云计算业务承载平台
2022.02.09
「孝道科技」完成数千万元的首轮融资,「安恒信息」主投
36氪获悉,安全玻璃盒(「孝道科技」)已于近日宣布完成数千万元的首轮融资。本轮融资由国内安全上市公司杭州安恒信息股份有限公司(简称「安恒信息」股票代码:688023)主投。孝道科技成立于2014年,专注为用户提供DevSecOps与数字化软件安全解决方案。关于DevSecOps,36氪曾做过介绍,它是DevOps的衍生概念,即将安全(security)嵌入DevOps流程中。其核心为安全前置,强调安全需要贯穿从开发到运营整个软件生命周期的每个关键环节。
DevSecOps自2012年由Gartner提出后,正逐步吸引业界的目光。国外的一个例子是,在被称作“全球网络安全风向标”的RSA大会上,2020年的10强中有三家企业和DevSecOps相关。而在国内,围绕DevSecOps的讨论也在增多,当前已经出现二十家左右围绕此理念创业的安全公司,大多数聚焦开发安全及其工具链层面。
整体来看,DevSecOps在敏捷的前提下诞生,最终目的仍是保障应用的可靠。要达成这一目的既需要体系的规范化,也需要工具的支持——在体系上,要通过流程的设计、项目的管理明确责任,将安全前置;在工具上则围绕软件全生命周期的安全,从代码层面保证软件质量。二者是互为支撑的关系。
当前,业内提及较多的相关工具类型包括静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST),软件组成分析(SCA)、运行时应用自保护(RASP)以及模糊测试(Fuzzing)等。静态、动态、交互应用程序安全测试产品,以及软件组成分析和模糊测试都可以让软件得以在上线前发现可能的安全风险,达成安全前置的目的。运行时应用自保护,是在软件上线后实时保证软件安全。
目前,应用程序的安全测试工具市场已经比较成熟,也出现了多种技术分支。不过,静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST),虽然名称类似、目的一致,却也不是完全互相取代的关系。三种不同的技术路线,也意味着这三类产品在效果以及适用场景上都存在差异。
业内人士提及较多的效果差异如下:DAST准确率高,但无法访问代码细节,漏报率较高。SAST对应用程序的源代码或二进制文件进行分析,这种方式相比前者更全面,但代码在被检测时并没有运行,所以误报率较高。IAST的方式,基本不会出现误报,精度非常高,但目前对开发语言的覆盖并不全面。总结而言,三类产品各有利弊,或许将各类产品放在合适场景下进行结合,能够更全面地满足软件开发的安全需求。
据了解,孝道科技的主要产品包括基于AI智能动态检测防护技术的自鉴系列-交互式应用安全测试系统IAST、自鉴系列-开源组件安全分析系统SCA、自御系列-数字化应用软件安全平台ASTP等开发安全与软件供应链开发安全系列工具。公司表示,其希望通过这些工具帮助客户从安全源头解决安全风险,以保障数字应用上线前的安全性,避免应用带病运行,让应用自身具备抵抗力和抗攻击能力。
公司表示,其目前已为金融、政府、企业、医疗、教育等行业提供了DevSecOps安全解决方案并得到市场认可。在金融方向,其客户包括中国人民银行杭州中心支行、杭州银行等,其他方向客户包括农夫山泉、九阳、杭州市勘探设计研究院等。
本轮融资后,公司将把资金将用于DevSecOps、软件供应链安全及云原生应用安全保护平台的技术研究、产品开发与升级。
上一篇:勒索软件即服务是否过时了?