鎂客網(wǎng)獲悉，智能模糊測試技術(shù)提供商「安般科技」獲得超億元 A 輪融資，硅港資本和上海東方證券創(chuàng)新投資有限公司聯(lián)合領(lǐng)投，名...

鎂客網(wǎng)獲悉，智能模糊測試技術(shù)提供商「安般科技」獲得超億元 A 輪融資，硅港資本和上海東方證券創(chuàng)新投資有限公司聯(lián)合領(lǐng)投，名川資本和中南資本跟投。

「安般科技」成立于 2018 年 12 月，是國內(nèi)最早從事智能模糊測試技術(shù)商業(yè)化落地的企業(yè)，專注于提供軟件全流程負(fù)面測試產(chǎn)品和解決方案，當(dāng)前產(chǎn)品線主要包括模糊測試和軟件供應(yīng)鏈安全兩大類。

在軟件定義世界的趨勢下，軟件已經(jīng)逐漸滲透到生活的方方面面，與此同時軟件本身的缺陷及其帶來的災(zāi)難性后果將成為一個無法忽視的灰犀牛。據(jù)統(tǒng)計(jì)，2020 年美國不良軟件質(zhì)量損失(CPSQ)約為 2.08 萬億美元，其中軟件缺陷造成的損失高達(dá) 1.56 萬億美元。近年來我國軍工、金融、汽車等多個行業(yè)也陸續(xù)出臺了與軟件質(zhì)量相關(guān)的強(qiáng)制性標(biāo)準(zhǔn)和政策。但如今動輒數(shù)億行的代碼規(guī)模已無法僅依賴現(xiàn)有的測試手段去對其充分測試從而保障質(zhì)量。于是，模糊測試，一種古老的技術(shù)正被賦予全新的革命性意義。

模糊測試作為一種負(fù)面測試技術(shù)，早在 1989 年即被提出，它是利用自動或半自動的方法，不斷地向被測程序提供非預(yù)期輸入并監(jiān)控輸出異常來發(fā)現(xiàn)軟件缺陷的方法。在過去幾十年經(jīng)歷了“完全隨機(jī)”、“基于模板”、“基于文法”幾個階段的發(fā)展，隨著 2014 年AFL 的提出，其通過對軟件內(nèi)部狀態(tài)的監(jiān)控，當(dāng)代模糊測試進(jìn)入一個全新的智能時代。

最近幾年，像 Google、Microsoft 等巨頭的核心系統(tǒng)已經(jīng)大量使用模糊測試技術(shù)，美國國防部在其 2019 年的年度國防方案 HR5515 曾大篇幅的要求美國空軍等關(guān)鍵系統(tǒng)強(qiáng)制使用模糊測試技術(shù)，2021 年發(fā)布的 EO 14028 總統(tǒng)行政命令更是將模糊測試作為各行業(yè)軟件最低發(fā)布標(biāo)準(zhǔn)。在類似的法規(guī)要求下，海外已經(jīng)出現(xiàn)了一些專注智能模糊測試技術(shù)服務(wù)的新興獨(dú)角獸企業(yè)，在商業(yè)化模糊測試的實(shí)踐上也效果頗豐。例如在 2018年左右開始進(jìn)入模糊測試賽道的美國公司 ForAllSecure，于 2020 年 5 月僅針對美國空軍某一個部隊(duì)就簽下一筆 4500 萬美元為期三年的訂單；又如成立于 2018 年的德國公司 Code Intelligence，已成功在多個無人駕駛領(lǐng)域和工業(yè)場景落地模糊測試技術(shù)。「安般科技」作為世界范圍內(nèi)最早一批從事模糊測試技術(shù)商業(yè)化落地的企業(yè)在技術(shù)和產(chǎn)品上與國外同行并駕齊驅(qū)，但在市場上更多的聚焦在我國正在快速發(fā)展的國產(chǎn)軟件行業(yè)，持續(xù)助力國產(chǎn)軟件更好更快發(fā)展。

談及產(chǎn)品化工具，創(chuàng)始人汪毅表示，公司以智能模糊測試技術(shù)為核心已研發(fā)了多場景的模糊測試工具，并在 2020 年開始涉足軟件供應(yīng)鏈領(lǐng)域，同時聯(lián)合了多個深耕軟件安全工具的廠商共同推出了面向軟件開發(fā)各個環(huán)節(jié)的全流程負(fù)面測試解決方案，構(gòu)建基于 DevQualOps 思想的多維度軟件負(fù)面測試能力。

目前「安般科技」有五個測試系統(tǒng)產(chǎn)品：

易恒智能模糊測試系統(tǒng)：針對 C/C++（Linux）和 Java 源碼的模糊測試工具，能夠發(fā)現(xiàn)近百種與程序健壯性和安全性相關(guān)的缺陷。易恒能夠無縫嵌入 CI 流程，在開發(fā)階段，提供透明化、自動化測試服務(wù)，協(xié)助開發(fā)人員挖掘、定位、復(fù)現(xiàn)和修復(fù)缺陷；在集成測試階段，利用人工智能技術(shù)，幫助測試人員快速生成海量有效測試用例，發(fā)現(xiàn)程序缺陷并大幅提升測試覆蓋率；實(shí)踐表明，易恒智能模糊測試系統(tǒng)可以有效提升程序健壯性，保障程序發(fā)布質(zhì)量，是企業(yè) DevQualOps 最佳實(shí)踐的重要工具。

易偵協(xié)議模糊測試系統(tǒng)：通用的自動化協(xié)議模糊測試工具，支持?jǐn)?shù)十種常用協(xié)議，能夠快速識別協(xié)議軟件中的缺陷和 0day 漏洞。易偵支持黑盒測試和全數(shù)字仿真測試兩種測試方式，黑盒測試場景下無需提供軟件源代碼，通過協(xié)議發(fā)送變異報(bào)文對軟件進(jìn)行測試，使企業(yè)快速進(jìn)入測試驗(yàn)收環(huán)節(jié)。在全數(shù)字仿真環(huán)境下，通過代碼插樁可以進(jìn)一步獲取軟件的運(yùn)行狀況、函數(shù)動態(tài)調(diào)用關(guān)系、多種覆蓋率（行覆蓋率、分支覆蓋率、函數(shù)覆蓋率、MC/DC）等信息，幫助企業(yè)更精準(zhǔn)的發(fā)現(xiàn)和修復(fù)軟件中的缺陷，提升軟件質(zhì)量。

易察 API 模糊測試系統(tǒng)：易察是面向 API 接口的黑盒模糊測試工具，創(chuàng)新性的將模糊測試引入了 API 測試領(lǐng)域。易察可以自動發(fā)現(xiàn) Web 應(yīng)用中的 API 接口并解析 API 規(guī)范，根據(jù)接口間的依賴關(guān)系通過模糊測試技術(shù)生成海量具有針對性的測試用例，向目標(biāo)接口發(fā)送請求進(jìn)行測試。不僅可以發(fā)現(xiàn) OWASP API Top10 等常見漏洞，還可以檢測非法字符串、超出范圍的參數(shù)數(shù)據(jù)、數(shù)據(jù)類型錯誤、空參數(shù)等引起 API 拒絕服務(wù)的問題并自動輸出相應(yīng)測試報(bào)告。

易識固件供應(yīng)鏈安全管理系統(tǒng)：面向二進(jìn)制固件的自動化靜態(tài)分析工具。 支持十余種CPU 架構(gòu)、60 多種固件格式，內(nèi)置了 19 萬條漏洞信息，利用自研的 HBinSim-attention 算法有效解決了 CWE 識別低效和準(zhǔn)確性不高的業(yè)界難題，能夠快速識別200+CWE 缺陷。在固件驗(yàn)收測試和評測中，易識可以分析固件中的加密算法，識別明文用戶名密碼等敏感信息、開源組件及許可協(xié)議，查找固件中的 CVE/CNNVD 漏洞，挖掘 CWE 缺陷。幫助用戶識別固件中的安全風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。

SCA 源代碼成分分析系統(tǒng)：面向源代碼的自動化靜態(tài)分析工具。從設(shè)計(jì)階段到發(fā)布階段，識別 CVE/CNNVD 安全漏洞，梳理研發(fā)過程中的軟件物料清單(SBOM)，解決開源治理過程中的安全和合規(guī)問題。使用自主研發(fā)的新一代指紋識別技術(shù)，支持 600 多種開發(fā)語言，通過構(gòu)建識別、組件識別、文件識別和代碼片段識別技術(shù)，多維度識別引入的開源組件，單個文件掃描僅需 20ms；系統(tǒng)內(nèi)置超過 2 萬億行開源代碼、1 億 2千萬組件信息、500 億文件信息、2000 多種許可證類型及 19 萬條漏洞信息。

技術(shù)能力方面，「安般科技」創(chuàng)新性地設(shè)計(jì)了一套支持異構(gòu)引擎大規(guī)模并發(fā)測試的通用模糊測試框架 ABFuzz。該框架首次引入細(xì)粒度多引擎融合技術(shù)，能夠持續(xù)整合多種模糊測試引擎，共同提升模糊測試的效率和效果。其自主研發(fā)的通用模糊測試引擎ABFast，融合了符號執(zhí)行和污點(diǎn)分析等相關(guān)程序分析技術(shù)，具備更強(qiáng)的路徑探索能力；同時，ABFast 的增強(qiáng)學(xué)習(xí)算法可以基于用戶以往的測試記錄進(jìn)行自我強(qiáng)化，在使用過程中變的越來越“聰明”，更高效地發(fā)現(xiàn)被測程序的缺陷。在同等測試條件下，ABFast 比 AFL/AFL++引擎在缺陷發(fā)現(xiàn)數(shù)量方面提升 300%以上 ，在 LAVA-M 測試集上，測試效果同樣大幅超越其他開源引擎。

目前「安般科技」系列產(chǎn)品累計(jì)在數(shù)十個開源項(xiàng)目中找到上百個 0day 漏洞，例如近期對用戶數(shù)全球排名第一的免費(fèi)開源關(guān)系型數(shù)據(jù)庫 MySQL，對其最新版本 8.0.27 版本進(jìn)行 24 小時模糊測試，找到 17 個最高級別致命 0day 漏洞，包括斷言失敗、堆溢出和段錯誤等。

市場方面，「安般科技」以上海總部為中心，在北京、西安、成都等一、二線城市設(shè)有研發(fā)中心和分支機(jī)構(gòu)，并擁有覆蓋全國的近百家合作伙伴網(wǎng)絡(luò)，累計(jì)服務(wù)過上百家政府軍工、信創(chuàng)軟件、工業(yè)控制、智能汽車等多領(lǐng)域客戶。目前「安般科技」與信創(chuàng)、汽車、軍工領(lǐng)域內(nèi)多個權(quán)威機(jī)構(gòu)成立聯(lián)合負(fù)面測試中心并參與制定了多個軟件安全及模糊測試相關(guān)的國家及行業(yè)標(biāo)準(zhǔn)。

團(tuán)隊(duì)方面，「安般科技」創(chuàng)始成員起源于中國科學(xué)院和上海科技大學(xué)，具有豐富的程序分析相關(guān)技術(shù)積淀。目前團(tuán)隊(duì)規(guī)模近 100 人，其中 80%以上團(tuán)隊(duì)成員為研發(fā)人員，主要來自中國科學(xué)院、中電科、摩托羅拉、騰訊等研究院所及企業(yè)的安全、測試和研究部門?！赴舶憧萍肌乖啻纬袚?dān)國家科技部多項(xiàng)重大課題研究，并于近期承接“十四五”國家重點(diǎn)研發(fā)計(jì)劃“網(wǎng)絡(luò)空間安全治理”中某涉密專項(xiàng)的核心課題研究。此外「安般科技」與四川大學(xué)信息安全研究所、中國工程物理研究院計(jì)算機(jī)應(yīng)用研究所等單位已建立長期的產(chǎn)學(xué)研一體化合作。

最后，創(chuàng)始人汪毅告訴鎂客網(wǎng)，2022 年對安般來說是非常重要的一年，公司除了繼續(xù)深耕軍工和信創(chuàng)領(lǐng)域外還會加強(qiáng)布局金融和汽車行業(yè)。本輪融資資金將主要用于進(jìn)一步提升技術(shù)壁壘、加速產(chǎn)品系列優(yōu)化和垂直行業(yè)的規(guī)?；涞?、組建金融和汽車事業(yè)部以及提升品牌影響力等工作。

投資觀點(diǎn)

硅港資本

硅港資本創(chuàng)始合伙人何欣表示：“硅港資本非常榮幸可以領(lǐng)投安般科技。智能模糊測試技術(shù)應(yīng)用十分廣泛，包括源代碼、API 接口、通訊協(xié)議、數(shù)據(jù)庫系統(tǒng)等。隨著汽車智能化、工業(yè)及基礎(chǔ)軟件國產(chǎn)化、強(qiáng)制測試的行業(yè)標(biāo)準(zhǔn)推廣等因素，智能模糊測試迎來行業(yè)爆發(fā)性機(jī)會。 安般科技是國內(nèi)首家將智能模糊測試技術(shù)商業(yè)化的公司，旗下多款智能模糊測試工具已應(yīng)用到了國防軍工、軟件測評中心、汽車、金融和信創(chuàng)等多個行業(yè)，幫助用戶大幅縮短開發(fā)周期，顯著優(yōu)化產(chǎn)品質(zhì)量。我們相信安般科技是基礎(chǔ)軟件領(lǐng)域的千里馬，肩負(fù)產(chǎn)業(yè)使命，為提升各行各業(yè)軟件產(chǎn)品質(zhì)量保駕護(hù)航！”

東證創(chuàng)新投

東證創(chuàng)新投表示：“金融行業(yè)尤其是從事金融市場交易的機(jī)構(gòu)最擔(dān)心的就是系統(tǒng)的死機(jī)宕機(jī)，哪怕是短時間的，對金融機(jī)構(gòu)來說都是重大的生產(chǎn)安全事故，由此造成的經(jīng)濟(jì)損失和聲譽(yù)損失都是無法估量的。 安般科技的智能模糊測試系列產(chǎn)品作為新一代的自動化負(fù)面測試工具，除了具有傳統(tǒng)測試方法的功能外，更可以發(fā)現(xiàn)軟件的缺陷和系統(tǒng)運(yùn)行時的薄弱點(diǎn)，從而有效避免系統(tǒng)死機(jī)宕機(jī)所導(dǎo)致業(yè)務(wù)停擺的生產(chǎn)安全事故，準(zhǔn)確地解決了金融行業(yè)、自動駕駛、航空航天和半導(dǎo)體芯片等對系統(tǒng)連續(xù)穩(wěn)健運(yùn)行有強(qiáng)烈需求的行業(yè)痛點(diǎn)，具有重大的革命性的經(jīng)濟(jì)價(jià)值和戰(zhàn)略意義。 安般科技的智能模糊測試產(chǎn)品有效提升測試效率和降低測試成本；另一方面，也是測試敏捷化的有利支撐，通過測試左移與 DevOps 平臺無縫對接，提前在研發(fā)側(cè)解決系統(tǒng)漏洞和缺陷，這也提升了軟件研發(fā)效率。安般科技在模糊測試產(chǎn)品標(biāo)準(zhǔn)化落地方面也是領(lǐng)先于市場的，使用門檻較低，可以為軍工、能源、金融和汽車等各行業(yè)軟件研發(fā)機(jī)構(gòu)賦能，構(gòu)建質(zhì)量門禁，提升軟件質(zhì)量水平。”

名川資本

名川資本創(chuàng)始合伙人王求樂表示：“軟件代碼的復(fù)雜性正呈幾何級發(fā)展，單靠人工測試已無法解決軟件的功能性、穩(wěn)定性和可靠性難題。安般產(chǎn)品的程序化和智能化的自動測試能力，極大地提高了軟件行業(yè)的測試效率，豐富了軟件研發(fā)流程，優(yōu)化了代碼生產(chǎn)能力，為我國各行業(yè)軟件開發(fā)者提供了高質(zhì)量的新選擇，填補(bǔ)了不少空白。名川資本深耕 2B 軟件賽道，投資了眾多高壁壘 2B 軟件，作為擁有近十年軟件系統(tǒng)調(diào)測經(jīng)驗(yàn)的老兵，安般幾乎是我投資生涯做決策時最無懸念的軟件企業(yè)。”

中南資本

中南資本董事長李人潔表示：“在軟件敏捷開發(fā)和安全左移的大背景下，企業(yè)亟需高效的全流程開發(fā)安全測試產(chǎn)品體系以保證軟件安全。安般專注于模糊測試領(lǐng)域，在打磨DevOps 全流程軟件測試系列產(chǎn)品的同時，已在大量頭部客戶中積累了成功案例及良好的口碑，對于我國軟件開發(fā)安全和軟件質(zhì)量的提升具有深遠(yuǎn)意義。 ”

最后，記得關(guān)注微信公眾號：鎂客網(wǎng)（im2maker），更多干貨在等你！