近日,北京云起無垠科技有限公司(簡(jiǎn)稱“云起無垠”)宣布完成數(shù)千萬(wàn)天使輪融資,綠洲資本獨(dú)家投資。此輪融資將用于技術(shù)研發(fā)和產(chǎn)品打磨,定義開發(fā)安全新范式,守護(hù)互聯(lián)網(wǎng)上每一行代碼的安全。
云起無垠成立于2021年7月,定位為新一代智能模糊測(cè)試技術(shù)提供商,致力于研發(fā)智能Fuzzing(模糊測(cè)試)引擎,構(gòu)建新一代代碼安全基礎(chǔ)設(shè)施,從源頭助力企業(yè)自動(dòng)化檢測(cè)與修復(fù)業(yè)務(wù)系統(tǒng)安全問題,為互聯(lián)網(wǎng)每行代碼的正常運(yùn)行保駕護(hù)航。
從技術(shù)分類角度出發(fā),F(xiàn)uzzing在廣義上被劃入開發(fā)安全范疇。Fuzzing 是一種針對(duì)軟件安全的自動(dòng)化測(cè)試方法。概括而言,其核心理念是通過向目標(biāo)系統(tǒng)提供海量的非預(yù)期輸入,并通過監(jiān)控與捕捉異常結(jié)果來找到更多的未知安全問題。從行業(yè)角度而言,過去相對(duì)更被熟知的開發(fā)安全工具是AST,主要包括靜態(tài)應(yīng)用程序安全測(cè)試(SAST)、動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)、交互式應(yīng)用程序安全測(cè)試(IAST)。對(duì)比之下,F(xiàn)uzzing技術(shù)過去多出現(xiàn)在學(xué)術(shù)領(lǐng)域 ,國(guó)內(nèi)少見獨(dú)立廠商。但自2020年左右開發(fā)安全在國(guó)內(nèi)愈發(fā)被重視,主攻不同安全測(cè)試工具的公司也隨之增多,和AST對(duì)標(biāo)的Fuzzing同樣也浮現(xiàn)出一些國(guó)內(nèi)廠商。
云起無垠正是其中一家。公司創(chuàng)始人兼CEO沈凱文表示,其在此時(shí)間點(diǎn)選擇Fuzzing作為創(chuàng)業(yè)方向主要有以下幾個(gè)原因:首先對(duì)于行業(yè)格局而言,隨著市場(chǎng)需求的變化,國(guó)內(nèi)安全行業(yè)近年來更受客戶和資本認(rèn)可。其中,開發(fā)安全已逐步成為客戶完成安全基礎(chǔ)建設(shè)后的下一個(gè)建設(shè)重點(diǎn)。此外,F(xiàn)uzzing近年在產(chǎn)業(yè)側(cè)的推廣與落地給了初創(chuàng)公司更多信心。目前在國(guó)際上,F(xiàn)uzzing已被應(yīng)用到 Google、Microsoft、美國(guó)國(guó)防部 (DoD)等頭部機(jī)構(gòu),側(cè)面說明Fuzzing技術(shù)擁有較高成長(zhǎng)潛力。而且,沈凱文還覺得,F(xiàn)uzzing的飛躍式發(fā)展讓該技術(shù)變得更落地,使真正的代碼安全自動(dòng)化測(cè)試成為可能。比如,智能覆蓋引導(dǎo)技術(shù)的融入大幅度提升了Fuzzing技術(shù)的細(xì)粒度測(cè)試效率與效果。另從客戶需求迭代的角度來看,沈凱文表示,此前客戶多用AST類產(chǎn)品,但此類產(chǎn)品只能找到Web場(chǎng)景中的問題,而Fuzzing技術(shù)還可以拓展至API、協(xié)議、數(shù)據(jù)庫(kù)等更多場(chǎng)景。此外,與傳統(tǒng)測(cè)試技術(shù)相比,F(xiàn)uzzing技術(shù)不僅能夠發(fā)現(xiàn)已知(1 day)漏洞,還能通過自動(dòng)化技術(shù)挖掘更多的未知(0 day)漏洞。其本質(zhì)的原因在于Fuzzing做軟件安全測(cè)試時(shí),整體的粒度會(huì)更細(xì),測(cè)試點(diǎn)會(huì)更多,判斷位置也會(huì)更精準(zhǔn)。他進(jìn)一步介紹,模糊測(cè)試技術(shù)可通過模版生成或流量提取的方式自動(dòng)化得到海量?jī)?yōu)質(zhì)的測(cè)試種子。在測(cè)試過程中,模糊測(cè)試技術(shù)還可通過軟件覆蓋率反饋機(jī)制,智能地指導(dǎo)測(cè)試種子往優(yōu)秀的方向變異。另值得一提的是,模糊測(cè)試還會(huì)通過觀測(cè)程序控制流圖(CFG)來判定內(nèi)存破壞漏洞。這種基于系統(tǒng)底層邏輯的漏洞檢測(cè)方法,也使得任何細(xì)微的漏洞都可以被及時(shí)發(fā)現(xiàn)?!斑@會(huì)讓更多的客戶關(guān)注到Fuzzing的應(yīng)用價(jià)值,從而給Fuzzing創(chuàng)業(yè)提供更大的市場(chǎng)空間?!鄙騽P文說。然而從落地來看,將Fuzzing從技術(shù)轉(zhuǎn)化為產(chǎn)品,在國(guó)內(nèi)還處于早期階段。在代碼安全自動(dòng)化測(cè)試技術(shù)領(lǐng)域,沈凱文表示,F(xiàn)uzzing技術(shù)無疑是近幾年網(wǎng)絡(luò)安全四大頂級(jí)學(xué)術(shù)會(huì)議中最熱門的研究方向。通過學(xué)者們的不斷研究,目前Fuzzing在科研層面已經(jīng)成熟。但另一方面,產(chǎn)業(yè)界長(zhǎng)期仍缺乏簡(jiǎn)單易用的產(chǎn)品。這意味著,當(dāng)前市場(chǎng)上雖然有更多客戶意識(shí)到Fuzzing的價(jià)值,但由于缺乏Fuzzing專業(yè)知識(shí)與落地經(jīng)驗(yàn),普通客戶很難只基于開源的學(xué)術(shù)Fuzzing框架來進(jìn)行代碼自動(dòng)化測(cè)試。比如從產(chǎn)品易用性來看,開源Fuzzing版本也缺少UI界面與用戶報(bào)告等基本模塊,這使得普通客戶難以將這些開源Fuzzing框架應(yīng)用到日常工作任務(wù)中??傊?,沈凱文覺得即便Fuzzing技術(shù)的優(yōu)越性已在學(xué)術(shù)界得到認(rèn)可,而由于Fuzzing自身的高技術(shù)門檻,“開箱即用”型模糊測(cè)試產(chǎn)品成為市場(chǎng)剛需。
當(dāng)前,云起無垠正在逐步建立更為全面的產(chǎn)品矩陣——針對(duì)“開發(fā)、測(cè)試、部署、運(yùn)維”各階段,其提供基于Fuzzing技術(shù)的模糊測(cè)試產(chǎn)品,主要包括黑盒Fuzzing測(cè)試、灰/白盒Fuzzing盒測(cè)試。其中,前者主要覆蓋開發(fā)、測(cè)試階段,后者可覆蓋開發(fā)、測(cè)試、部署、運(yùn)維階段。在推廣邏輯上,伴隨著和客戶間信任度的提升,云起無垠可以從提供黑盒Fuzzing測(cè)試產(chǎn)品,拓展到灰/白盒Fuzzing測(cè)試,進(jìn)而提升自身產(chǎn)品在客戶處的覆蓋面和效果。在使用場(chǎng)景上,這些產(chǎn)品主要落在協(xié)議、API、數(shù)據(jù)庫(kù)、Web3.0等場(chǎng)景。在行業(yè)客戶畫像上,云起無垠將主要服務(wù)兩類客戶:第一類是對(duì)代碼安全漏洞容忍度很低的客戶,比如汽車、Web 3.0廠商、工業(yè)控制、軍工和航空航天等。這類客戶的產(chǎn)品一旦出現(xiàn)問題,往往會(huì)造成巨大的產(chǎn)品召回?fù)p失。所以,它們對(duì)產(chǎn)品的安全性要求非常高,愿意投入大量資金來購(gòu)買軟件安全自動(dòng)化檢測(cè)工具。第二類客戶是DevOps客戶,包括金融、互聯(lián)網(wǎng)企業(yè)等。這類客戶往往有著海量快速迭代的代碼,人工代碼審計(jì)完全不能跟上開發(fā)的速度,為了確保業(yè)務(wù)安全的快速迭代,自動(dòng)化安全檢測(cè)是這類客戶的剛需。未來,云起無垠將繼續(xù)深耕信息安全,加速網(wǎng)安產(chǎn)業(yè)布局,為構(gòu)建新一代代碼安全基礎(chǔ)設(shè)施助力。同時(shí),加速產(chǎn)品設(shè)計(jì)與研發(fā),為客戶提供優(yōu)質(zhì)服務(wù),不斷擴(kuò)大服務(wù)覆蓋面,幫助更多企事業(yè)單位實(shí)現(xiàn)成功。
綠洲資本表示:“作為新一代Fuzzing(模糊測(cè)試)技術(shù)先鋒,云起無垠捕捉未知,服務(wù)企業(yè)軟件全生命開發(fā)周期。其創(chuàng)始團(tuán)隊(duì)具備產(chǎn)學(xué)研一體的特點(diǎn),能夠抓住市場(chǎng)痛點(diǎn),實(shí)現(xiàn)技術(shù)落地。綠洲很期待與云起無垠一起,實(shí)現(xiàn)其對(duì)產(chǎn)業(yè)發(fā)展的延展性。