投資界1月31日消息，開發(fā)安全公司蜚語安全已于日前完成Pre-A輪融資。本輪融資投資方為紅華繁星網(wǎng)安天使基金，航行資本擔(dān)任獨(dú)家財(cái)務(wù)顧問。

蜚語安全成立于2019年，致力于解決開發(fā)人員在研發(fā)環(huán)境中的各種安全和漏洞問題，讓研發(fā)更專注于創(chuàng)新。公司目前主打靜態(tài)代碼分析工具，并基于此形成了Corax代碼安全分析平臺。

Corax是蜚語安全當(dāng)前的主打產(chǎn)品，于2022年年中推出。公司創(chuàng)始人束駿亮博士表示，除SAST之外，蜚語也在探索靜態(tài)分析技術(shù)的其他落地場景，比如針對當(dāng)下比較受關(guān)注的SCA，靜態(tài)代碼分析技術(shù)也能夠提供非常大的幫助。蜚語安全也會圍繞自身在靜態(tài)代碼分析技術(shù)上優(yōu)勢，推出有差異化競爭力的SCA產(chǎn)品。

目前，靜態(tài)代碼分析技術(shù)的落地以SAST最為常見。當(dāng)前，利用SAST來尋找代碼中的質(zhì)量問題、代碼中的風(fēng)格問題和代碼安全問題，是三個主要應(yīng)用方向。

束駿亮博士表示，在國外，這些靜態(tài)分析產(chǎn)品的分類已經(jīng)非常清晰，但在國內(nèi)的區(qū)分度還有待加強(qiáng)。更深一步拆解不同場景下的技術(shù)差異，他介紹，檢測代碼中的安全問題主要圍繞Java等服務(wù)端常用語言展開，而對代碼質(zhì)量的檢測則主要圍繞C/C++展開。當(dāng)前針對這兩類場景，蜚語安全均有涉足，未來希望將靜態(tài)代碼分析技術(shù)作為底層能力，向上支持各類不同的場景化產(chǎn)品，SCA也正是其中一種。

另談及Corax的特點(diǎn)，束駿亮博士介紹，這一平臺靈活、易用、檢測精準(zhǔn)度更高。在檢測精準(zhǔn)度方面，他表示蜚語在相關(guān)領(lǐng)域有著多年的技術(shù)儲備，并且Corax是一款全新產(chǎn)品，技術(shù)框架更為靈活，更容易引入一些前沿的"黑科技"（如符號執(zhí)行、抽象解釋、函數(shù)摘要、自然語言處理等技術(shù)），幫助提升檢測精度。

而在靈活性上，由于蜚語的底層靜態(tài)代碼分析框架做了模塊化的解耦，所以能根據(jù)各類場景的需要，靈活封裝成不同引擎。"比如在安全攻防場景里，客戶追求更準(zhǔn)確的分析結(jié)果，對效率的要求不高。而在代碼合規(guī)的場景里，客戶會更追求掃描的效率。針對這些不同場景，我們會提供具備不同特點(diǎn)的引擎。"束駿亮博士舉例。更進(jìn)一步拆解，在精細(xì)化場景下，蜚語會重點(diǎn)提供結(jié)合符號執(zhí)行等"重量級分析技術(shù)"的引擎。而在需要快速產(chǎn)出檢查效果的場景里，蜚語會結(jié)合模式匹配、自然語言處理等技術(shù)提供輕量級引擎。從語言維度拆解，當(dāng)前針對C/C++、Java、Go、Python等不同語言，蜚語均已經(jīng)推出了具備不同特點(diǎn)的引擎。

而且，為了更契合研發(fā)流水線場景，蜚語的產(chǎn)品也具備容器化部署、DevOps集成等能力，能夠幫助企業(yè)降低落地成本。

除了產(chǎn)品不斷迭代之外，束駿亮博士表示近半年蜚語在商業(yè)拓展方面也實(shí)現(xiàn)了一些突破。當(dāng)前，公司已經(jīng)擁有數(shù)十家付費(fèi)客戶，覆蓋基礎(chǔ)軟件、汽車、物聯(lián)網(wǎng)、高端制造等對靜態(tài)代碼分析有剛性需求的領(lǐng)域。談及2023年規(guī)劃，束駿亮博士表示公司在新的一年希望拓展更多的行業(yè)應(yīng)用場景，同時也將持續(xù)進(jìn)行產(chǎn)品打磨，為用戶帶來更多的能力與產(chǎn)品。

總結(jié)而言，束駿亮博士認(rèn)為，靜態(tài)分析產(chǎn)品存在巨大的市場潛力。與動態(tài)分析技術(shù)相比，靜態(tài)分析技術(shù)不需要準(zhǔn)備運(yùn)行環(huán)境、不挑選軟件類型、同時具備良好的自動化和規(guī)?；芰Α⒁材軌蜓苌霰容^豐富的價(jià)值。同時，靜態(tài)分析技術(shù)天然具備了成為一種普適性研發(fā)支撐技術(shù)的潛力，產(chǎn)品也具備成為平臺型產(chǎn)品的能力。目前從全球范圍來看，也已經(jīng)有部分產(chǎn)品開始往平臺化方向轉(zhuǎn)變。比如老牌的開源代碼分析平臺，SonarQube，也從代碼風(fēng)格分析拓展到代碼質(zhì)量。最近兩年，該公司也通過并購方式切入代碼安全市場，實(shí)現(xiàn)了營收和估值的多方位增長。

他覺得，未來任何規(guī)模和領(lǐng)域的軟件研發(fā)團(tuán)隊(duì)，都存在從靜態(tài)分析技術(shù)中受益的可能，只是在產(chǎn)品形態(tài)和商業(yè)模式上各家廠商都還需要做不同程度的持續(xù)探索和提升。

本輪投資方紅華繁星管理合伙人許俊表示：，代碼靜態(tài)分析是軟件領(lǐng)域的基礎(chǔ)性技術(shù)，潛在應(yīng)用場景非常廣泛。而且，傳統(tǒng)SAST工具主要是安全團(tuán)隊(duì)使用，而海外的SonarQube等工具廠商通過給開發(fā)人員提供更便捷易用的工具而開辟了新的增長賽道。蜚語的Corax產(chǎn)品通過多引擎策略適配不同場景，并且通過對常見安全問題分析的深度優(yōu)化而顯著降低了誤報(bào)率，因而獲得了客戶的持續(xù)好評。蜚語團(tuán)隊(duì)源自國內(nèi)知名的GoSSIP軟件安全研究小組，一直深耕軟件安全、漏洞攻防和代碼分析領(lǐng)域，是國內(nèi)難得的既對業(yè)界最新的各項(xiàng)代碼分析技術(shù)有深度專研，又對安全攻防有深刻理解的團(tuán)隊(duì)。繁星看好蜚語的增長潛力。作為專注網(wǎng)安領(lǐng)域的投資機(jī)構(gòu)，除投資外，繁星還將從公司運(yùn)營的多個方面幫助公司成長。