【全球時(shí)快訊】首發(fā)丨“安般科技”獲超億元A輪融資，推進(jìn)國產(chǎn)軟件安全加速發(fā)展

智能模糊測試技術(shù)提供商安般科技獲得超億元A輪融資，硅港資本和上海東方證券創(chuàng)新投資有限公司聯(lián)合領(lǐng)投，名川資本和中南資本跟投。

安般科技成立于2018年12月，是國內(nèi)最早從事智能模糊測試技術(shù)商業(yè)化落地的企業(yè)，專注于提供軟件全流程負(fù)面測試產(chǎn)品和解決方案，當(dāng)前產(chǎn)品線主要包括模糊測試和軟件供應(yīng)鏈安全兩大類。

(資料圖片僅供參考)

在軟件定義世界的趨勢下，軟件已經(jīng)逐漸滲透到生活的方方面面，與此同時(shí)，軟件本身的缺陷及其帶來的災(zāi)難性后果將成為一個(gè)無法忽視的灰犀牛。

據(jù)統(tǒng)計(jì)，2020年美國不良軟件質(zhì)量損失(CPSQ)約為2.08萬億美元，其中軟件缺陷造成的損失高達(dá)1.56萬億美元。近年來，我國軍工、金融、汽車等多個(gè)行業(yè)也陸續(xù)出臺(tái)了與軟件質(zhì)量相關(guān)的強(qiáng)制性標(biāo)準(zhǔn)和政策。為了保障質(zhì)量，如今動(dòng)輒數(shù)億行的代碼規(guī)模已無法僅依賴現(xiàn)有的測試手段去對(duì)其充分測試。于是，模糊測試，一種古老的技術(shù)正被賦予全新的意義。

模糊測試作為一種負(fù)面測試技術(shù)，早在1989年即被提出，它是利用自動(dòng)或半自動(dòng)的方法，不斷地向被測程序提供非預(yù)期輸入，并監(jiān)控輸出異常來發(fā)現(xiàn)軟件缺陷的方法。在過去幾十年經(jīng)歷了“完全隨機(jī)”、“基于模板”、“基于文法”幾個(gè)階段的發(fā)展，隨著2014年AFL（American Fuzzy Lop）的提出，其通過對(duì)軟件內(nèi)部狀態(tài)的監(jiān)控，當(dāng)代模糊測試進(jìn)入一個(gè)全新的智能時(shí)代。

最近幾年，Google、Microsoft等巨頭的核心系統(tǒng)已經(jīng)大量使用模糊測試技術(shù)，美國國防部在其2019年的年度國防方案HR5515曾大篇幅地要求美國空軍等關(guān)鍵系統(tǒng)強(qiáng)制使用模糊測試技術(shù)，2021年發(fā)布的EO 14028總統(tǒng)行政命令更是將模糊測試作為各行業(yè)軟件最低發(fā)布標(biāo)準(zhǔn)。

在類似的法規(guī)要求下，海外一些專注智能模糊測試技術(shù)服務(wù)的新興獨(dú)角獸企業(yè)開始涌現(xiàn)，在商業(yè)化模糊測試的實(shí)踐上也效果頗豐。

而安般科技作為世界范圍內(nèi)最早一批從事模糊測試技術(shù)商業(yè)化落地的企業(yè)，在技術(shù)和產(chǎn)品上與國外同行并駕齊驅(qū)，但在市場上更多的聚焦在我國正在快速發(fā)展的國產(chǎn)軟件行業(yè)，持續(xù)助力國產(chǎn)軟件更好更快發(fā)展。

談及產(chǎn)品化工具，創(chuàng)始人汪毅表示，公司以智能模糊測試技術(shù)為核心已研發(fā)了多場景的模糊測試工具，并在2020年開始涉足軟件供應(yīng)鏈領(lǐng)域，同時(shí)聯(lián)合了多個(gè)深耕軟件安全工具的廠商共同推出了面向軟件開發(fā)各個(gè)環(huán)節(jié)的全流程負(fù)面測試解決方案，構(gòu)建基于DevQualOps思想的多維度軟件負(fù)面測試能力。

目前，安般科技有五個(gè)測試系統(tǒng)產(chǎn)品：

易恒智能模糊測試系統(tǒng)：針對(duì)C/C++（Linux）和Java源碼的模糊測試工具，能夠發(fā)現(xiàn)近百種與程序健壯性和安全性相關(guān)的缺陷。易恒能夠無縫嵌入CI流程，在開發(fā)階段，提供透明化、自動(dòng)化測試服務(wù)，協(xié)助開發(fā)人員挖掘、定位、復(fù)現(xiàn)和修復(fù)缺陷；在集成測試階段，利用人工智能技術(shù)，幫助測試人員快速生成海量有效測試用例，發(fā)現(xiàn)程序缺陷并大幅提升測試覆蓋率；實(shí)踐表明，易恒智能模糊測試系統(tǒng)可以有效提升程序健壯性，保障程序發(fā)布質(zhì)量，是企業(yè)DevQualOps最佳實(shí)踐的重要工具。

易偵協(xié)議模糊測試系統(tǒng)：通用的自動(dòng)化協(xié)議模糊測試工具，支持?jǐn)?shù)十種常用協(xié)議，能夠快速識(shí)別協(xié)議軟件中的缺陷和“0day”漏洞。易偵支持黑盒測試和全數(shù)字仿真測試兩種測試方式，黑盒測試場景下無需提供軟件源代碼，通過協(xié)議發(fā)送變異報(bào)文對(duì)軟件進(jìn)行測試，使企業(yè)快速進(jìn)入測試驗(yàn)收環(huán)節(jié)。在全數(shù)字仿真環(huán)境下，通過代碼插樁可以進(jìn)一步獲取軟件的運(yùn)行狀況、函數(shù)動(dòng)態(tài)調(diào)用關(guān)系、多種覆蓋率（行覆蓋率、分支覆蓋率、函數(shù)覆蓋率、MC/DC）等信息，幫助企業(yè)更精準(zhǔn)的發(fā)現(xiàn)和修復(fù)軟件中的缺陷，提升軟件質(zhì)量。

易察API模糊測試系統(tǒng)：易察是面向API接口的黑盒模糊測試工具，創(chuàng)新性地將模糊測試引入了API測試領(lǐng)域。易察可以自動(dòng)發(fā)現(xiàn)Web應(yīng)用中的API接口并解析API規(guī)范，根據(jù)接口間的依賴關(guān)系，通過模糊測試技術(shù)生成海量具有針對(duì)性的測試用例，向目標(biāo)接口發(fā)送請求進(jìn)行測試。不僅可以發(fā)現(xiàn)OWASP API Top10等常見漏洞，還可以檢測非法字符串、超出范圍的參數(shù)數(shù)據(jù)、數(shù)據(jù)類型錯(cuò)誤、空參數(shù)等引起API拒絕服務(wù)的問題并自動(dòng)輸出相應(yīng)測試報(bào)告。

易識(shí)固件供應(yīng)鏈安全管理系統(tǒng)：面向二進(jìn)制固件的自動(dòng)化靜態(tài)分析工具。 支持十余種CPU架構(gòu)、60多種固件格式，內(nèi)置了19萬條漏洞信息，利用自研的HBinSim-attention算法有效解決了CWE識(shí)別低效和準(zhǔn)確性不高的業(yè)界難題，能夠快速識(shí)別200+CWE缺陷。在固件驗(yàn)收測試和評(píng)測中，易識(shí)可以分析固件中的加密算法，識(shí)別明文用戶名密碼等敏感信息、開源組件及許可協(xié)議，查找固件中的CVE/CNNVD漏洞，挖掘CWE缺陷。幫助用戶識(shí)別固件中的安全風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。

SCA源代碼成分分析系統(tǒng)：面向源代碼的自動(dòng)化靜態(tài)分析工具。從設(shè)計(jì)階段到發(fā)布階段，識(shí)別CVE/CNNVD安全漏洞，梳理研發(fā)過程中的軟件物料清單(SBOM)，解決開源治理過程中的安全和合規(guī)問題。使用自主研發(fā)的新一代指紋識(shí)別技術(shù)，支持600多種開發(fā)語言，通過構(gòu)建識(shí)別、組件識(shí)別、文件識(shí)別和代碼片段識(shí)別技術(shù)，多維度識(shí)別引入的開源組件，單個(gè)文件掃描僅需20ms；系統(tǒng)內(nèi)置超過2萬億行開源代碼、1億2千萬組件信息、500億文件信息、2000多種許可證類型及19萬條漏洞信息。

除此之外，在技術(shù)方面，安般科技設(shè)計(jì)了一套支持異構(gòu)引擎大規(guī)模并發(fā)測試的通用模糊測試框架ABFuzz。該框架首次引入細(xì)粒度多引擎融合技術(shù)，能夠持續(xù)整合多種模糊測試引擎，共同提升模糊測試的效率和效果。

其自主研發(fā)的通用模糊測試引擎ABFast，融合了符號(hào)執(zhí)行和污點(diǎn)分析等相關(guān)程序分析技術(shù)，具備更強(qiáng)的路徑探索能力；同時(shí)，ABFast的增強(qiáng)學(xué)習(xí)算法可以基于用戶以往的測試記錄，進(jìn)行自我強(qiáng)化，在使用過程中變的越來越“聰明”，更高效地發(fā)現(xiàn)被測程序的缺陷。在同等測試條件下，ABFast比AFL/AFL++引擎在缺陷發(fā)現(xiàn)數(shù)量方面提升300%以上 ，在LAVA-M測試集上，測試效果同樣大幅超越其他開源引擎。

目前安般科技系列產(chǎn)品累計(jì)在數(shù)十個(gè)開源項(xiàng)目中找到上百個(gè)“0day”漏洞，例如近期對(duì)用戶數(shù)全球排名第一的免費(fèi)開源關(guān)系型數(shù)據(jù)庫MySQL，對(duì)其最新版本8.0.27版本進(jìn)行24小時(shí)模糊測試，找到17個(gè)最高級(jí)別致命“0day”漏洞，包括斷言失敗、堆溢出和段錯(cuò)誤等。

市場方面，安般科技以上?？偛繛橹行?，在北京、西安、成都等一、二線城市設(shè)有研發(fā)中心和分支機(jī)構(gòu)，并擁有覆蓋全國的近百家合作伙伴網(wǎng)絡(luò)，累計(jì)服務(wù)過上百家政府軍工、信創(chuàng)軟件、工業(yè)控制、智能汽車等多領(lǐng)域客戶。目前，安般科技與信創(chuàng)、汽車、軍工領(lǐng)域內(nèi)多個(gè)權(quán)威機(jī)構(gòu)成立聯(lián)合負(fù)面測試中心，并參與制定了多個(gè)軟件安全及模糊測試相關(guān)的國家及行業(yè)標(biāo)準(zhǔn)。

團(tuán)隊(duì)方面，安般科技創(chuàng)始成員來自中國科學(xué)院和上?？萍即髮W(xué)，具有豐富的程序分析相關(guān)技術(shù)積淀。目前團(tuán)隊(duì)規(guī)模近100人，其中80%以上團(tuán)隊(duì)成員為研發(fā)人員，主要來自中國科學(xué)院、中電科、摩托羅拉、騰訊等研究院所及企業(yè)的安全、測試和研究部門。安般科技曾多次承擔(dān)國家科技部多項(xiàng)重大課題研究，并于近期承接“十四五”國家重點(diǎn)研發(fā)計(jì)劃“網(wǎng)絡(luò)空間安全治理”中某涉密專項(xiàng)的核心課題研究。此外，安般科技與四川大學(xué)信息安全研究所、中國工程物理研究院計(jì)算機(jī)應(yīng)用研究所等單位已建立長期的產(chǎn)學(xué)研一體化合作。

最后，創(chuàng)始人汪毅向億歐透露，2022年對(duì)安般來說是非常重要的一年，公司除了繼續(xù)深耕軍工和信創(chuàng)領(lǐng)域外，還會(huì)加強(qiáng)布局金融和汽車行業(yè)。本輪融資資金將主要用于進(jìn)一步提升技術(shù)壁壘、加速產(chǎn)品系列優(yōu)化和垂直行業(yè)的規(guī)?；涞?、組建金融和汽車事業(yè)部以及提升品牌影響力等工作。

關(guān)鍵詞： 首發(fā)丨安般科技獲超億元A輪融資 推進(jìn)國產(chǎn)軟件安全加