公司动态

36氪获悉，著眼于应用软件共同组成预测（SCA: Software Composition Analysis，以下或全称SCA）的「安势重要信息」已于日前完成天使轮股权融资。据了解，本轮股权融资金额在数亿元等级，投资人为晨壹投资。

「安势重要信息」成立于2021年6月，著眼于打造出应用软件物流配送安全可靠平台，现期主要就期望协助民营企业顾客应对开放源码应用软件中存在的安全可靠以及合规性难题。应用软件商品的合作开发周期包括设计、制造、交货、部署、采用及运营、停止等期。因此而此合作开发周期中所牵涉的安全可靠难题（特别是制造、交货等环节的安全可靠难题），是应用软件物流配送安全可靠高度关注的奥萨玛。

具体内容而言，应用软件的制造期牵涉商品的合作开发、集成、构筑等，此期的物流配送安全可靠难题主要就包括三类：第三类是针对应用软件制造要素的攻击，即普通用户利用安全可靠漏洞等修正编码自然环境、Greene等合作开发辅助工具，或应用软件自身置入恶意标识符，并在用户下载采用后产生安全可靠信用风险；第三类是合作开发人员未经安全可靠测试而直接采用第三方应用软件，特别是开放源码模块，这会在给商品增添安全可靠信用风险的与此同时导入法律信用风险；第三类是应用软件商品构筑时，合作开发人员在校对和链接、商品容器化、打包等操作过程中，采用的辅助工具或商品对象本身被污染或恶意修正而增添安全可靠信用风险。按安全可靠行业内的行业龙头，应用软件物流配送安全可靠具体来说高度关注应用软件在构筑时的安全可靠难题，归属于应用安全可靠。与此同时其在更行业龙头的领域也归属于合作开发安全可靠，也和时下讨论非常多的DevSecOps有所关联。

特别在最近，开放源码应用软件的安全可靠难题随著去年年底发生的Log4j2漏洞事件而更引起国际级范围的广泛高度关注，「安势重要信息」的首款商品亟期望从应用软件共同组成预测（SCA）的角度瞄准，协助民营企业解决采用开放源码应用软件/模块时可能存在的安全可靠威胁和合规性难题。

子公司创始人兼总裁薛植元向36氪介绍，过去国内已有许多大型民营企业重视应用软件物流配送中开放源码模块的安全可靠和合规性难题。不过出于市场商品适用性方面的考虑，它们会主要就采购国外子公司（如Synopsys、Snyk 等）的商品。但近年来随著国际宏观自然环境的变化，应用软件共同组成预测（SCA）辅助工具也产生了国产替代趋势，「安势重要信息」的定位即是顺应而此需求，为顾客提供能满足其业务诉求的高端SCA类商品。

谈及打造出商品和解决方案的具体内容思路，薛植元表示，其将开放源码应用软件物流配送管理的症结总结为三点——People、Process和Technology（全称PPT）。其中，技术是影响商品打造出的一个重点。在这个方面，具体来说开放源码应用软件的繁杂性较强，「安势重要信息」须要收录数量庞大、高及时性的开放源码应用软件打造出自己的资料库；第二，子公司还须要打造出全面性且深入的扫描器发动机，用以辨识以各种形式被导入应用软件中的开放源码模块。

具体内容在资料库的积累形式上，现期「安势重要信息」采用专门的团队展开开放源码应用软件重要信息的爬取、统计数据的清洗及索引，以此在源头上保证发动机所需统计数据的准确度。而在扫描器发动机的打造出操作过程中，其还须要尽量辨识出几乎所有形式的开放源码导入——比如完整引用开放源码模块展开修正后展开二次递送，和复制开放源码模块中的部分标识符，以及开放源码模块彼此间互相倚赖的导入等，这些不同的导入形式须要的是不同mammalian的扫描器发动机。

现期，「安势重要信息」的重心会放在标识符短片等级的、相较mammalian较高的发动机构筑上。而构筑标识符短片等级的发动机，须要做到准确度与效率的结合。具体来说，由于标识符短片细腻的mammalian，检验时可能会检验出许多由于简单调整字符串、UTF、注释等原因出现的疑为导入，这意味着发动机匹配规则要尽量精确、剔除干扰项，与此同时须要倚赖尽量全面性、精准的标识符短片的资料库，从而中展开精准的开放源码模块匹配。

另一方面，由于标识符短片非常多，所以须要检验的内容也会非常多，如何提升检验效率也成为第二个须要解决的难题。目前在这两点上，「安势重要信息」的资料库已经覆盖2万亿行开放源码标识符、2000+种许可证类型、17万漏洞重要信息、1.4亿模块重要信息等。而针对效率难题，其也通过打造出相关算法的形式，达到扫描器单个文件只需20微秒的效果。

在具体内容落地场景上，通过标识符短片等级的扫描器发动机结合全新的构筑倚赖辨识扫描器发动机，可以形成包括项目许可、模块许可证、版本、漏洞、直接倚赖和间接倚赖模块关系的应用软件物料清单（SBOM），既可以用于防范应用软件物流配送中存在的漏洞、后门等，与此同时也能展开开放源码许可合规性治理。

可以看出，「安势重要信息」现期的SCA商品至少可以用在上述两个场景中。但薛植元从长期的从业经历中发现，对SCA类商品表现出重视的顾客，往往更注重这类商品的知识产权合规性作用。特别在出海场景下，高科技民营企业往往须要满足Global市场的合规性性要求，开放源码应用软件的合理采用就是其中一个不可避免的考量点。具体内容而言，开放源码应用软件的修正、递送经常牵涉不同许可证的不同要求，不遵守这些要求会使民营企业的商品和业务陷入不合规性的巨大信用风险之中。对比之下，虽然开放源码应用软件已经在国内广为采用，但许多合作开发人员法律方面意识较为薄弱，民营企业也缺少开放源码合规性方面的专业人才，这时就会体现出民营企业采买SCA类商品的价值。

并且薛植元还强调，虽然眼下许多民营企业的出海业务由于自然环境因素而受到更多挑战，但也正因此，包括开放源码应用软件安全可靠在内的合规性需求也成为刚需。现期，「安势重要信息」一方面将持续加强合规性预测发动机的技术突破，与此同时积极推进与大型民营企业、国内外权威行业机构、律所以及相关组织的合作，展开开放源码应用软件协议的合规性性研究和解读，让自身的商品更能满足民营企业日益增长的合规性性需求。

总体而言，「安势重要信息」所主打的顾客对象，正是具有强烈合规性诉求的高科技、互联网等顾客群体。另外，随著金融业对开放源码应用软件的采用日趋规范化，银行等金融顾客也将是子公司的主要就顾客类型。

在商业化进程上，子公司的SCA商品「清源 Clean Source」于去年10月底发布，如今已有多家来自互联网、半导体及汽车等行业顾客的合作意向，其中一些已进入具体内容商务洽谈期。

团队方面，「安势重要信息」总裁薛植元曾任Checkmarx大中华区总经理，也是原Synopsys SIG大中华区业务负责人，参与国内各项DevSecOps标准制定。「安势重要信息」的核心团队成员主要就来自华为、中兴、OPPO、Synopsys等民营企业，均具有多年行业背景，在应用软件安全可靠领域经验丰富。

本轮股权融资之后，子公司将持续展开商品打磨和相关人才梯队的建设，与此同时加速商业化落地探索。

关于投资：

晨壹投资董事姜晓山表示：应用软件正在吞噬世界，而开放源码正在吞噬应用软件。越来越多民营企业开始高度关注如何解决混源合作开发模式下的应用软件物流配送信用风险难题。安势重要信息以SCA技术瞄准，围绕DevSecOps 流程打造出具备一定特色的端到端的解决方案。凭借团队多年的技术和经验积累，获得多家头部民营企业认可，作为天使投资人，我们将和安势一起持续输出高质量商品及解决方案。