开源网安 36氪首发｜开源网安完成数千万元A轮融资 聚焦软件安全产业

36Kr获悉，软件安全公司“开源网安”近日正式宣布完成数千万元的A系列融资。本轮融资由松禾资本和工匠基金投资。

开源网络安全成立于2013年，致力于帮助企业交付更安全的软件，并为软件安全开发提供全面的服务，包括咨询、培训、解决方案、专业工具和安全服务。简单理解，传统网络安全解决软件上线后的安全问题，软件安全开发帮助客户提前发现并解决潜在的安全风险。

目前，公司为客户提供软件安全开发全生命周期解决方案、DevSecOps解决方案、具有“自主知识产权”的软件安全开发工具链以及软件安全开发人才培养课程体系CWASP。公司表示，“开源网络安全”是一家能够提供软件安全全产品链的厂商，其相关产品可以直接替代Gartner应用安全魔力象限的龙头厂商的同类产品。

三个“软件安全开发”的把握

开源网络安全CMO张宇表示，目前企业软件安全开发的实施情况并不理想。其中一个重要的原因就是人员——安全人员在企业中没有足够的话语权，开发人员往往不懂安全，导致企业的发展和安全处于破碎状态。针对这种情况，“开源网络安全”设计了包括平台、工具和培训的“三个要点”，分别是S-SDLC平台、S-SDLC工具链和CWASP课程培训体系。

首先，S-SDLC平台是一个集成的操作平台，不仅集成了需求分析、威胁建模和安全设计，还可以与IAST、SAST、SCA、FUZZ、RASP等工具连接，形成统一的软件安全开发操作平台。

其次，S-SDLC工具链包括开源网络安全灰箱安全测试平台、开源网络安全代码审计平台、开源组件安全与合规管理平台、开源网络安全模糊测试平台和开源网络安全实时应用自我保护平台。

逐一扩展工具链，开源网络安装灰盒安全测试平台，使用IAST前沿安全检测技术，实现开发测试环节“零干扰”的自动安全测试，并提供完整的数据流、HTTP请求、配置信息等。，帮助用户更准确、更高效地检测安全问题。

开源的网络安全代码审计平台可以无缝连接客户的开发环境和代码仓库，帮助客户简单快捷地发现代码中的各种安全和质量问题；支持C/C++、Python、Go、Java、C#等40多种主流语言，为客户定制自己的代码安全和质量检测报告。

开源组件安全与合规管理平台主要用于控制第三方组件的安全，能够满足相关机构的监管和企业客户对开源组件安全风险的检测要求。目前“开源网络安全”这类工具主要服务于大企业客户。

模糊测试平台基于模型智能生成测试用例，高效检测各种软硬件系统中的未知漏洞。此类产品的技术研发门槛较高。实时应用自我保护平台主要利用RASP技术，保护应用上线后的安全风险。

最后是培训，主要是培训甲方的开发者，让他们具备安全开发能力。

在这些平台的基础上，公司还扩展了DevSecOps和软件安全在线检测解决方案，还为金融、监管、汽车、医疗等行业提供解决方案，进一步帮助客户完善软件安全开发流程。

公司认为，要将软件安全开发领域商业化，需要以咨询为切入点，持续提供完整的工具链。大客户的获取成本和服务成本都比较高，完整的S-SDLC工具链可以提高持续购买的可能性。近两年来，开源网络安全的年收入增长了80%左右，其中大部分来自于大客户的购买。

开源网络安全服务全景

“软件安全开发”的流行程度已经上升

从风险投资的角度来看，可以观察到软件安全开发的普及程度正在逐渐上升。根据开源网络安全，该领域的驱动力主要包括本地化替代、国内基础软件产业爆发、软件供应链驱动和合规性。

过去国内一些流行的软件安全开发产品逐渐退出中国市场，为国内自主可控产品空提供了市场。与此同时，国内基础软件正处于高速增长阶段，安全性将逐步提上日程。此外，由于大客户越来越重视软件安全开发，行业内的中小客户也在不断接受软件安全开发的理念、产品和服务。此外，政策引导的合规市场也将为这条赛道提供动力。

根据36Kr的观察，目前在软件安全开发领域有很多备受关注的项目。此前关注过“启安新”、“爱加密”、“库德卓木鸟”等，也报道过RASP领域的“安柏科技”。针对行业竞争，“开源网坛”认为，要打造该领域的核心竞争力，技术和基因缺一不可。前者是产品研发的基础，后者是真正了解客户、解决客户需求的前提。在企业团队方面，“开源网络安全”团队由来自华为、思科、微软等行业的顶尖软件安全开发专家组成，团队核心成员拥有10年以上的经验。

目前开源网安在金融、能源、政府、监管、通信、软件、教育等行业积累了大量成功案例，其客户包括但不限于平安银行、中信银行、微众银行、国鑫证券、中石油、国家电网、南方电网、华为、百度、金蝶软件、碧桂园、IBM等大型企业。

据了解，本轮融资后，公司将继续加大团队建设、产品改进、市场布局、技术攻关等。，推动公司产品和服务的改进，持续为客户确保软件安全。