专注软件供应链安全，「安势信息」完成数千万元级别 Pre-A 轮融资

近日，专注软件供应链安全的「安势信息」宣布已完成 Pre-A 轮融资。本轮融资金额在数千万元级别，领投方为微智数科，晨壹投资跟投，山景资本担任独家财务顾问。

安势信息成立于 2021 年 6 月，专注于打造软件供应链安全平台，目前主要帮助企业客户应对开源软件中存在的安全以及合规问题。

谈及开源软件的安全问题，一个里程碑事件是 2021 年底爆发的 Log4j 漏洞——当时，这一“核弹级”漏洞事件将开源软件的安全问题推向了风口浪尖。安势信息的第一款产品清源（CleanSource） SCA 即从软件组成分析（SCA）的需求切入，在商业化第一年订阅的总金额已经超过千万元，成功覆盖高科技互联网、消费电子、智能制造、基础软件、汽车等领域的客户。

从行业看，过去国内已有不少大型企业重视软件供应链中开源组件的安全和合规问题。不过出于市场产品成熟度方面的考虑，他们一般会主要采购国外厂商的产品。近年来随着国际宏观环境的变化，软件组成分析（SCA）等工具也产生了国产替代趋势，安势信息即顺应这一需求，为客户提供高端 SCA 类产品。

安势信息创始人兼总裁薛植元表示与上次融资时相比，安势信息如今在产品成熟度、商业化以及未来产品规划方面均取得了突破性进展。

软件组成分析（SCA）工具作为当前全球公认应对开源软件安全与合规问题的主要解决方案，其挑战之一就是如何准确全面的识别出代码库中的开源代码，这背后要求 SCA 工具必须具备多维度的扫描探测技术和匹配算法，同时需要一个强大的数据库来支撑。

安势信息的清源 (CleanSource) SCA 通过收录数量庞大、高时效性的开源软件打造自己的数据库，同时结合多维度的扫描探测技术和匹配算法，帮助客户识别以各种形式被引入软件中的开源组件。

在扫描探测技术方面，早期，安势信息的重心放在代码片段级别的、相较细粒度较高的引擎构建上。而现在，清源(CleanSource) SCA 已经能够支持组件、文件、代码片段、直接依赖、间接依赖等扫描，相较之前更为全面。

在数据库方面，安势信息通过对开源软件的信息进行爬取，再进行清洗和检索，不断对数据库进行打磨，以保证引擎使用数据的准确性。之后，引擎再根据数据库的信息进行对比，通过匹配规则告知客户开源软件可能存在的安全与合规风险。近半年里清源(CleanSource) SCA 数据库中组件版本信息已经从 1.4 亿上升到 1.7 亿，代码片段指纹也从 2 万亿增加到 3 万亿。安势信息近期构建了兼具学术和实践经验的数据挖掘团队，通过 NLP 等人工智能方式帮助进行自动化的数据清洗和数据挖掘，进一步提升数据库的准确性与更新速度。

在易用性方面，清源(CleanSource) SCA 如今可提供更为丰富的 API 接口和插件，方便用户和更多的 DevOps 工具打通。

SCA 工具之外，安势信息当前也在推进 SAST（静态应用程序安全测试,也称为白盒测试）产品线的研发。谈及如此设计产品线的思路，薛植元表示，SCA 意在帮助客户发现自己所使用的开源组件中的安全性问题，SAST 则能帮助客户检测自研代码中的缺陷与安全问题。这意味着，这两款产品的结合，可以覆盖企业构建软件过程中的大部分代码安全问题。从全球市场来看，SAST 和 SCA 也是市场空间最大的开发安全产品品类。

和 SCA 产品类似，目前占据优势的 SAST 产品也主要来自国外厂商。近年借力国产化趋势，国内也出现了不少 SAST 厂商，但产品能力大多和国外同业相比仍存在较大差距，这也给安势信息提供了市场切入机会。当前安势信息已搭建十余人的团队推进这一产品的研发，核心人员不仅拥有 985 院校的博士或硕士学位，且有相关领域高质量学术论文的发表和深度项目开发经验。该产品计划于明年正式发布第一个版本。开发语言支持的深度及广度是 SAST 产品的核心指标之一，安势将从 C/C++语言出发，最终覆盖二十余种主流开发语言。

国内 ToB 产品的商业化之路一直以来充满挑战，安势信息的清源（CleanSource） SCA 在商业化的第一年就成功服务众多垂直领域的头部企业。在商业模式上，清源(CleanSource) SCA 采用订阅模式，并可根据不同企业的规模提供适合的定价模式。未来，安势信息的 SAST 产品也将采用订阅模式收费。

团队方面，安势信息总裁薛植元曾任 Checkmarx 大中华区总经理，也是原 Synopsys SIG 大中华区业务负责人，主导过各类 DevSecOps 工具在中国的产业化落地。另外，今年安势信息也引入了多名来自阿里、华为、OPPO、百度，以及曾就职于专业软件供应链厂商的高管，和十余海内外名校博士、硕士的加入，帮助提升数据处理以及工程化能力，以及推进 SAST 产品线的研发。

本轮领投方微智数科的创始合伙人郭欣表示：“开源对软件世界的贡献越来越大，同时也带来了软件供应链的风险，过去几年因软件供应链引发的安全问题与合规问题呈指数级增长，软件供应链安全需求迫在眉睫。安势信息是我们在该领域看到的能力极为全面的公司，在成立仅一年的时间便推出了完全自主研发的具备代码片段识别能力 SCA 产品，成功 PK 海外厂商，签约众多最头部的互联网与科技公司。

公司创始团队兼具全球化视野与本地化落地的丰富经验，对软件供应链安全有着深刻的洞察，相信未来不断推出的优秀产品能让安势信息迈上一个个新的台阶，成为具有国际影响力的软件供应链安全公司。”