《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動(dòng)態(tài) > 全清華班底,,智能模糊測試安全公司“水木羽林”完成千萬級(jí)天使輪融資

全清華班底,智能模糊測試安全公司“水木羽林”完成千萬級(jí)天使輪融資

2021-09-09
來源: FreeBuf
關(guān)鍵詞: 軟件安全

  軟件安全值得關(guān)注,。

  36氪獲悉,,關(guān)注軟件安全的初創(chuàng)安全公司「水木羽林」已于日前完成千萬元級(jí)天使輪融資,本輪投資人包括前沿基金,、銀杏谷資本,、斗象科技、海南層林等,。

  當(dāng)前,,不少企業(yè)面臨的安全問題之一即是軟件的安全無法保障。所以,,軟件在開發(fā)流程中的安全問題也引起不少關(guān)注,。根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)早前的統(tǒng)計(jì),在發(fā)布后執(zhí)行代碼修復(fù),,其修復(fù)成本相當(dāng)于在設(shè)計(jì)階段執(zhí)行修復(fù)的30倍,。而開發(fā)安全類產(chǎn)品則從開發(fā)過程切入,希望通過對軟件開發(fā)流程的管控,,降低軟件本身存在的安全風(fēng)險(xiǎn),。

  當(dāng)前為了解決這一問題,業(yè)內(nèi)出現(xiàn)了不同類型的工具,,其中主要包括AST工具,,涵蓋靜態(tài)應(yīng)用程序安全測試(SAST)、動(dòng)態(tài)應(yīng)用程序安全測試(DAST),、交互式應(yīng)用程序安全測試(IAST)產(chǎn)品等,。公司介紹,當(dāng)前AST工具在應(yīng)用程序上的效果顯著,,而Fuzz技術(shù)可以更好的適配到不同類型的基礎(chǔ)和系統(tǒng)軟件,,并在漏報(bào)和誤報(bào)以及自動(dòng)化支持上取得更好的平衡。

  36氪也觀察到,,當(dāng)前一些公司以FUZZ類產(chǎn)品為主打,,希望幫助企業(yè)解決軟件安全問題。本文主角「水木羽林」,,正式成立于2021年3月,其團(tuán)隊(duì)核心成員均畢業(yè)于清華大學(xué),,在軟件安全測試方向有超過10年積累,,在SOSP和S&P等軟件系統(tǒng)和信息安全領(lǐng)域頂會(huì)上發(fā)表30余篇學(xué)術(shù)論文,在各類系統(tǒng)軟件上挖掘數(shù)百個(gè)高危安全漏洞收錄到國家安全漏洞庫中,。公司主打產(chǎn)品為XFUZZ智能模糊測試系統(tǒng),,不僅支持應(yīng)用層軟件及類庫,,也支持協(xié)議、內(nèi)核,、數(shù)據(jù)庫等大規(guī)?;A(chǔ)軟件的自動(dòng)化安全測評(píng)。

  公司COO李遠(yuǎn)翼介紹,,XFUZZ智能模糊測試系統(tǒng)是新一代軟件質(zhì)量與安全檢測平臺(tái),,可以對各種層次與類型的軟件進(jìn)行自動(dòng)化漏洞挖掘,有效檢測各類高危漏洞,,提升軟件健壯性和安全性,,為軟件供應(yīng)鏈安全提供基礎(chǔ)支撐。

  其還介紹,,智能模糊測試會(huì)在測試過程中動(dòng)態(tài)觀察程序的反饋,,利用污點(diǎn)分析和硬件指令追蹤等技術(shù)引導(dǎo)測試輸入的生成,更快更多的觸發(fā)程序分支,,分支覆蓋的越深,,最終找到的漏洞越多。不過在李遠(yuǎn)翼看來,,由于程序不同,,如今具體的覆蓋度指標(biāo)不能一概而論,但這種自動(dòng)化的測試輸入生成手段,,可以顯著降低當(dāng)前軟件測試和安全分析的難度和人力成本,。

  當(dāng)前,「水木羽林」主要依靠智能模糊測試等前沿技術(shù),,瞄準(zhǔn)開發(fā)安全,、代碼安全等DevSecOps場景,希望解決各行業(yè)軟件供應(yīng)鏈安全保障難題,。

  具體展開,,公司介紹其XFUZZ智能模糊測試系統(tǒng)具有如下亮點(diǎn):

  ?智能深度挖掘能力:在權(quán)威第三方及客戶測試數(shù)據(jù)集的對比中,相較于AFL,,Peach,Syzkaller等標(biāo)桿工具,,核心指標(biāo)如測試覆蓋率,發(fā)現(xiàn)缺陷數(shù),,測試速度等均大幅領(lǐng)先,。

  跨層全棧支持能力:全面支持應(yīng)用、類庫,、數(shù)據(jù)庫,、操作系統(tǒng)、通信協(xié)議等檢測對象,,完整覆蓋軟件供應(yīng)鏈,,在Linux,,MySql,IEC104等基礎(chǔ)軟件及協(xié)議上累計(jì)發(fā)現(xiàn)百余個(gè)漏洞被中美國家信息安全漏洞庫作為CVE官方收錄,。

   DevSecOps支持能力:通過全量API,、CLI工具等特性,可實(shí)現(xiàn)自動(dòng)化,、集成化與持續(xù)化的軟件開發(fā)安全左移,,支持測試驅(qū)動(dòng)自動(dòng)生成,覆蓋信息實(shí)時(shí)顯示,,缺陷報(bào)告自動(dòng)生成,,缺陷輸入自動(dòng)復(fù)現(xiàn)等功能。

  另外,,當(dāng)前行業(yè)內(nèi)也正出現(xiàn)各類技術(shù)路線不同的工具,,不同工具往往具備不同功能特點(diǎn),在一些場景下可以整合滿足客戶需求,,之后「水木羽林」也會(huì)進(jìn)行相關(guān)拓展,,完善自身產(chǎn)品覆蓋面。

  在具體的商業(yè)化落地上,,「水木羽林」在成立半年來已獲統(tǒng)信軟件,、南大通用等客戶數(shù)百萬元訂單。本輪融資之后,,公司也將持續(xù)投入產(chǎn)品研發(fā),,同時(shí)不斷拓展市場。

 


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。