术论文,在各类系统软件上挖掘数百个高危安全漏洞收录到国家安全漏洞库中。公司主打产品为XFUZZ智能模糊测试系统,不仅支持应用层软件及类库,也支持协议、内核、数据库等大规模基础软件的自动化安全测评。

公司COO李远翼介绍,XFUZZ智能模糊测试系统是新一代软件质量与安全检测平台,可以对各种层次与类型的软件进行自动化漏洞挖掘,有效检测各类高危漏洞,提升软件健壮性和安全性,为软件供应链安全提供基础支撑。

其还介绍,智能模糊测试会在测试过程中动态观察程序的反馈,利用污点分析和硬件指令追踪等技术引导测试输入的生成,更快更多的触发程序分支,分支覆盖的越深,最终找到的漏洞越多。不过在李远翼看来,由于程序不同,如今具体的覆盖度指标不能一概而论,但这种自动化的测试输入生成手段,可以显著降低当前软件测试和安全分析的难度和人力成本。

当前,「水木羽林」主要依靠智能模糊测试等前沿技术,瞄准开发安全、代码安全等DevSecOps场景,希望解决各行业软件供应链安全保障难题。

具体展开,公司介绍其XFUZZ智能模糊测试系统具有如下亮点:

• 智能深度挖掘能力:在权威第三方及客户测试数据集的对比中,相较于AFL,Peach,Syzkaller等标杆工具,核心指标如测试覆盖率,发现缺陷数,测试速度等均大幅领先。

• 跨层全栈支持能力:全面支持应用、类库、数据库、操作系统、通信协议等检测对象,完整覆盖软件供应链,在Linux,MySql,IEC104等基础软件及协议上累计发现百余个漏洞被中美国家信息安全漏洞库作为CVE官方收录。

• DevSecOps支持能力:通过全量API、CLI工具等特性,可实现自动化、集成化与持续化的软件开发安全左移,支持测试驱动自动生成,覆盖信息实时显示,缺陷报告自动生成,缺陷输入自动复现等功能。

另外,当前行业内也正出现各类技术路线不同的工具,不同工具往往具备不同功能特点,在一些场景下可以整合满足客户需求,之后「水木羽林」也会进行相关拓展,完善自身产品覆盖面。

在具体的商业化落地上,「水木羽林」在成立半年来已获统信软件、南大通用等客户数百万元订单。本轮融资之后,公司也将持续投入产品研发,同时不断拓展市场。

声明:本文来自36氪,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。