36氪獲悉,安全廠商「水木羽林」已於日前完成數千萬元Pre-A輪融資。本輪投資方為金沙江創投、考拉基金,天使輪投資人銀杏谷資本繼續跟投。航行資本擔任本輪融資獨家財務顧問。
「水木羽林」成立於2021年3月,在2021年9月完成千萬元天使輪融資。公司致力於針對基礎軟體面臨的質量與安全風險,透過模糊測試、程式分析等技術手段,打造下一代缺陷檢測與治理方案。從行業來看,在國家“十四五”規劃中,基礎軟體、工業軟體的完善是軟體產業鏈升級的首要任務之一,而軟體質量與安全性支撐能力也被作為“補短板”重點方向。「水木羽林」表示,為了響應這一目標,其也將發揮自身技術優勢,面向協議、資料庫、核心等多層次軟體,以及信創、車控、工控、區塊鏈等多行業方向,再加上檢測、修復、防護等多應用場景,意在打造“能用、管用、好用”的平臺產品,幫助提升基礎軟體系統的健壯性和安全性。
「水木羽林」的核心技術為模糊測試。從技術分類角度出發,這一領域在廣義上被劃入開發安全範疇,36氪此前也曾介紹過開發安全中的靜態檢測、動態檢測等技術。對於不同技術路線,行業中也有不少公司有所側重,而「水木羽林」認為,靜態檢測、動態檢測、模糊測試等軟體檢測技術應該是相互補充,協同工作的關係,每個技術也各有長處。不過,提及技術路線的差異性,「水木羽林」也告訴36氪,在面向基礎軟體場景時,模糊測試是唯一既可深度檢測未知缺陷,又能提供無誤報精準定位的技術。所以在當前,這種技術在整體檢測技術棧中具有不可替代的作用,被Google、微軟、Linux基金會、雲原生基金會、美國國防部等機構廣泛應用。
「水木羽林」的自研技術利用汙點分析、語義感知、並行排程、和硬體指令追蹤等技術引導測試輸入的自動生成,透過在測試執行過程中動態觀察軟體系統的行為和反饋,更快更多的觸發程式分支和潛在缺陷。據介紹,這種自動化的測試輸入生成手段,可以顯著降低當前軟體測試和安全分析的難度和人力成本。
而將模糊測試產品化也有兩個難點,或者說也需要兩方面能力。一個是底層核心技術的掌控能力,需要解決效能的持續提升與最佳化,不同型別檢測物件的通用支援,不同語言特性的適配等問題。另一個是工程化能力,需要應對測試驅動自動生成、測試任務自動排程、測試過程與結果視覺化、測試環境封裝等等挑戰。
「水木羽林」在打磨產品時也在持續突破以上問題。整體來看,其模糊測試平臺具有如下亮點:
· 深度覆蓋支援:在權威第三方及客戶測試資料集的對比中,相較於AFL,Peach,SQLSmith,Syzkaller等標杆工具,核心指標如測試覆蓋率,發現缺陷數,測試速度等均大幅領先。具體展開,測試覆蓋率是模糊測試技術的核心效能指標,覆蓋率越高代表缺陷發現能力越強。「水木羽林」介紹,與業界標杆開源工具相比,其應用檢測技術在測試覆蓋率上有20%~50%的提升,在資料庫檢測上有超過50%的提升,在協議測試上有超過25%的提升。
· 跨層全棧支援:全面支援應用、類庫、資料庫、作業系統、通訊協議等檢測物件,完整覆蓋基礎軟體供應鏈,已在Linux,MySql,IEC104等基礎軟體及協議上累計發現百餘個漏洞,被中美國家資訊保安漏洞庫作為CVE官方收錄。
· DevSecOps支援:透過全量API、CLI工具等特性,可實現自動化、整合化與持續化的軟體開發安全左移,同時支援測試入口視覺化選擇,測試驅動自動生成,多工並行排程,覆蓋資訊實時顯示,缺陷報告自動生成等功能。
另從商業落地角度,理論上來說,所有自己寫程式碼的企業都可以採用模糊測試類產品進行測試。不過當前,「水木羽林」更看重服務作為國家資訊產業關鍵基礎設施的客戶的軟體安全。公司介紹,當前核心目標客戶涵蓋以下型別:
1、國產基礎軟體,如作業系統、資料庫和辦公軟體等。這部分客戶數量規模不大,但是是國家資訊產業的關鍵基礎設施,也是公司重點希望保障的領域。此外,圍繞著國產基礎軟體打造的上萬個信創應用軟體也是其服務的物件。
2、軍工、通訊、航空航天、大型船舶、智慧汽車、能源等軟硬結合,安全要求高的行業,具體比如航天OS、大飛機的控制軟體、車控軟體、能源行業工業控制軟體等。此類行業客戶由大型央國企、知名民營企業及其龐大的供應商體系組成。
具體在落地上,公司當前已經與多家基礎軟體頭部企業,以及航空航天、工控、檢測機構等行業或單位達成業務合作。同時,「水木羽林」也透過加入OpenSSF開源軟體安全基金會與Linux基金會,開源系統核心檢測工具Healer等途徑,加強社群合作,共同提升基礎軟體檢測與保障能力。
整體來看,在本輪融資之後,公司將加強人才引進,持續投入技術研發,完善產品線,加速市場擴充套件,以期在快速增長的測試市場進一步夯實自身整體實力。
關於投資:
金沙江創投主管合夥人朱嘯虎表示,過往幾年的安全更多都集中在上層應用領域,而最近幾年大家也逐漸意識到基礎軟體安全的重要性,水木羽林是我們在這個領域持續關注的技術創新型企業。公司主打的模糊測試不管在底層基礎軟體還是上層服務甚至雲上都是應用範圍很廣的一項技術手段,而在創始人的帶領下水木已經是模糊測試領域的頭部公司,技術成果也被google等海外大廠整合應用,目前在國內也已有多個標杆客戶落地。我們看好水木的長期發展,也相信公司未來的發展。
考拉基金合夥人趙山利表示,基礎軟體能力是國家科技發展的重要支撐,而這些軟體自身的質量和安全風險,也是軟體研發當中最重要的環節之一。水木羽林正是專注於服務這個環節,透過多年的全球前沿技術積累,以及產業應用摸索,已經初步完成了產品化,且得到了一定客戶的認可。隨著眾多基礎軟體逐漸國產化甚至輸出國際,相信為國產軟體發展保駕護航的水木羽林,也將迎來很大發展機會。我們期待公司快速成長。
