智能模糊測試廠(chǎng)商「安般科技」獲 得超億元 A 輪融資，推進(jìn)國產(chǎn)軟件安全加速發(fā)展

鎂客網(wǎng)獲悉，智能模糊測試技術(shù)提供商「安般科技」獲得超億元 A 輪融資，硅港資本和上海東方證券創(chuàng )新投資有限公司聯(lián)合領(lǐng)投，名...

鎂客網(wǎng)獲悉，智能模糊測試技術(shù)提供商「安般科技」獲得超億元 A 輪融資，硅港資本和上海東方證券創(chuàng )新投資有限公司聯(lián)合領(lǐng)投，名川資本和中南資本跟投。

「安般科技」成立于 2018 年 12 月，是國內最早從事智能模糊測試技術(shù)商業(yè)化落地的企業(yè)，專(zhuān)注于提供軟件全流程負面測試產(chǎn)品和解決方案，當前產(chǎn)品線(xiàn)主要包括模糊測試和軟件供應鏈安全兩大類(lèi)。

在軟件定義世界的趨勢下，軟件已經(jīng)逐漸滲透到生活的方方面面，與此同時(shí)軟件本身的缺陷及其帶來(lái)的災難性后果將成為一個(gè)無(wú)法忽視的灰犀牛。據統計，2020 年美國不良軟件質(zhì)量損失(CPSQ)約為 2.08 萬(wàn)億美元，其中軟件缺陷造成的損失高達 1.56 萬(wàn)億美元。近年來(lái)我國軍工、金融、汽車(chē)等多個(gè)行業(yè)也陸續出臺了與軟件質(zhì)量相關(guān)的強制性標準和政策。但如今動(dòng)輒數億行的代碼規模已無(wú)法僅依賴(lài)現有的測試手段去對其充分測試從而保障質(zhì)量。于是，模糊測試，一種古老的技術(shù)正被賦予全新的革命性意義。

模糊測試作為一種負面測試技術(shù)，早在 1989 年即被提出，它是利用自動(dòng)或半自動(dòng)的方法，不斷地向被測程序提供非預期輸入并監控輸出異常來(lái)發(fā)現軟件缺陷的方法。在過(guò)去幾十年經(jīng)歷了“完全隨機”、“基于模板”、“基于文法”幾個(gè)階段的發(fā)展，隨著(zhù) 2014 年AFL 的提出，其通過(guò)對軟件內部狀態(tài)的監控，當代模糊測試進(jìn)入一個(gè)全新的智能時(shí)代。

最近幾年，像 Google、Microsoft 等巨頭的核心系統已經(jīng)大量使用模糊測試技術(shù)，美國國防部在其 2019 年的年度國防方案 HR5515 曾大篇幅的要求美國空軍等關(guān)鍵系統強制使用模糊測試技術(shù)，2021 年發(fā)布的 EO 14028 總統行政命令更是將模糊測試作為各行業(yè)軟件最低發(fā)布標準。在類(lèi)似的法規要求下，海外已經(jīng)出現了一些專(zhuān)注智能模糊測試技術(shù)服務(wù)的新興獨角獸企業(yè)，在商業(yè)化模糊測試的實(shí)踐上也效果頗豐。例如在 2018年左右開(kāi)始進(jìn)入模糊測試賽道的美國公司 ForAllSecure，于 2020 年 5 月僅針對美國空軍某一個(gè)部隊就簽下一筆 4500 萬(wàn)美元為期三年的訂單；又如成立于 2018 年的德國公司 Code Intelligence，已成功在多個(gè)無(wú)人駕駛領(lǐng)域和工業(yè)場(chǎng)景落地模糊測試技術(shù)?！赴舶憧萍肌棺鳛槭澜绶秶鷥茸钤缫慌鷱氖履：郎y試技術(shù)商業(yè)化落地的企業(yè)在技術(shù)和產(chǎn)品上與國外同行并駕齊驅?zhuān)谑袌?chǎng)上更多的聚焦在我國正在快速發(fā)展的國產(chǎn)軟件行業(yè)，持續助力國產(chǎn)軟件更好更快發(fā)展。

談及產(chǎn)品化工具，創(chuàng )始人汪毅表示，公司以智能模糊測試技術(shù)為核心已研發(fā)了多場(chǎng)景的模糊測試工具，并在 2020 年開(kāi)始涉足軟件供應鏈領(lǐng)域，同時(shí)聯(lián)合了多個(gè)深耕軟件安全工具的廠(chǎng)商共同推出了面向軟件開(kāi)發(fā)各個(gè)環(huán)節的全流程負面測試解決方案，構建基于 DevQualOps 思想的多維度軟件負面測試能力。

目前「安般科技」有五個(gè)測試系統產(chǎn)品：

易恒智能模糊測試系統：針對 C/C++（Linux）和 Java 源碼的模糊測試工具，能夠發(fā)現近百種與程序健壯性和安全性相關(guān)的缺陷。易恒能夠無(wú)縫嵌入 CI 流程，在開(kāi)發(fā)階段，提供透明化、自動(dòng)化測試服務(wù)，協(xié)助開(kāi)發(fā)人員挖掘、定位、復現和修復缺陷；在集成測試階段，利用人工智能技術(shù)，幫助測試人員快速生成海量有效測試用例，發(fā)現程序缺陷并大幅提升測試覆蓋率；實(shí)踐表明，易恒智能模糊測試系統可以有效提升程序健壯性，保障程序發(fā)布質(zhì)量，是企業(yè) DevQualOps 最佳實(shí)踐的重要工具。

易偵協(xié)議模糊測試系統：通用的自動(dòng)化協(xié)議模糊測試工具，支持數十種常用協(xié)議，能夠快速識別協(xié)議軟件中的缺陷和 0day 漏洞。易偵支持黑盒測試和全數字仿真測試兩種測試方式，黑盒測試場(chǎng)景下無(wú)需提供軟件源代碼，通過(guò)協(xié)議發(fā)送變異報文對軟件進(jìn)行測試，使企業(yè)快速進(jìn)入測試驗收環(huán)節。在全數字仿真環(huán)境下，通過(guò)代碼插樁可以進(jìn)一步獲取軟件的運行狀況、函數動(dòng)態(tài)調用關(guān)系、多種覆蓋率（行覆蓋率、分支覆蓋率、函數覆蓋率、MC/DC）等信息，幫助企業(yè)更精準的發(fā)現和修復軟件中的缺陷，提升軟件質(zhì)量。

易察 API 模糊測試系統：易察是面向 API 接口的黑盒模糊測試工具，創(chuàng )新性的將模糊測試引入了 API 測試領(lǐng)域。易察可以自動(dòng)發(fā)現 Web 應用中的 API 接口并解析 API 規范，根據接口間的依賴(lài)關(guān)系通過(guò)模糊測試技術(shù)生成海量具有針對性的測試用例，向目標接口發(fā)送請求進(jìn)行測試。不僅可以發(fā)現 OWASP API Top10 等常見(jiàn)漏洞，還可以檢測非法字符串、超出范圍的參數數據、數據類(lèi)型錯誤、空參數等引起 API 拒絕服務(wù)的問(wèn)題并自動(dòng)輸出相應測試報告。

易識固件供應鏈安全管理系統：面向二進(jìn)制固件的自動(dòng)化靜態(tài)分析工具。 支持十余種CPU 架構、60 多種固件格式，內置了 19 萬(wàn)條漏洞信息，利用自研的 HBinSim-attention 算法有效解決了 CWE 識別低效和準確性不高的業(yè)界難題，能夠快速識別200+CWE 缺陷。在固件驗收測試和評測中，易識可以分析固件中的加密算法，識別明文用戶(hù)名密碼等敏感信息、開(kāi)源組件及許可協(xié)議，查找固件中的 CVE/CNNVD 漏洞，挖掘 CWE 缺陷。幫助用戶(hù)識別固件中的安全風(fēng)險和法律風(fēng)險。

SCA 源代碼成分分析系統：面向源代碼的自動(dòng)化靜態(tài)分析工具。從設計階段到發(fā)布階段，識別 CVE/CNNVD 安全漏洞，梳理研發(fā)過(guò)程中的軟件物料清單(SBOM)，解決開(kāi)源治理過(guò)程中的安全和合規問(wèn)題。使用自主研發(fā)的新一代指紋識別技術(shù)，支持 600 多種開(kāi)發(fā)語(yǔ)言，通過(guò)構建識別、組件識別、文件識別和代碼片段識別技術(shù)，多維度識別引入的開(kāi)源組件，單個(gè)文件掃描僅需 20ms；系統內置超過(guò) 2 萬(wàn)億行開(kāi)源代碼、1 億 2千萬(wàn)組件信息、500 億文件信息、2000 多種許可證類(lèi)型及 19 萬(wàn)條漏洞信息。

技術(shù)能力方面，「安般科技」創(chuàng )新性地設計了一套支持異構引擎大規模并發(fā)測試的通用模糊測試框架 ABFuzz。該框架首次引入細粒度多引擎融合技術(shù)，能夠持續整合多種模糊測試引擎，共同提升模糊測試的效率和效果。其自主研發(fā)的通用模糊測試引擎ABFast，融合了符號執行和污點(diǎn)分析等相關(guān)程序分析技術(shù)，具備更強的路徑探索能力；同時(shí)，ABFast 的增強學(xué)習算法可以基于用戶(hù)以往的測試記錄進(jìn)行自我強化，在使用過(guò)程中變的越來(lái)越“聰明”，更高效地發(fā)現被測程序的缺陷。在同等測試條件下，ABFast 比 AFL/AFL++引擎在缺陷發(fā)現數量方面提升 300%以上 ，在 LAVA-M 測試集上，測試效果同樣大幅超越其他開(kāi)源引擎。

目前「安般科技」系列產(chǎn)品累計在數十個(gè)開(kāi)源項目中找到上百個(gè) 0day 漏洞，例如近期對用戶(hù)數全球排名第一的免費開(kāi)源關(guān)系型數據庫 MySQL，對其最新版本 8.0.27 版本進(jìn)行 24 小時(shí)模糊測試，找到 17 個(gè)最高級別致命 0day 漏洞，包括斷言失敗、堆溢出和段錯誤等。

市場(chǎng)方面，「安般科技」以上?？偛繛橹行?，在北京、西安、成都等一、二線(xiàn)城市設有研發(fā)中心和分支機構，并擁有覆蓋全國的近百家合作伙伴網(wǎng)絡(luò )，累計服務(wù)過(guò)上百家政府軍工、信創(chuàng )軟件、工業(yè)控制、智能汽車(chē)等多領(lǐng)域客戶(hù)。目前「安般科技」與信創(chuàng )、汽車(chē)、軍工領(lǐng)域內多個(gè)權威機構成立聯(lián)合負面測試中心并參與制定了多個(gè)軟件安全及模糊測試相關(guān)的國家及行業(yè)標準。

團隊方面，「安般科技」創(chuàng )始成員起源于中國科學(xué)院和上?？萍即髮W(xué)，具有豐富的程序分析相關(guān)技術(shù)積淀。目前團隊規模近 100 人，其中 80%以上團隊成員為研發(fā)人員，主要來(lái)自中國科學(xué)院、中電科、摩托羅拉、騰訊等研究院所及企業(yè)的安全、測試和研究部門(mén)?！赴舶憧萍肌乖啻纬袚鷩铱萍疾慷囗椫卮笳n題研究，并于近期承接“十四五”國家重點(diǎn)研發(fā)計劃“網(wǎng)絡(luò )空間安全治理”中某涉密專(zhuān)項的核心課題研究。此外「安般科技」與四川大學(xué)信息安全研究所、中國工程物理研究院計算機應用研究所等單位已建立長(cháng)期的產(chǎn)學(xué)研一體化合作。

最后，創(chuàng )始人汪毅告訴鎂客網(wǎng)，2022 年對安般來(lái)說(shuō)是非常重要的一年，公司除了繼續深耕軍工和信創(chuàng )領(lǐng)域外還會(huì )加強布局金融和汽車(chē)行業(yè)。本輪融資資金將主要用于進(jìn)一步提升技術(shù)壁壘、加速產(chǎn)品系列優(yōu)化和垂直行業(yè)的規?；涞?、組建金融和汽車(chē)事業(yè)部以及提升品牌影響力等工作。

投資觀(guān)點(diǎn)

硅港資本

硅港資本創(chuàng )始合伙人何欣表示：“硅港資本非常榮幸可以領(lǐng)投安般科技。智能模糊測試技術(shù)應用十分廣泛，包括源代碼、API 接口、通訊協(xié)議、數據庫系統等。隨著(zhù)汽車(chē)智能化、工業(yè)及基礎軟件國產(chǎn)化、強制測試的行業(yè)標準推廣等因素，智能模糊測試迎來(lái)行業(yè)爆發(fā)性機會(huì )。 安般科技是國內首家將智能模糊測試技術(shù)商業(yè)化的公司，旗下多款智能模糊測試工具已應用到了國防軍工、軟件測評中心、汽車(chē)、金融和信創(chuàng )等多個(gè)行業(yè)，幫助用戶(hù)大幅縮短開(kāi)發(fā)周期，顯著(zhù)優(yōu)化產(chǎn)品質(zhì)量。我們相信安般科技是基礎軟件領(lǐng)域的千里馬，肩負產(chǎn)業(yè)使命，為提升各行各業(yè)軟件產(chǎn)品質(zhì)量保駕護航！”

東證創(chuàng )新投

東證創(chuàng )新投表示：“金融行業(yè)尤其是從事金融市場(chǎng)交易的機構最擔心的就是系統的死機宕機，哪怕是短時(shí)間的，對金融機構來(lái)說(shuō)都是重大的生產(chǎn)安全事故，由此造成的經(jīng)濟損失和聲譽(yù)損失都是無(wú)法估量的。 安般科技的智能模糊測試系列產(chǎn)品作為新一代的自動(dòng)化負面測試工具，除了具有傳統測試方法的功能外，更可以發(fā)現軟件的缺陷和系統運行時(shí)的薄弱點(diǎn)，從而有效避免系統死機宕機所導致業(yè)務(wù)停擺的生產(chǎn)安全事故，準確地解決了金融行業(yè)、自動(dòng)駕駛、航空航天和半導體芯片等對系統連續穩健運行有強烈需求的行業(yè)痛點(diǎn)，具有重大的革命性的經(jīng)濟價(jià)值和戰略意義。 安般科技的智能模糊測試產(chǎn)品有效提升測試效率和降低測試成本；另一方面，也是測試敏捷化的有利支撐，通過(guò)測試左移與 DevOps 平臺無(wú)縫對接，提前在研發(fā)側解決系統漏洞和缺陷，這也提升了軟件研發(fā)效率。安般科技在模糊測試產(chǎn)品標準化落地方面也是領(lǐng)先于市場(chǎng)的，使用門(mén)檻較低，可以為軍工、能源、金融和汽車(chē)等各行業(yè)軟件研發(fā)機構賦能，構建質(zhì)量門(mén)禁，提升軟件質(zhì)量水平。”

名川資本

名川資本創(chuàng )始合伙人王求樂(lè )表示：“軟件代碼的復雜性正呈幾何級發(fā)展，單靠人工測試已無(wú)法解決軟件的功能性、穩定性和可靠性難題。安般產(chǎn)品的程序化和智能化的自動(dòng)測試能力，極大地提高了軟件行業(yè)的測試效率，豐富了軟件研發(fā)流程，優(yōu)化了代碼生產(chǎn)能力，為我國各行業(yè)軟件開(kāi)發(fā)者提供了高質(zhì)量的新選擇，填補了不少空白。名川資本深耕 2B 軟件賽道，投資了眾多高壁壘 2B 軟件，作為擁有近十年軟件系統調測經(jīng)驗的老兵，安般幾乎是我投資生涯做決策時(shí)最無(wú)懸念的軟件企業(yè)。”

中南資本

中南資本董事長(cháng)李人潔表示：“在軟件敏捷開(kāi)發(fā)和安全左移的大背景下，企業(yè)亟需高效的全流程開(kāi)發(fā)安全測試產(chǎn)品體系以保證軟件安全。安般專(zhuān)注于模糊測試領(lǐng)域，在打磨DevOps 全流程軟件測試系列產(chǎn)品的同時(shí)，已在大量頭部客戶(hù)中積累了成功案例及良好的口碑，對于我國軟件開(kāi)發(fā)安全和軟件質(zhì)量的提升具有深遠意義。 ”

最后，記得關(guān)注微信公眾號：鎂客網(wǎng)（im2maker），更多干貨在等你！