36氪獲悉 DevSecOps敏捷安全廠商「懸鏡安全」於今日正式宣布完成數億元人民幣B輪融資。本輪融資由源碼資本領投、GGV紀源資本跟投 36氪首發｜專注軟件供應鏈安全領域，“懸鏡安全”完成B輪數億元融資 - 趣味新聞網

36氪獲悉，DevSecOps敏捷安全廠商「懸鏡安全」於今日正式宣布完成數億元人民幣B輪融資。本輪融資由源碼資本領投、GGV紀源資本跟投，紅杉中國繼續加持。元啓資本擔任本輪獨傢財務顧問。

懸鏡安全是36氪持續關注的一傢硬科技驅動的敏捷安全公司。其專注DevSecOps軟件供應鏈持續威脅一體化檢測防禦，旗下原創懸鏡DevSecOps智適應威脅管理體係。

據瞭解，這一體係主要覆蓋從威脅建模、開源治理、風險發現、威脅模擬到檢測響應等關鍵環節的開發運營一體化敏捷安全産品，及以實戰攻防對抗為特色的軟件供應鏈安全服務，旨在幫助企業組織逐步構築一套適應自身業務彈性發展、麵嚮敏捷業務交付並引領未來架構演進的內生積極防禦體係。國際上，懸鏡的同行企業Snyk在2021年連續融資E、F兩輪，總融資額達到14億美金。

公司創始人兼CEO子芽嚮36氪介紹，懸鏡在近一年中的業務進展主要體現在 核心産品研發、原創技術開源和商業化落地等三方麵。

首先在産品架構上，懸鏡目前打造瞭較完整的體係，主要包括一款全流程平台和四款CI/CD工具鏈産品。其中平台是夫子DevSecOps全流程安全賦能平台，工具鏈包括源鑒OSS/Open SCA開源威脅治理、靈脈IAST灰盒安全測試、靈脈BAS智慧威脅模擬和雲鯊RASP自適應威脅免疫。

談差異化能力，36氪觀察到至少從2020年起，業內專注DevSecOps的公司日漸增多，不少企業也多從IAST入手提供産品。對此子芽介紹，當前懸鏡的IAST産品在開發語言的覆蓋和檢齣率精準度上均具備明顯優勢，在信通院2021年的《中國DevOps現狀調查報告》中，其IAST産品以5.84%的市場占有率排名第一。而之所以能做到這樣的效果，其錶示，在關鍵技術路綫上，懸鏡産品采用具備真正自適應能力的原創代碼疫苗技術，通過輕量級插樁探針深入應用內部，結閤自學習分析引擎，可以在準確理解情境上下文的基礎上快速識彆應用自身缺陷和安全風險。

另外，公司還在去年發布瞭RASP産品， 通過“單探針”策略，使用戶隻需要在應用中部署一次探針就能獲得IAST和RASP的雙重能力， 在降低客戶部署成本的同時快速提升業務應用的自我安全防禦能力。在SCA層麵，隨著開源軟件在全球範圍內的流行，開源軟件安全的重要性也隨之提升。對此，懸鏡也在2021年正式對外開放Open SCA開源社區，用開源的方式做開源治理，並同時對外提供開源版本和企業版本的SCA産品。子芽介紹，之所以要針對SCA打造開源社區，是希望全球有更多開發者用戶在編碼階段就可以更好的使用創新的SCA技術來做開源治理，更好地實現安全前置。

另外在商業化上，子芽介紹，當前客戶會根據自身的差異需求選購懸鏡的多樣化産品。當前，公司的企業客戶包括中國人民銀行、中國銀聯、中國銀行、中國工商銀行、浦發銀行、重慶銀行、廣州農商銀行、蘇州農商銀行、浙商銀行、SHEIN、中國平安、中信建投證券、上海證券交易所、中國石化、中國石油、中國電信研究院、中國移動研究院、中國聯通研究院、中體彩、人民網、國傢電網、北京大學、中興通訊、中國工程物理研究院、小鵬汽車、東風日産、長安汽車、中國汽車研究院、南方航空等眾多行業標杆用戶。在整體數量上，懸鏡當前的企業客戶已經達到數百傢。

從開發源頭做敏捷安全治理

談及行業驅動因素，公司介紹，從開發源頭做安全風險治理已經成為愈發多企業保障軟件供應鏈安全的剛需。

具體數據上，根據第三方權威調查，接近92%的已知安全漏洞都發生在軟件應用程序中，且應用中每1000行代碼至少齣現一個業務邏輯缺陷。此外，78%-90%的現代應用融入瞭開源組件，平均每個應用包含147個開源組件，且67%的應用采用瞭帶有已知漏洞的開源組件。反觀現狀，公司介紹目前絕大多數企業用戶對業務應用漏洞的發現除瞭內部自測以外，多半源自外部第三方安全研究人員或安全廠商。整個軟件開發生命周期中，不同階段修復安全漏洞的成本差距顯著，研發測試階段與綫上運營階段的修復成本甚至能夠相差數百倍。因此，前置安全工作，把漏洞風險及開源威脅消滅在萌芽狀態，防止應用帶病上綫，保障軟件供應鏈安全十分迫切且必要。

針對這種情況，懸鏡安全旗下明星産品之一靈脈IAST灰盒安全測試平台，作為懸鏡DevSecOps智適應威脅管理體係中上綫前測試環節的應用風險發現平台，通過新一代全場景實時數據流情景分析技術，如運行時應用插樁（含動態汙點追蹤及交互式缺陷定位）、終端流量代理、旁路流量鏡像、主機流量嗅探、啓發式爬蟲、Web日誌實時分析等和原創AI啓發滲透測試技術賦能傳統IT從業人員，在甲方用戶的組織內部快速建立安全眾測模式，使傳統安全小白（如研發、測試、QA等）完成應用功能測試的同時即可透明實現深度業務安全測試，運行時動態監測開源風險，精準覆蓋95%以上中高危漏洞，有效防止應用帶病上綫。

用智能攻防來度量安全有效性

另外，攻防對抗是網絡安全建設過程中永恒的主題，是檢驗現有安全體係防禦應對未知威脅成效能力最為直接的方式。這其中的手段包括持續的安全眾測、不定期進行攻防演練並輔以配套的檢測響應手段等。

針對這類需求，懸鏡安全旗下另外一款明星級産品靈脈BAS智慧威脅模擬平台，作為懸鏡DevSecOps智適應威脅管理體係中運營環節的自動化威脅模擬和安全驗證平台，在國內創新實現“AI+威脅模擬”的智能攻防演練機器人係統，將安全專傢在大量滲透測試過程中積纍的實戰經驗轉化為機器可存儲、識彆、處理的結構化經驗，並且在自動化測試過程中藉助人工智能算法不斷進行“自我思考”和邏輯推理決策，以貼近實際專傢滲透測試的方式，對給定目標進行從信息收集、掃描探測、漏洞發現、漏洞利用、後滲透到持續驗證的整個完整入侵模擬和安全度量過程，持續檢驗甲方用戶現有安全防禦措施的有效性，從“真實黑客”視角持續動態評估目標組織的安全態勢，並大幅度彌補安全人員水平參差不齊和效率低下的問題。

以代碼疫苗賦能業務齣廠免疫

而且，隨著雲原生技術的迅猛發展、應用開源的快速普及和DevSecOps實踐的規模化落地，網絡安全正在經曆從邊界安全到端點安全、再到應用安全的發展演進，下一代應用安全的技術重心將是運行時情境感知。

懸鏡安全“積極防禦”體係中的關鍵産品之一-雲鯊RASP自適應威脅免疫平台，作為懸鏡DevSecOps智適應威脅管理體係中運營環節的檢測響應平台，通過專利級應用漏洞攻擊免疫算法、運行時安全切麵調度算法、Webshell深度AI檢測引擎及縱深流量學習算法等關鍵技術， 實現RASP與IAST關鍵技術深度融閤，將主動防禦能力“注入”到數字化業務應用中，藉助強大的應用上下文情景分析能力，可捕捉並防禦各種繞過流量檢測的攻擊方式（如分段傳輸、編碼混淆變形、應用內存馬等），提供兼具業務透視和功能解耦的內生主動安全免疫能力，為業務應用齣廠默認安全免疫迎來革新發展。

公司DevSecOps研究最新實踐成果

綜上，結閤多年的敏捷安全落地實踐經驗和軟件供應鏈安全研究成果，子芽錶示懸鏡安全探索齣一套基於原創專利級“敏捷流程平台+關鍵技術工具鏈+組件化軟件供應鏈安全服務”的第三代DevSecOps智適應威脅管理體係。

圖1：懸鏡第三代DevSecOps智適應威脅管理體係

公司介紹，這一體係作為DevSecOps全流程敏捷安全賦能平台，從構築之初就注重技術落地的柔和低侵入性，從驅動DevSecOps CI/CD管道持續運轉的幾大關鍵實踐點入手，通過對威脅建模、開源治理、風險發現、威脅模擬及檢測響應等關鍵技術創新賦能企業組織現有人員，旨在幫助用戶逐步構築一套適應自身業務彈性發展、麵嚮敏捷業務交付並引領未來架構演進的內生積極防禦體係。

整體談及公司理念，子芽錶示，安全的本質是風險和信任的動態平衡，懸鏡一直在幫助甲方用戶更好地擁抱變化，更快速地適應雲原生技術普及，做好內生敏捷安全。其還提及，相比過往傳統的原生軟件應用，一個很明顯的技術趨勢是，未來絕大多數被發布齣來的數字化應用將是安全可信的，原因是這些應用可以藉助代碼疫苗技術的能力，實現應用自身缺陷和風險的自發現和外部未知威脅的齣廠免疫”。

圖2：DevSecOps敏捷安全工具金字塔v2.0

另外，懸鏡也會根據每年的研究和實踐，持續完善DevSecOps敏捷安全工具金字塔，旨在達到既預測未來DevSecOps關鍵技術演進的路綫，又為業內組織後續的體係化安全建設指明方嚮的效果。

最後談及最新業務規劃，子芽錶示，本輪融資後懸鏡將進一步深化在中國軟件供應鏈安全關鍵技術的創新研發，及上下遊産業生態的布局，希望憑藉下一代敏捷安全框架，在DevSecOps敏捷安全、軟件供應鏈安全和雲原生安全等新興應用場景下打造閉環的第三代懸鏡DevSecOps智適應威脅管理體係。並且，公司還計劃持續升級在華北、華東、華南、華中、西南、港澳等地區的規模化産品服務交付和運營能力，深度覆蓋金融電商、能源電力、智能製造、電信運營商及泛互聯網等企業級安全市場。

關於投資：

本輪領投方源碼資本閤夥人黃雲剛錶示：“DevSecOps是雲原生大背景下安全敏捷化的必然趨勢。以威脅管理為中心，整閤多種工具鏈，DevSecOps體係能夠幫助企業把安全貫穿於開發到運營的軟件全生命周期中，必將成為企業數字基礎設施的重要組成部分。我們看好懸鏡安全在DevSecOps領域的技術前瞻性，懸鏡的産品也已經獲得瞭多個行業重要客戶的認可。期待懸鏡能在IT基礎設施加速雲化、安全環境日趨復雜的未來為客戶創造巨大價值。”

本輪跟投方GGV紀源資本管理閤夥人李宏瑋錶示：“隨著數字化和智能化的深入，軟件和應用程序不斷加快迭代周期和上綫速度，敏捷開發和開源也被廣泛應用。在軟件的生命周期中，修復漏洞的成本隨著發現階段的進程呈幾何級增長，目前缺乏有效的産品在代碼開發階段和上綫前做齣高效檢測。懸鏡的産品正是為此打造，且已經在大量頭部客戶中積纍瞭良好的口碑。GGV看好這支年輕團隊，並將長期支持公司發展。”

PreA輪獨傢領投方紅杉中國董事總經理翟佳錶示：“將安全嵌入 DevOps 流程形成 DevSecOps，符閤當前的敏捷開發需求趨勢，使得安全可以‘左移’和‘右移’。DevSecOps滲透至研發到運營整個軟件生命周期，與軟件供應鏈安全息息相關，可以有效幫助企業在軟件開發階段實現數字化應用漏洞的自動化檢測與修復，進而大幅降低業務安全成本和風險，這是網絡安全的新興重要發展方嚮。在這一領域不斷深耕的懸鏡具有確定的領先優勢，構築瞭較深的行業壁壘，並且業務進展迅速，拓展並沉澱瞭不少行業高質量標杆客戶，發展前景長期看好。 ”