智能模糊测试厂商「安般科技」获 得超亿元 A 轮融资,推进国产软件安全加速发展

王饱饱 2年前 (2022-08-16)

镁客网获悉,智能模糊测试技术提供商「安般科技」获得超亿元 A 轮融资,硅港资本和上海东方证券创新投资有限公司联合领投,名...

镁客网获悉,智能模糊测试技术提供商「安般科技」获得超亿元 A 轮融资,硅港资本和上海东方证券创新投资有限公司联合领投,名川资本和中南资本跟投。

「安般科技」成立于 2018 年 12 月,是国内最早从事智能模糊测试技术商业化落地的企业,专注于提供软件全流程负面测试产品和解决方案,当前产品线主要包括模糊测试和软件供应链安全两大类。

在软件定义世界的趋势下,软件已经逐渐渗透到生活的方方面面,与此同时软件本身的缺陷及其带来的灾难性后果将成为一个无法忽视的灰犀牛。据统计,2020 年美国不良软件质量损失(CPSQ)约为 2.08 万亿美元,其中软件缺陷造成的损失高达 1.56 万亿美元。近年来我国军工、金融、汽车等多个行业也陆续出台了与软件质量相关的强制性标准和政策。但如今动辄数亿行的代码规模已无法仅依赖现有的测试手段去对其充分测试从而保障质量。于是,模糊测试,一种古老的技术正被赋予全新的革命性意义。

模糊测试作为一种负面测试技术,早在 1989 年即被提出,它是利用自动或半自动的方法,不断地向被测程序提供非预期输入并监控输出异常来发现软件缺陷的方法。在过去几十年经历了“完全随机”、“基于模板”、“基于文法”几个阶段的发展,随着 2014 年AFL 的提出,其通过对软件内部状态的监控,当代模糊测试进入一个全新的智能时代。

最近几年,像 Google、Microsoft 等巨头的核心系统已经大量使用模糊测试技术,美国国防部在其 2019 年的年度国防方案 HR5515 曾大篇幅的要求美国空军等关键系统强制使用模糊测试技术,2021 年发布的 EO 14028 总统行政命令更是将模糊测试作为各行业软件最低发布标准。在类似的法规要求下,海外已经出现了一些专注智能模糊测试技术服务的新兴独角兽企业,在商业化模糊测试的实践上也效果颇丰。例如在 2018年左右开始进入模糊测试赛道的美国公司 ForAllSecure,于 2020 年 5 月仅针对美国空军某一个部队就签下一笔 4500 万美元为期三年的订单;又如成立于 2018 年的德国公司 Code Intelligence,已成功在多个无人驾驶领域和工业场景落地模糊测试技术。「安般科技」作为世界范围内最早一批从事模糊测试技术商业化落地的企业在技术和产品上与国外同行并驾齐驱,但在市场上更多的聚焦在我国正在快速发展的国产软件行业,持续助力国产软件更好更快发展。

谈及产品化工具,创始人汪毅表示,公司以智能模糊测试技术为核心已研发了多场景的模糊测试工具,并在 2020 年开始涉足软件供应链领域,同时联合了多个深耕软件安全工具的厂商共同推出了面向软件开发各个环节的全流程负面测试解决方案,构建基于 DevQualOps 思想的多维度软件负面测试能力。

目前「安般科技」有五个测试系统产品:

智能模糊测试厂商「安般科技」获 得超亿元 A 轮融资,推进国产软件 安全加速发展

易恒智能模糊测试系统:针对 C/C++(Linux)和 Java 源码的模糊测试工具,能够发现近百种与程序健壮性和安全性相关的缺陷。易恒能够无缝嵌入 CI 流程,在开发阶段,提供透明化、自动化测试服务,协助开发人员挖掘、定位、复现和修复缺陷;在集成测试阶段,利用人工智能技术,帮助测试人员快速生成海量有效测试用例,发现程序缺陷并大幅提升测试覆盖率;实践表明,易恒智能模糊测试系统可以有效提升程序健壮性,保障程序发布质量,是企业 DevQualOps 最佳实践的重要工具。

易侦协议模糊测试系统:通用的自动化协议模糊测试工具,支持数十种常用协议,能够快速识别协议软件中的缺陷和 0day 漏洞。易侦支持黑盒测试和全数字仿真测试两种测试方式,黑盒测试场景下无需提供软件源代码,通过协议发送变异报文对软件进行测试,使企业快速进入测试验收环节。在全数字仿真环境下,通过代码插桩可以进一步获取软件的运行状况、函数动态调用关系、多种覆盖率(行覆盖率、分支覆盖率、函数覆盖率、MC/DC)等信息,帮助企业更精准的发现和修复软件中的缺陷,提升软件质量。

易察 API 模糊测试系统:易察是面向 API 接口的黑盒模糊测试工具,创新性的将模糊测试引入了 API 测试领域。易察可以自动发现 Web 应用中的 API 接口并解析 API 规范,根据接口间的依赖关系通过模糊测试技术生成海量具有针对性的测试用例,向目标接口发送请求进行测试。不仅可以发现 OWASP API Top10 等常见漏洞,还可以检测非法字符串、超出范围的参数数据、数据类型错误、空参数等引起 API 拒绝服务的问题并自动输出相应测试报告。

易识固件供应链安全管理系统:面向二进制固件的自动化静态分析工具。 支持十余种CPU 架构、60 多种固件格式,内置了 19 万条漏洞信息,利用自研的 HBinSim-attention 算法有效解决了 CWE 识别低效和准确性不高的业界难题,能够快速识别200+CWE 缺陷。在固件验收测试和评测中,易识可以分析固件中的加密算法,识别明文用户名密码等敏感信息、开源组件及许可协议,查找固件中的 CVE/CNNVD 漏洞,挖掘 CWE 缺陷。帮助用户识别固件中的安全风险和法律风险。

SCA 源代码成分分析系统:面向源代码的自动化静态分析工具。从设计阶段到发布阶段,识别 CVE/CNNVD 安全漏洞,梳理研发过程中的软件物料清单(SBOM),解决开源治理过程中的安全和合规问题。使用自主研发的新一代指纹识别技术,支持 600 多种开发语言,通过构建识别、组件识别、文件识别和代码片段识别技术,多维度识别引入的开源组件,单个文件扫描仅需 20ms;系统内置超过 2 万亿行开源代码、1 亿 2千万组件信息、500 亿文件信息、2000 多种许可证类型及 19 万条漏洞信息。

技术能力方面,「安般科技」创新性地设计了一套支持异构引擎大规模并发测试的通用模糊测试框架 ABFuzz。该框架首次引入细粒度多引擎融合技术,能够持续整合多种模糊测试引擎,共同提升模糊测试的效率和效果。其自主研发的通用模糊测试引擎ABFast,融合了符号执行和污点分析等相关程序分析技术,具备更强的路径探索能力;同时,ABFast 的增强学习算法可以基于用户以往的测试记录进行自我强化,在使用过程中变的越来越“聪明”,更高效地发现被测程序的缺陷。在同等测试条件下,ABFast 比 AFL/AFL++引擎在缺陷发现数量方面提升 300%以上 ,在 LAVA-M 测试集上,测试效果同样大幅超越其他开源引擎。

目前「安般科技」系列产品累计在数十个开源项目中找到上百个 0day 漏洞,例如近期对用户数全球排名第一的免费开源关系型数据库 MySQL,对其最新版本 8.0.27 版本进行 24 小时模糊测试,找到 17 个最高级别致命 0day 漏洞,包括断言失败、堆溢出和段错误等。

市场方面,「安般科技」以上海总部为中心,在北京、西安、成都等一、二线城市设有研发中心和分支机构,并拥有覆盖全国的近百家合作伙伴网络,累计服务过上百家政府军工、信创软件、工业控制、智能汽车等多领域客户。目前「安般科技」与信创、汽车、军工领域内多个权威机构成立联合负面测试中心并参与制定了多个软件安全及模糊测试相关的国家及行业标准。

团队方面,「安般科技」创始成员起源于中国科学院和上海科技大学,具有丰富的程序分析相关技术积淀。目前团队规模近 100 人,其中 80%以上团队成员为研发人员,主要来自中国科学院、中电科、摩托罗拉、腾讯等研究院所及企业的安全、测试和研究部门。「安般科技」曾多次承担国家科技部多项重大课题研究,并于近期承接“十四五”国家重点研发计划“网络空间安全治理”中某涉密专项的核心课题研究。此外「安般科技」与四川大学信息安全研究所、中国工程物理研究院计算机应用研究所等单位已建立长期的产学研一体化合作。

最后,创始人汪毅告诉镁客网,2022 年对安般来说是非常重要的一年,公司除了继续深耕军工和信创领域外还会加强布局金融和汽车行业。本轮融资资金将主要用于进一步提升技术壁垒、加速产品系列优化和垂直行业的规模化落地、组建金融和汽车事业部以及提升品牌影响力等工作。

投资观点

硅港资本

硅港资本创始合伙人何欣表示:“硅港资本非常荣幸可以领投安般科技。智能模糊测试技术应用十分广泛,包括源代码、API 接口、通讯协议、数据库系统等。随着汽车智能化、工业及基础软件国产化、强制测试的行业标准推广等因素,智能模糊测试迎来行业爆发性机会。 安般科技是国内首家将智能模糊测试技术商业化的公司,旗下多款智能模糊测试工具已应用到了国防军工、软件测评中心、汽车、金融和信创等多个行业,帮助用户大幅缩短开发周期,显著优化产品质量。我们相信安般科技是基础软件领域的千里马,肩负产业使命,为提升各行各业软件产品质量保驾护航!”

东证创新投

东证创新投表示:“金融行业尤其是从事金融市场交易的机构最担心的就是系统的死机宕机,哪怕是短时间的,对金融机构来说都是重大的生产安全事故,由此造成的经济损失和声誉损失都是无法估量的。 安般科技的智能模糊测试系列产品作为新一代的自动化负面测试工具,除了具有传统测试方法的功能外,更可以发现软件的缺陷和系统运行时的薄弱点,从而有效避免系统死机宕机所导致业务停摆的生产安全事故,准确地解决了金融行业、自动驾驶、航空航天和半导体芯片等对系统连续稳健运行有强烈需求的行业痛点,具有重大的革命性的经济价值和战略意义。 安般科技的智能模糊测试产品有效提升测试效率和降低测试成本;另一方面,也是测试敏捷化的有利支撑,通过测试左移与 DevOps 平台无缝对接,提前在研发侧解决系统漏洞和缺陷,这也提升了软件研发效率。安般科技在模糊测试产品标准化落地方面也是领先于市场的,使用门槛较低,可以为军工、能源、金融和汽车等各行业软件研发机构赋能,构建质量门禁,提升软件质量水平。”

名川资本

名川资本创始合伙人王求乐表示:“软件代码的复杂性正呈几何级发展,单靠人工测试已无法解决软件的功能性、稳定性和可靠性难题。安般产品的程序化和智能化的自动测试能力,极大地提高了软件行业的测试效率,丰富了软件研发流程,优化了代码生产能力,为我国各行业软件开发者提供了高质量的新选择,填补了不少空白。名川资本深耕 2B 软件赛道,投资了众多高壁垒 2B 软件,作为拥有近十年软件系统调测经验的老兵,安般几乎是我投资生涯做决策时最无悬念的软件企业。”

中南资本

中南资本董事长李人洁表示:“在软件敏捷开发和安全左移的大背景下,企业亟需高效的全流程开发安全测试产品体系以保证软件安全。安般专注于模糊测试领域,在打磨DevOps 全流程软件测试系列产品的同时,已在大量头部客户中积累了成功案例及良好的口碑,对于我国软件开发安全和软件质量的提升具有深远意义。 ”

最后,记得关注微信公众号:镁客网(im2maker),更多干货在等你!

镁客网


科技 | 人文 | 行业

微信ID:im2maker
长按识别二维码关注

硬科技产业媒体

关注技术驱动创新

分享到