投資界（ID：pedaily2012）12月22日消息，專注軟件供應鏈安全的「安勢信息」已于日前完成Pre-A輪融資。據(jù)了解，本輪融資金額在數(shù)千萬元級別，領(lǐng)投方為微智數(shù)科，老股東晨壹投資跟投。山景資本擔任獨家財務(wù)顧問。

安勢信息成立于2021年6月，專注于打造軟件供應鏈安全平臺，目前主要幫助企業(yè)客戶應對開源軟件中存在的安全以及合規(guī)問題。

談及開源軟件的安全問題，一個里程碑事件是2021年底爆發(fā)的Log4j漏洞——當時，這一“核彈級”漏洞事件將開源軟件的安全問題推向了風口浪尖。公司創(chuàng)始人兼總裁薛植元表示，安勢信息的第一款產(chǎn)品清源（CleanSource） SCA即從軟件組成分析（SCA）的需求切入，希望幫助客戶發(fā)現(xiàn)自身所使用的開源軟件、組件中的安全及合規(guī)問題。

從行業(yè)看，過去國內(nèi)已有不少大型企業(yè)重視軟件供應鏈中開源組件的安全和合規(guī)問題。不過出于市場產(chǎn)品成熟度方面的考慮，他們一般會主要采購國外廠商的產(chǎn)品。薛植元表示，近年來隨著國際宏觀環(huán)境的變化，軟件組成分析（SCA）等工具也產(chǎn)生了國產(chǎn)替代趨勢，安勢信息即順應這一需求，為客戶提供高端SCA類產(chǎn)品。

薛植元表示，清源（CleanSource）SCA在商業(yè)化第一年訂閱的總金額已經(jīng)超過千萬元。目前，公司已憑借這款產(chǎn)品覆蓋高科技互聯(lián)網(wǎng)、消費電子、智能制造、基礎(chǔ)軟件、汽車等領(lǐng)域的客戶。

在商業(yè)化進展之外，他還表示與上次融資時相比，安勢信息如今在產(chǎn)品成熟度、未來產(chǎn)品規(guī)劃方面也取得了突破。

產(chǎn)品方面，安勢信息的清源(CleanSource)SCA通過收錄數(shù)量龐大、高時效性的開源軟件打造自己的數(shù)據(jù)庫，同時結(jié)合多維度的掃描探測技術(shù)和匹配算法，幫助客戶識別以各種形式被引入軟件中的開源組件。

在掃描探測技術(shù)方面，早期，安勢信息的重心放在代碼片段級別的、相較細粒度較高的引擎構(gòu)建上。而現(xiàn)在，薛植元介紹清源(CleanSource)SCA已經(jīng)能夠支持組件、文件、代碼片段、直接依賴、間接依賴等掃描，相較之前更為全面。

在數(shù)據(jù)庫方面，公司通過對開源軟件的信息進行爬取，再進行清洗和檢索，不斷對數(shù)據(jù)庫進行打磨，以保證引擎使用數(shù)據(jù)的準確性。之后，引擎再根據(jù)數(shù)據(jù)庫的信息進行對比，通過匹配規(guī)則告知客戶開源軟件可能存在的安全與合規(guī)風險。近半年里清源(CleanSource)SCA數(shù)據(jù)庫中組件版本信息已經(jīng)從1.4億上升到1.7億，代碼片段指紋也從2萬億增加到3萬億。薛植元介紹，安勢信息近期構(gòu)建了兼具學術(shù)和實踐經(jīng)驗的數(shù)據(jù)挖掘團隊，通過NLP等人工智能方式幫助進行自動化的數(shù)據(jù)清洗和數(shù)據(jù)挖掘，進一步提升數(shù)據(jù)庫的準確性與更新速度。

在易用性方面，清源(CleanSource)SCA如今可提供更為豐富的API接口和插件，方便用戶和更多的DevOps工具打通。

SCA工具之外，安勢信息當前也在推進SAST（靜態(tài)應用程序安全測試,也稱為白盒測試）產(chǎn)品線的研發(fā)。談及如此設(shè)計產(chǎn)品線的思路，薛植元表示，SCA意在幫助客戶發(fā)現(xiàn)自己所使用的開源組件中的安全性問題，SAST則能幫助客戶檢測自研代碼中的缺陷與安全問題。這意味著，這兩款產(chǎn)品的結(jié)合，可以覆蓋企業(yè)構(gòu)建軟件過程中的大部分代碼安全問題。從全球市場來看，SAST和SCA也是市場空間最大的開發(fā)安全產(chǎn)品品類。

和SCA產(chǎn)品類似，目前占據(jù)優(yōu)勢的SAST產(chǎn)品也主要來自國外廠商。薛植元表示，近年借力國產(chǎn)化趨勢，國內(nèi)也出現(xiàn)了不少SAST廠商，但產(chǎn)品能力大多和國外同業(yè)相比仍存在較大差距，這也給安勢信息提供了市場切入機會。據(jù)介紹，當前安勢信息已搭建十余人的團隊推進這一產(chǎn)品的研發(fā)，核心人員不僅擁有985院校的博士或碩士學位，且有相關(guān)領(lǐng)域高質(zhì)量學術(shù)論文的發(fā)表和深度項目開發(fā)經(jīng)驗。該產(chǎn)品計劃于明年正式發(fā)布第一個版本。開發(fā)語言支持的深度及廣度是SAST產(chǎn)品的核心指標之一，薛植元表示安勢將從C/C++語言出發(fā)，最終覆蓋二十余種主流開發(fā)語言。

在商業(yè)模式上，清源(CleanSource)SCA采用訂閱模式，并可根據(jù)不同企業(yè)的規(guī)模提供適合的定價模式。未來，公司的SAST產(chǎn)品也將采用訂閱模式收費。

團隊方面，安勢信息總裁薛植元曾任Checkmarx大中華區(qū)總經(jīng)理，也是原Synopsys SIG大中華區(qū)業(yè)務(wù)負責人，主導過各類DevSecOps工具在中國的產(chǎn)業(yè)化落地。另外，今年安勢信息也引入多名來自阿里、華為、OPPO、百度，以及曾就職于專業(yè)軟件供應鏈廠商的高管，和十余海內(nèi)外名校博士、碩士的加入，幫助提升數(shù)據(jù)處理以及工程化能力，以及推進SAST產(chǎn)品線的研發(fā)。

本輪領(lǐng)投方微智數(shù)科的創(chuàng)始合伙人郭欣表示：“開源對軟件世界的貢獻越來越大，同時也帶來了軟件供應鏈的風險，過去幾年因軟件供應鏈引發(fā)的安全問題與合規(guī)問題呈指數(shù)級增長，軟件供應鏈安全需求迫在眉睫。安勢信息是我們在該領(lǐng)域看到的能力極為全面的公司，在成立僅一年的時間便推出了完全自主研發(fā)的具備代碼片段識別能力SCA產(chǎn)品，成功PK海外廠商，簽約眾多最頭部的互聯(lián)網(wǎng)與科技公司。

公司創(chuàng)始團隊兼具全球化視野與本地化落地的豐富經(jīng)驗，對軟件供應鏈安全有著深刻的洞察，相信未來不斷推出的優(yōu)秀產(chǎn)品能讓安勢信息邁上一個個新的臺階，成為具有國際影響力的軟件供應鏈安全公司?！?/p>