快手与京东零售达成战略合作,快手用户可直接购买京东自营产品
06-17
投资社区(ID:pedaily)9月14日消息,安全初创公司“末云”今日正式宣布,已完成天使轮融资。
据介绍,本轮融资金额数千万元,由绿洲资本独家投资。
云栖五源成立于今年7月,定位为新一代智能模糊测试技术提供商。
希望利用fuzzing(模糊测试)技术为企业整个软件生命周期提供帮助,帮助企业从开发阶段提升整体安全能力。
从技术分类来看,Fuzzing大致属于开发安全范畴,是一种软件安全的自动化测试方法。
综上所述,其核心思想是通过向目标系统提供大量意想不到的输入,并通过监控和捕获异常结果来发现更多未知的安全问题。
从行业角度来看,过去比较知名的开发安全工具是AST,主要包括静态应用安全测试(SAST)、动态应用安全测试(DAST)和交互式应用安全测试(IAST)。
相比之下,fuzzing技术过去大多出现在学术领域,国内独立厂商很少。
但36氪观察到,今年左右以来,开发安全在国内变得越来越重要,专注于不同安全测试工具的公司也有所增加。
国内也有一些厂商在Fuzzing领域崭露头角,与AST竞争。
云栖婺源就是其中之一。
公司创始人兼CEO沉凯文表示,此时选择fuzzing作为自己的创业方向,原因如下:一是从行业结构来看,随着市场需求的变化,国内安全行业越来越被认可。
近年来客户和资本。
。
其中,开发安全逐渐成为客户完成安??全基础设施建设后的下一步建设重点。
此外,近年来Fuzzing在工业侧的推广和实施,也让初创企业更有信心。
目前,Fuzzing已在国际上谷歌、微软、美国国防部(DoD)等领先机构得到应用,可见Fuzzing技术具有较高的增长潜力。
而且,申凯文还认为,模糊测试技术的发展和实现,让真正的代码安全自动化测试成为可能。
例如,智能覆盖引导技术的融合,极大地提高了Fuzzing技术细粒度测试的效率和效果。
从客户需求迭代的角度,沉凯文表示,过去客户大多使用AST产品,但此类产品只能发现Web场景中的问题,而Fuzzing技术还可以扩展到API、协议、数据库等场景。
而且,与传统测试技术相比,Fuzzing技术不仅可以发现已知(1-day)漏洞,还可以通过自动化技术挖掘更多未知(0-day)漏洞。
本质原因是fuzzing做软件安全测试时,整体粒度会更细,测试点会更多,定位会更准确。
他进一步介绍,模糊测试技术可以通过模板生成或流量提取,自动获取大量高质量的测试种子。
在测试过程中,模糊测试技术还可以通过软件覆盖率反馈机制,智能引导测试种子向优秀的方向变异。
还值得一提的是,模糊测试还将通过观察程序控制流图(CFG)来确定内存损坏漏洞。
这种基于系统底层逻辑的漏洞检测方法也使得任何细微的漏洞都能被及时发现。
“这将使更多客户关注Fuzzing的应用价值,从而为Fuzzing创业提供更大的市场空间。
”沉凯文说道。
但从落地来看,Fuzzing从技术到产品的转化在国内还处于早期阶段。
在代码安全自动化测试技术领域,沉凯文表示,Fuzzing技术无疑是近年来网络安全四大顶级学术会议中最热门的研究方向。
经过学者们的不断研究,Fuzzing目前在科研层面已经日趋成熟。
但另一方面,行业仍长期缺乏简单易用的产品。
这意味着,虽然当前市场上更多的客户意识到了Fuzzing的价值,但由于缺乏Fuzzing专业知识和实施经验,普通客户很难仅基于开源学术Fuzzing框架进行自动化代码测试。
例如,从产品易用性的角度来看,开源Fuzzing版本还缺乏UI界面、用户报告等基础模块,这使得普通客户很难将这些开源Fuzzing框架应用到日常工作任务中。
总之,沉凯文觉得,尽管fuzzing技术的优越性已经得到学术界的认可,但由于fuzzing本身的技术门槛较高,“开箱即用”的模糊测试产品已经成为市场需求。
从行业客户画像来看,云栖五源主要服务两类客户:第一类是对代码安全漏洞容忍度较低的企业,如汽车、Web 3.0、工控、军工、航空航天等。
此类客户的产品,往往造成巨大的产品召回损失。
因此,他们对产品的安全性要求非常高,愿意投入大量资金购买自动化软件安全检测工具。
第二类是DevOps客户,包括金融和互联网公司。
此类客户往往拥有大量快速迭代的代码,人工代码审计跟不上开发的速度。
为了保证业务安全的快速迭代,自动化的安全检测是他们的迫切需求。
目前,云栖五源正在逐步建立较为完善的产品矩阵——针对“开发、测试、部署、运维”各个阶段,提供基于Fuzzing技术的模糊测试产品,主要包括黑盒Fuzzing测试、灰/白盒Fuzzing测试等。
模糊盒测试。
其中,前者主要覆盖开发和测试阶段,后者可以覆盖开发、测试、部署、运维阶段。
在推广逻辑上,随着客户信任度的提高,云栖五源可以从提供黑盒模糊测试产品扩展到灰/白盒模糊测试,从而提高产品对客户的覆盖率和效果。
从使用场景来看,这些产品主要分为协议、API、数据库、Web3.0等场景。
总体而言,Kevin Shen认为,fuzzing领域的创业不仅需要技术能力,还需要对客户的深入了解。
对此,他表示,云栖婺源的核心竞争力之一是建立了一支具有产学研结合能力的团队。
总体来看,云栖五源的创始团队来自清华大学、北京邮电大学、海外顶尖大学和一线互联网厂商。
技术团队成员在DEFCON CTF、HITCON CTF、GEEKPWN等全球领先的国际网络安全竞赛中多次获奖,并在网络安全四大学术会议和行业会议Blackhat USA上发表多篇论文和演讲。
公司销售团队核心成员均拥有8年以上销售及管理经验,客户群涵盖车联网、金融、互联网、运营商等重要行业。
创始人沉凯文拥有清华大学网络空间安全博士学位,也是蓝莲花和茶送人的核心成员。
在GeekPwn国际安全极客大赛中获得全球第一名,入选“名人堂”。
从近期的计划来看,云栖五源计划继续打磨产品,进行客户推广。
绿洲资本表示:“作为新一时代fuzzing(模糊测试)技术的先行者,云栖五原捕捉未知,服务于企业软件的整个生命周期。
其创始团队具有产学研一体化的特点,并能抓住市场痛点,实现技术落地。
绿洲期待与云栖五源合作,实现其产业发展的可扩展性。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-17
06-18
06-18
06-08
06-18
06-18
最新文章
三只松鼠:门店扩张已全面暂停
Nvidia 已准备好“统治”AI
【创业24小时】2023年11月16日
【创业24小时】2022年10月20日
倒计时一天,浙江这座小镇要火了!
沃图网络获数千万A轮投资,加大投入海外网红营销SaaS平台建设
泰山天使基金部分退出拉手半年回报180倍
西格数据完成1000万元A+轮融资,国发创投领投