中信建投|全清华班底,智能模糊测试安全公司“水木羽林”完成千万级天使轮融资,斗象科技参投
【中信建投|全清华班底,智能模糊测试安全公司“水木羽林”完成千万级天使轮融资,斗象科技参投】
近日 , 关注软件安全的初创安全公司「水木羽林」完成千万元级天使轮融资 , 本轮投资人包括前沿基金、银杏谷资本、斗象科技、海南层林等 。
当前 , 不少企业面临的安全问题之一即是软件的安全无法保障 。 所以 , 软件在开发流程中的安全问题也引起不少关注 。 根据美国国家标准与技术研究所(NIST)早前的统计 , 在发布后执行代码修复 , 其修复成本相当于在设计阶段执行修复的30倍 。 而开发安全类产品则从开发过程切入 , 希望通过对软件开发流程的管控 , 降低软件本身存在的安全风险 。
当前为了解决这一问题 , 业内出现了不同类型的工具 , 其中主要包括AST工具 , 涵盖静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)产品等 。 公司介绍 , 当前AST工具在应用程序上的效果显著 , 而Fuzz技术可以更好的适配到不同类型的基础和系统软件 , 并在漏报和误报以及自动化支持上取得更好的平衡 。
当前一些公司以FUZZ类产品为主打 , 希望帮助企业解决软件安全问题 。 本文主角「水木羽林」 , 正式成立于2021年3月 , 其团队核心成员均毕业于清华大学 , 在软件安全测试方向有超过10年积累 , 在SOSP和S&P等软件系统和信息安全领域顶会上发表30余篇学术论文 , 在各类系统软件上挖掘数百个高危安全漏洞收录到国家安全漏洞库中 。 公司主打产品为XFUZZ智能模糊测试系统 , 不仅支持应用层软件及类库 , 也支持协议、内核、数据库等大规模基础软件的自动化安全测评 。
公司COO李远翼介绍 , XFUZZ智能模糊测试系统是新一代软件质量与安全检测平台 , 可以对各种层次与类型的软件进行自动化漏洞挖掘 , 有效检测各类高危漏洞 , 提升软件健壮性和安全性 , 为软件供应链安全提供基础支撑 。
其还介绍 , 智能模糊测试会在测试过程中动态观察程序的反馈 , 利用污点分析和硬件指令追踪等技术引导测试输入的生成 , 更快更多的触发程序分支 , 分支覆盖的越深 , 最终找到的漏洞越多 。
不过在李远翼看来 , 由于程序不同 , 如今具体的覆盖度指标不能一概而论 , 但这种自动化的测试输入生成手段 , 可以显著降低当前软件测试和安全分析的难度和人力成本 。
当前 , 「水木羽林」主要依靠智能模糊测试等前沿技术 , 瞄准开发安全、代码安全等DevSecOps场景 , 希望解决各行业软件供应链安全保障难题 。
具体展开 , 公司介绍其XFUZZ智能模糊测试系统具有如下亮点:
- 智能深度挖掘能力:在权威第三方及客户测试数据集的对比中 , 相较于AFL , PeachSyzkaller等标杆工具 , 核心指标如测试覆盖率 , 发现缺陷数测试速度等均大幅领先 。
- 跨层全栈支持能力:全面支持应用、类库、数据库、操作系统、通信协议等检测对象 , 完整覆盖软件供应链 , 在Linux , MySql , IEC104等基础软件及协议上累计发现百余个漏洞被中美国家信息安全漏洞库作为CVE官方收录 。
- DevSecOps支持能力:通过全量API、CLI工具等特性 , 可实现自动化、集成化与持续化的软件开发安全左移 , 支持测试驱动自动生成 , 覆盖信息实时显示 , 缺陷报告自动生成 , 缺陷输入自动复现等功能 。
- 副董事长|京东方A董秘回复:公司与全球数千家供应商保持着良好的合作关系
- 苹果|iPhone 14普及高刷:全系支持120Hz
- 普莉希拉|祖籍徐州的普莉希拉,嫁全球第5富豪扎克伯格,坐拥6530亿被说丑
- Games|Beat Games透露VR音游「Beat Saber」全新音乐方块类型
- 5G|关于5G,华为赢了
- 供冷供热约占全球终端能源消耗的50%|吸附式制冷材料研究取得进展
- 智能手机|全球第17位!App Annie报告:2021年中国人均每天用手机3.3小时
- GitHub|目前最值得入手的三款鸿蒙手机,全部都在降价,最后一款仅1239元
- Google|全球游戏领域的标杆,MSI&AMD把事情做得很漂亮
- 体验首款Linux消费级平板,原来芯片和系统全是国产