近日,北京云起无垠科技有限公司(简称“云起无垠”)宣布完成数千万天使轮融资,绿洲资本独家投资。此轮融资将用于技术研发和产品打磨,定义开发安全新范式,守护互联网上每一行代码的安全。
云起无垠成立于2021年7月,定位为新一代智能模糊测试技术提供商,致力于研发智能Fuzzing(模糊测试)引擎,构建新一代代码安全基础设施,从源头助力企业自动化检测与修复业务系统安全问题,为互联网每行代码的正常运行保驾护航。
从技术分类角度出发,Fuzzing在广义上被划入开发安全范畴。Fuzzing 是一种针对软件安全的自动化测试方法。概括而言,其核心理念是通过向目标系统提供海量的非预期输入,并通过监控与捕捉异常结果来找到更多的未知安全问题。从行业角度而言,过去相对更被熟知的开发安全工具是AST,主要包括静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)。对比之下,Fuzzing技术过去多出现在学术领域 ,国内少见独立厂商。但自2020年左右开发安全在国内愈发被重视,主攻不同安全测试工具的公司也随之增多,和AST对标的Fuzzing同样也浮现出一些国内厂商。
云起无垠正是其中一家。公司创始人兼CEO沈凯文表示,其在此时间点选择Fuzzing作为创业方向主要有以下几个原因:首先对于行业格局而言,随着市场需求的变化,国内安全行业近年来更受客户和资本认可。其中,开发安全已逐步成为客户完成安全基础建设后的下一个建设重点。此外,Fuzzing近年在产业侧的推广与落地给了初创公司更多信心。目前在国际上,Fuzzing已被应用到 Google、Microsoft、美国国防部 (DoD)等头部机构,侧面说明Fuzzing技术拥有较高成长潜力。而且,沈凯文还觉得,Fuzzing的飞跃式发展让该技术变得更落地,使真正的代码安全自动化测试成为可能。比如,智能覆盖引导技术的融入大幅度提升了Fuzzing技术的细粒度测试效率与效果。另从客户需求迭代的角度来看,沈凯文表示,此前客户多用AST类产品,但此类产品只能找到Web场景中的问题,而Fuzzing技术还可以拓展至API、协议、数据库等更多场景。此外,与传统测试技术相比,Fuzzing技术不仅能够发现已知(1 day)漏洞,还能通过自动化技术挖掘更多的未知(0 day)漏洞。其本质的原因在于Fuzzing做软件安全测试时,整体的粒度会更细,测试点会更多,判断位置也会更精准。他进一步介绍,模糊测试技术可通过模版生成或流量提取的方式自动化得到海量优质的测试种子。在测试过程中,模糊测试技术还可通过软件覆盖率反馈机制,智能地指导测试种子往优秀的方向变异。另值得一提的是,模糊测试还会通过观测程序控制流图(CFG)来判定内存破坏漏洞。这种基于系统底层逻辑的漏洞检测方法,也使得任何细微的漏洞都可以被及时发现。“这会让更多的客户关注到Fuzzing的应用价值,从而给Fuzzing创业提供更大的市场空间。”沈凯文说。然而从落地来看,将Fuzzing从技术转化为产品,在国内还处于早期阶段。在代码安全自动化测试技术领域,沈凯文表示,Fuzzing技术无疑是近几年网络安全四大顶级学术会议中最热门的研究方向。通过学者们的不断研究,目前Fuzzing在科研层面已经成熟。但另一方面,产业界长期仍缺乏简单易用的产品。这意味着,当前市场上虽然有更多客户意识到Fuzzing的价值,但由于缺乏Fuzzing专业知识与落地经验,普通客户很难只基于开源的学术Fuzzing框架来进行代码自动化测试。比如从产品易用性来看,开源Fuzzing版本也缺少UI界面与用户报告等基本模块,这使得普通客户难以将这些开源Fuzzing框架应用到日常工作任务中。总之,沈凯文觉得即便Fuzzing技术的优越性已在学术界得到认可,而由于Fuzzing自身的高技术门槛,“开箱即用”型模糊测试产品成为市场刚需。
当前,云起无垠正在逐步建立更为全面的产品矩阵——针对“开发、测试、部署、运维”各阶段,其提供基于Fuzzing技术的模糊测试产品,主要包括黑盒Fuzzing测试、灰/白盒Fuzzing盒测试。其中,前者主要覆盖开发、测试阶段,后者可覆盖开发、测试、部署、运维阶段。在推广逻辑上,伴随着和客户间信任度的提升,云起无垠可以从提供黑盒Fuzzing测试产品,拓展到灰/白盒Fuzzing测试,进而提升自身产品在客户处的覆盖面和效果。在使用场景上,这些产品主要落在协议、API、数据库、Web3.0等场景。在行业客户画像上,云起无垠将主要服务两类客户:第一类是对代码安全漏洞容忍度很低的客户,比如汽车、Web 3.0厂商、工业控制、军工和航空航天等。这类客户的产品一旦出现问题,往往会造成巨大的产品召回损失。所以,它们对产品的安全性要求非常高,愿意投入大量资金来购买软件安全自动化检测工具。第二类客户是DevOps客户,包括金融、互联网企业等。这类客户往往有着海量快速迭代的代码,人工代码审计完全不能跟上开发的速度,为了确保业务安全的快速迭代,自动化安全检测是这类客户的刚需。未来,云起无垠将继续深耕信息安全,加速网安产业布局,为构建新一代代码安全基础设施助力。同时,加速产品设计与研发,为客户提供优质服务,不断扩大服务覆盖面,帮助更多企事业单位实现成功。
绿洲资本表示:“作为新一代Fuzzing(模糊测试)技术先锋,云起无垠捕捉未知,服务企业软件全生命开发周期。其创始团队具备产学研一体的特点,能够抓住市场痛点,实现技术落地。绿洲很期待与云起无垠一起,实现其对产业发展的延展性。
2022-09-14 15:10:30 来源:云起无垠 作者: 
