36氪獲悉，DevSecOps敏捷安全廠商「懸鏡安全」于今日正式宣布完成數(shù)億元人民幣B輪融資。本輪融資由源碼資本領(lǐng)投、GGV紀(jì)源資本跟投，紅杉中國繼續(xù)加持。元啟資本擔(dān)任本輪獨(dú)家財(cái)務(wù)顧問。

懸鏡安全是36氪持續(xù)關(guān)注的一家硬科技驅(qū)動(dòng)的敏捷安全公司。其專注DevSecOps軟件供應(yīng)鏈持續(xù)威脅一體化檢測(cè)防御，旗下原創(chuàng)懸鏡DevSecOps智適應(yīng)威脅管理體系。

據(jù)了解，這一體系主要覆蓋從威脅建模、開源治理、風(fēng)險(xiǎn)發(fā)現(xiàn)、威脅模擬到檢測(cè)響應(yīng)等關(guān)鍵環(huán)節(jié)的開發(fā)運(yùn)營一體化敏捷安全產(chǎn)品，及以實(shí)戰(zhàn)攻防對(duì)抗為特色的軟件供應(yīng)鏈安全服務(wù)，旨在幫助企業(yè)組織逐步構(gòu)筑一套適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進(jìn)的內(nèi)生積極防御體系。國際上，懸鏡的同行企業(yè)Snyk在2021年連續(xù)融資E、F兩輪，總?cè)谫Y額達(dá)到14億美金。

公司創(chuàng)始人兼CEO子芽向36氪介紹，懸鏡在近一年中的業(yè)務(wù)進(jìn)展主要體現(xiàn)在核心產(chǎn)品研發(fā)、原創(chuàng)技術(shù)開源和商業(yè)化落地等三方面。

首先在產(chǎn)品架構(gòu)上，懸鏡目前打造了較完整的體系，主要包括一款全流程平臺(tái)和四款CI/CD工具鏈產(chǎn)品。其中平臺(tái)是夫子DevSecOps全流程安全賦能平臺(tái)，工具鏈包括源鑒OSS/Open SCA開源威脅治理、靈脈IAST灰盒安全測(cè)試、靈脈BAS智慧威脅模擬和云鯊RASP自適應(yīng)威脅免疫。

談差異化能力，36氪觀察到至少從2020年起，業(yè)內(nèi)專注DevSecOps的公司日漸增多，不少企業(yè)也多從IAST入手提供產(chǎn)品。對(duì)此子芽介紹，當(dāng)前懸鏡的IAST產(chǎn)品在開發(fā)語言的覆蓋和檢出率精準(zhǔn)度上均具備明顯優(yōu)勢(shì)，在信通院2021年的《中國DevOps現(xiàn)狀調(diào)查報(bào)告》中，其IAST產(chǎn)品以5.84%的市場(chǎng)占有率排名第一。而之所以能做到這樣的效果，其表示，在關(guān)鍵技術(shù)路線上，懸鏡產(chǎn)品采用具備真正自適應(yīng)能力的原創(chuàng)代碼疫苗技術(shù)，通過輕量級(jí)插樁探針深入應(yīng)用內(nèi)部，結(jié)合自學(xué)習(xí)分析引擎，可以在準(zhǔn)確理解情境上下文的基礎(chǔ)上快速識(shí)別應(yīng)用自身缺陷和安全風(fēng)險(xiǎn)。

另外，公司還在去年發(fā)布了RASP產(chǎn)品，通過“單探針”策略，使用戶只需要在應(yīng)用中部署一次探針就能獲得IAST和RASP的雙重能力，在降低客戶部署成本的同時(shí)快速提升業(yè)務(wù)應(yīng)用的自我安全防御能力。在SCA層面，隨著開源軟件在全球范圍內(nèi)的流行，開源軟件安全的重要性也隨之提升。對(duì)此，懸鏡也在2021年正式對(duì)外開放Open SCA開源社區(qū)，用開源的方式做開源治理，并同時(shí)對(duì)外提供開源版本和企業(yè)版本的SCA產(chǎn)品。子芽介紹，之所以要針對(duì)SCA打造開源社區(qū)，是希望全球有更多開發(fā)者用戶在編碼階段就可以更好的使用創(chuàng)新的SCA技術(shù)來做開源治理，更好地實(shí)現(xiàn)安全前置。

另外在商業(yè)化上，子芽介紹，當(dāng)前客戶會(huì)根據(jù)自身的差異需求選購懸鏡的多樣化產(chǎn)品。當(dāng)前，公司的企業(yè)客戶包括中國人民銀行、中國銀聯(lián)、中國銀行、中國工商銀行、浦發(fā)銀行、重慶銀行、廣州農(nóng)商銀行、蘇州農(nóng)商銀行、浙商銀行、SHEIN、中國平安、中信建投證券、上海證券交易所、中國石化、中國石油、中國電信研究院、中國移動(dòng)研究院、中國聯(lián)通研究院、中體彩、人民網(wǎng)、國家電網(wǎng)、北京大學(xué)、中興通訊、中國工程物理研究院、小鵬汽車、東風(fēng)日產(chǎn)、長安汽車、中國汽車研究院、南方航空等眾多行業(yè)標(biāo)桿用戶。在整體數(shù)量上，懸鏡當(dāng)前的企業(yè)客戶已經(jīng)達(dá)到數(shù)百家。

從開發(fā)源頭做敏捷安全治理

談及行業(yè)驅(qū)動(dòng)因素，公司介紹，從開發(fā)源頭做安全風(fēng)險(xiǎn)治理已經(jīng)成為愈發(fā)多企業(yè)保障軟件供應(yīng)鏈安全的剛需。

具體數(shù)據(jù)上，根據(jù)第三方權(quán)威調(diào)查，接近92%的已知安全漏洞都發(fā)生在軟件應(yīng)用程序中，且應(yīng)用中每1000行代碼至少出現(xiàn)一個(gè)業(yè)務(wù)邏輯缺陷。此外，78%-90%的現(xiàn)代應(yīng)用融入了開源組件，平均每個(gè)應(yīng)用包含147個(gè)開源組件，且67%的應(yīng)用采用了帶有已知漏洞的開源組件。反觀現(xiàn)狀，公司介紹目前絕大多數(shù)企業(yè)用戶對(duì)業(yè)務(wù)應(yīng)用漏洞的發(fā)現(xiàn)除了內(nèi)部自測(cè)以外，多半源自外部第三方安全研究人員或安全廠商。整個(gè)軟件開發(fā)生命周期中，不同階段修復(fù)安全漏洞的成本差距顯著，研發(fā)測(cè)試階段與線上運(yùn)營階段的修復(fù)成本甚至能夠相差數(shù)百倍。因此，前置安全工作，把漏洞風(fēng)險(xiǎn)及開源威脅消滅在萌芽狀態(tài)，防止應(yīng)用帶病上線，保障軟件供應(yīng)鏈安全十分迫切且必要。

針對(duì)這種情況，懸鏡安全旗下明星產(chǎn)品之一靈脈IAST灰盒安全測(cè)試平臺(tái)，作為懸鏡DevSecOps智適應(yīng)威脅管理體系中上線前測(cè)試環(huán)節(jié)的應(yīng)用風(fēng)險(xiǎn)發(fā)現(xiàn)平臺(tái)，通過新一代全場(chǎng)景實(shí)時(shí)數(shù)據(jù)流情景分析技術(shù)，如運(yùn)行時(shí)應(yīng)用插樁（含動(dòng)態(tài)污點(diǎn)追蹤及交互式缺陷定位）、終端流量代理、旁路流量鏡像、主機(jī)流量嗅探、啟發(fā)式爬蟲、Web日志實(shí)時(shí)分析等和原創(chuàng)AI啟發(fā)滲透測(cè)試技術(shù)賦能傳統(tǒng)IT從業(yè)人員，在甲方用戶的組織內(nèi)部快速建立安全眾測(cè)模式，使傳統(tǒng)安全小白（如研發(fā)、測(cè)試、QA等）完成應(yīng)用功能測(cè)試的同時(shí)即可透明實(shí)現(xiàn)深度業(yè)務(wù)安全測(cè)試，運(yùn)行時(shí)動(dòng)態(tài)監(jiān)測(cè)開源風(fēng)險(xiǎn)，精準(zhǔn)覆蓋95%以上中高危漏洞，有效防止應(yīng)用帶病上線。

用智能攻防來度量安全有效性

另外，攻防對(duì)抗是網(wǎng)絡(luò)安全建設(shè)過程中永恒的主題，是檢驗(yàn)現(xiàn)有安全體系防御應(yīng)對(duì)未知威脅成效能力最為直接的方式。這其中的手段包括持續(xù)的安全眾測(cè)、不定期進(jìn)行攻防演練并輔以配套的檢測(cè)響應(yīng)手段等。

針對(duì)這類需求，懸鏡安全旗下另外一款明星級(jí)產(chǎn)品靈脈BAS智慧威脅模擬平臺(tái)，作為懸鏡DevSecOps智適應(yīng)威脅管理體系中運(yùn)營環(huán)節(jié)的自動(dòng)化威脅模擬和安全驗(yàn)證平臺(tái)，在國內(nèi)創(chuàng)新實(shí)現(xiàn)“AI+威脅模擬”的智能攻防演練機(jī)器人系統(tǒng)，將安全專家在大量滲透測(cè)試過程中積累的實(shí)戰(zhàn)經(jīng)驗(yàn)轉(zhuǎn)化為機(jī)器可存儲(chǔ)、識(shí)別、處理的結(jié)構(gòu)化經(jīng)驗(yàn)，并且在自動(dòng)化測(cè)試過程中借助人工智能算法不斷進(jìn)行“自我思考”和邏輯推理決策，以貼近實(shí)際專家滲透測(cè)試的方式，對(duì)給定目標(biāo)進(jìn)行從信息收集、掃描探測(cè)、漏洞發(fā)現(xiàn)、漏洞利用、后滲透到持續(xù)驗(yàn)證的整個(gè)完整入侵模擬和安全度量過程，持續(xù)檢驗(yàn)甲方用戶現(xiàn)有安全防御措施的有效性，從“真實(shí)黑客”視角持續(xù)動(dòng)態(tài)評(píng)估目標(biāo)組織的安全態(tài)勢(shì)，并大幅度彌補(bǔ)安全人員水平參差不齊和效率低下的問題。

以代碼疫苗賦能業(yè)務(wù)出廠免疫

而且，隨著云原生技術(shù)的迅猛發(fā)展、應(yīng)用開源的快速普及和DevSecOps實(shí)踐的規(guī)?；涞?，網(wǎng)絡(luò)安全正在經(jīng)歷從邊界安全到端點(diǎn)安全、再到應(yīng)用安全的發(fā)展演進(jìn)，下一代應(yīng)用安全的技術(shù)重心將是運(yùn)行時(shí)情境感知。

懸鏡安全“積極防御”體系中的關(guān)鍵產(chǎn)品之一-云鯊RASP自適應(yīng)威脅免疫平臺(tái)，作為懸鏡DevSecOps智適應(yīng)威脅管理體系中運(yùn)營環(huán)節(jié)的檢測(cè)響應(yīng)平臺(tái)，通過專利級(jí)應(yīng)用漏洞攻擊免疫算法、運(yùn)行時(shí)安全切面調(diào)度算法、Webshell深度AI檢測(cè)引擎及縱深流量學(xué)習(xí)算法等關(guān)鍵技術(shù)，實(shí)現(xiàn)RASP與IAST關(guān)鍵技術(shù)深度融合，將主動(dòng)防御能力“注入”到數(shù)字化業(yè)務(wù)應(yīng)用中，借助強(qiáng)大的應(yīng)用上下文情景分析能力，可捕捉并防御各種繞過流量檢測(cè)的攻擊方式（如分段傳輸、編碼混淆變形、應(yīng)用內(nèi)存馬等），提供兼具業(yè)務(wù)透視和功能解耦的內(nèi)生主動(dòng)安全免疫能力，為業(yè)務(wù)應(yīng)用出廠默認(rèn)安全免疫迎來革新發(fā)展。

公司DevSecOps研究最新實(shí)踐成果

綜上，結(jié)合多年的敏捷安全落地實(shí)踐經(jīng)驗(yàn)和軟件供應(yīng)鏈安全研究成果，子芽表示懸鏡安全探索出一套基于原創(chuàng)專利級(jí)“敏捷流程平臺(tái)+關(guān)鍵技術(shù)工具鏈+組件化軟件供應(yīng)鏈安全服務(wù)”的第三代DevSecOps智適應(yīng)威脅管理體系。

圖1：懸鏡第三代DevSecOps智適應(yīng)威脅管理體系

公司介紹，這一體系作為DevSecOps全流程敏捷安全賦能平臺(tái)，從構(gòu)筑之初就注重技術(shù)落地的柔和低侵入性，從驅(qū)動(dòng)DevSecOpsCI/CD管道持續(xù)運(yùn)轉(zhuǎn)的幾大關(guān)鍵實(shí)踐點(diǎn)入手，通過對(duì)威脅建模、開源治理、風(fēng)險(xiǎn)發(fā)現(xiàn)、威脅模擬及檢測(cè)響應(yīng)等關(guān)鍵技術(shù)創(chuàng)新賦能企業(yè)組織現(xiàn)有人員，旨在幫助用戶逐步構(gòu)筑一套適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進(jìn)的內(nèi)生積極防御體系。

整體談及公司理念，子芽表示，安全的本質(zhì)是風(fēng)險(xiǎn)和信任的動(dòng)態(tài)平衡，懸鏡一直在幫助甲方用戶更好地?fù)肀ё兓焖俚剡m應(yīng)云原生技術(shù)普及，做好內(nèi)生敏捷安全。其還提及，相比過往傳統(tǒng)的原生軟件應(yīng)用，一個(gè)很明顯的技術(shù)趨勢(shì)是，未來絕大多數(shù)被發(fā)布出來的數(shù)字化應(yīng)用將是安全可信的，原因是這些應(yīng)用可以借助代碼疫苗技術(shù)的能力，實(shí)現(xiàn)應(yīng)用自身缺陷和風(fēng)險(xiǎn)的自發(fā)現(xiàn)和外部未知威脅的出廠免疫”。

圖2：DevSecOps敏捷安全工具金字塔v2.0

另外，懸鏡也會(huì)根據(jù)每年的研究和實(shí)踐，持續(xù)完善DevSecOps敏捷安全工具金字塔，旨在達(dá)到既預(yù)測(cè)未來DevSecOps關(guān)鍵技術(shù)演進(jìn)的路線，又為業(yè)內(nèi)組織后續(xù)的體系化安全建設(shè)指明方向的效果。

最后談及最新業(yè)務(wù)規(guī)劃，子芽表示，本輪融資后懸鏡將進(jìn)一步深化在中國軟件供應(yīng)鏈安全關(guān)鍵技術(shù)的創(chuàng)新研發(fā)，及上下游產(chǎn)業(yè)生態(tài)的布局，希望憑借下一代敏捷安全框架，在DevSecOps敏捷安全、軟件供應(yīng)鏈安全和云原生安全等新興應(yīng)用場(chǎng)景下打造閉環(huán)的第三代懸鏡DevSecOps智適應(yīng)威脅管理體系。并且，公司還計(jì)劃持續(xù)升級(jí)在華北、華東、華南、華中、西南、港澳等地區(qū)的規(guī)?；a(chǎn)品服務(wù)交付和運(yùn)營能力，深度覆蓋金融電商、能源電力、智能制造、電信運(yùn)營商及泛互聯(lián)網(wǎng)等企業(yè)級(jí)安全市場(chǎng)。

關(guān)于投資：

本輪領(lǐng)投方源碼資本合伙人黃云剛表示：“DevSecOps是云原生大背景下安全敏捷化的必然趨勢(shì)。以威脅管理為中心，整合多種工具鏈，DevSecOps體系能夠幫助企業(yè)把安全貫穿于開發(fā)到運(yùn)營的軟件全生命周期中，必將成為企業(yè)數(shù)字基礎(chǔ)設(shè)施的重要組成部分。我們看好懸鏡安全在DevSecOps領(lǐng)域的技術(shù)前瞻性，懸鏡的產(chǎn)品也已經(jīng)獲得了多個(gè)行業(yè)重要客戶的認(rèn)可。期待懸鏡能在IT基礎(chǔ)設(shè)施加速云化、安全環(huán)境日趨復(fù)雜的未來為客戶創(chuàng)造巨大價(jià)值?！?/p>

本輪跟投方GGV紀(jì)源資本管理合伙人李宏瑋表示：“隨著數(shù)字化和智能化的深入，軟件和應(yīng)用程序不斷加快迭代周期和上線速度，敏捷開發(fā)和開源也被廣泛應(yīng)用。在軟件的生命周期中，修復(fù)漏洞的成本隨著發(fā)現(xiàn)階段的進(jìn)程呈幾何級(jí)增長，目前缺乏有效的產(chǎn)品在代碼開發(fā)階段和上線前做出高效檢測(cè)。懸鏡的產(chǎn)品正是為此打造，且已經(jīng)在大量頭部客戶中積累了良好的口碑。GGV看好這支年輕團(tuán)隊(duì)，并將長期支持公司發(fā)展?！?/p>

PreA輪獨(dú)家領(lǐng)投方紅杉中國董事總經(jīng)理翟佳表示：“將安全嵌入DevOps流程形成DevSecOps，符合當(dāng)前的敏捷開發(fā)需求趨勢(shì)，使得安全可以‘左移’和‘右移’。DevSecOps滲透至研發(fā)到運(yùn)營整個(gè)軟件生命周期，與軟件供應(yīng)鏈安全息息相關(guān)，可以有效幫助企業(yè)在軟件開發(fā)階段實(shí)現(xiàn)數(shù)字化應(yīng)用漏洞的自動(dòng)化檢測(cè)與修復(fù)，進(jìn)而大幅降低業(yè)務(wù)安全成本和風(fēng)險(xiǎn)，這是網(wǎng)絡(luò)安全的新興重要發(fā)展方向。在這一領(lǐng)域不斷深耕的懸鏡具有確定的領(lǐng)先優(yōu)勢(shì)，構(gòu)筑了較深的行業(yè)壁壘，并且業(yè)務(wù)進(jìn)展迅速，拓展并沉淀了不少行業(yè)高質(zhì)量標(biāo)桿客戶，發(fā)展前景長期看好。”

關(guān)鍵詞：