36氪首发|软件安全测试创新企业「水木羽林」完成Pre-A轮融资,持续发力基础软件安全

来源:36氪
发布时间:2022-01-28
核心技术为模糊测试。

36氪获悉,安全厂商「水木羽林」已于日前完成数千万元Pre-A轮融资。本轮投资方为金沙江创投、考拉基金,天使轮投资人银杏谷资本继续跟投。航行资本担任本轮融资独家财务顾问。

「水木羽林」成立于2021年3月,在2021年9月完成千万元天使轮融资。公司致力于针对基础软件面临的质量与安全风险,通过模糊测试、程序分析等技术手段,打造下一代缺陷检测与治理方案。从行业来看,在国家“十四五”规划中,基础软件、工业软件的完善是软件产业链升级的首要任务之一,而软件质量与安全性支撑能力也被作为“补短板”重点方向。「水木羽林」表示,为了响应这一目标,其也将发挥自身技术优势,面向协议、数据库、内核等多层次软件,以及信创、车控、工控、区块链等多行业方向,再加上检测、修复、防护等多应用场景,意在打造“能用、管用、好用”的平台产品,帮助提升基础软件系统的健壮性和安全性。

「水木羽林」的核心技术为模糊测试。从技术分类角度出发,这一领域在广义上被划入开发安全范畴,36氪此前也曾介绍过开发安全中的静态检测、动态检测等技术。对于不同技术路线,行业中也有不少公司有所侧重,而「水木羽林」认为,静态检测、动态检测、模糊测试等软件检测技术应该是相互补充,协同工作的关系,每个技术也各有长处。不过,提及技术路线的差异性,「水木羽林」也告诉36氪,在面向基础软件场景时,模糊测试是唯一既可深度检测未知缺陷,又能提供无误报精准定位的技术。所以在当前,这种技术在整体检测技术栈中具有不可替代的作用,被Google、微软、Linux基金会、云原生基金会、美国国防部等机构广泛应用。

「水木羽林」的自研技术利用污点分析、语义感知、并行调度、和硬件指令追踪等技术引导测试输入的自动生成,通过在测试执行过程中动态观察软件系统的行为和反馈,更快更多的触发程序分支和潜在缺陷。据介绍,这种自动化的测试输入生成手段,可以显著降低当前软件测试和安全分析的难度和人力成本。

而将模糊测试产品化也有两个难点,或者说也需要两方面能力。一个是底层核心技术的掌控能力,需要解决性能的持续提升与优化,不同类型检测对象的通用支持,不同语言特性的适配等问题。另一个是工程化能力,需要应对测试驱动自动生成、测试任务自动调度、测试过程与结果可视化、测试环境封装等等挑战。

「水木羽林」在打磨产品时也在持续突破以上问题。整体来看,其模糊测试平台具有如下亮点:

· 深度覆盖支持:在权威第三方及客户测试数据集的对比中,相较于AFL,Peach,SQLSmith,Syzkaller等标杆工具,核心指标如测试覆盖率,发现缺陷数,测试速度等均大幅领先。具体展开,测试覆盖率是模糊测试技术的核心性能指标,覆盖率越高代表缺陷发现能力越强。「水木羽林」介绍,与业界标杆开源工具相比,其应用检测技术在测试覆盖率上有20%~50%的提升,在数据库检测上有超过50%的提升,在协议测试上有超过25%的提升。

· 跨层全栈支持:全面支持应用、类库、数据库、操作系统、通信协议等检测对象,完整覆盖基础软件供应链,已在Linux,MySql,IEC104等基础软件及协议上累计发现百余个漏洞,被中美国家信息安全漏洞库作为CVE官方收录。

· DevSecOps支持:通过全量API、CLI工具等特性,可实现自动化、集成化与持续化的软件开发安全左移,同时支持测试入口可视化选择,测试驱动自动生成,多任务并行调度,覆盖信息实时显示,缺陷报告自动生成等功能。

另从商业落地角度,理论上来说,所有自己写代码的企业都可以采用模糊测试类产品进行测试。不过当前,「水木羽林」更看重服务作为国家信息产业关键基础设施的客户的软件安全。公司介绍,当前核心目标客户涵盖以下类型:

1、国产基础软件,如操作系统、数据库和办公软件等。这部分客户数量规模不大,但是是国家信息产业的关键基础设施,也是公司重点希望保障的领域。此外,围绕着国产基础软件打造的上万个信创应用软件也是其服务的对象。

2、军工、通信、航空航天、大型船舶、智能汽车、能源等软硬结合,安全要求高的行业,具体比如航天OS、大飞机的控制软件、车控软件、能源行业工业控制软件等。此类行业客户由大型央国企、知名民营企业及其庞大的供应商体系组成。

具体在落地上,公司当前已经与多家基础软件头部企业,以及航空航天、工控、检测机构等行业或单位达成业务合作。同时,「水木羽林」也通过加入OpenSSF开源软件安全基金会与Linux基金会,开源系统内核检测工具Healer等途径,加强社区合作,共同提升基础软件检测与保障能力。

整体来看,在本轮融资之后,公司将加强人才引进,持续投入技术研发,完善产品线,加速市场扩展,以期在快速增长的测试市场进一步夯实自身整体实力。

关于投资:

金沙江创投主管合伙人朱啸虎表示,过往几年的安全更多都集中在上层应用领域,而最近几年大家也逐渐意识到基础软件安全的重要性,水木羽林是我们在这个领域持续关注的技术创新型企业。公司主打的模糊测试不管在底层基础软件还是上层服务甚至云上都是应用范围很广的一项技术手段,而在创始人的带领下水木已经是模糊测试领域的头部公司,技术成果也被google等海外大厂集成应用,目前在国内也已有多个标杆客户落地。我们看好水木的长期发展,也相信公司未来的发展。

考拉基金合伙人赵山利表示,基础软件能力是国家科技发展的重要支撑,而这些软件自身的质量和安全风险,也是软件研发当中最重要的环节之一。水木羽林正是专注于服务这个环节,通过多年的全球前沿技术积累,以及产业应用摸索,已经初步完成了产品化,且得到了一定客户的认可。随着众多基础软件逐渐国产化甚至输出国际,相信为国产软件发展保驾护航的水木羽林,也将迎来很大发展机会。我们期待公司快速成长。

本文图片来自:IC photo 正版图库