专注软件供应链安全，「安势信息」完成数千万元级别Pre-A轮融资

最近，专注于软件供应链安全的“安势信息”宣布已完成Pre-A轮融资，本轮融资金额在数千万元级别，微智数科领投，晨壹投资跟投，山景资本担任独家财务顾问。

“安势信息”成立于2021年6月，专注于打造软件供应链安全平台，目前主要帮助企业客户应对开源软件中存在的安全以及合规问题。

谈及开源软件的安全问题，一个里程碑事件是2021年底爆发的Log4j漏洞——当时，这一“核弹级”漏洞事件将开源软件的安全问题推向了风口浪尖。安势信息的第一款产品清源（CleanSource）SCA即从软件组成分析（SCA）的需求切入，在商业化第一年订阅的总金额已经超过千万元，成功覆盖高科技互联网、消费电子、智能制造、基础软件、汽车等领域的客户。

从行业看，过去国内已有不少大型企业重视软件供应链中开源组件的安全和合规问题。不过出于市场产品成熟度方面的考虑，他们一般会主要采购国外厂商的产品。近年来随着国际宏观环境的变化，软件组成分析（SCA）等工具也产生了国产替代趋势，安势信息即顺应这一需求，为客户提供高端SCA类产品。

安势信息创始人兼总裁薛植元表示与上次融资时相比，安势信息如今在产品成熟度、商业化以及未来产品规划方面均取得了突破性进展。

软件组成分析（SCA）工具作为当前全球公认应对开源软件安全与合规问题的主要解决方案，其挑战之一就是如何准确全面的识别出代码库中的开源代码，这背后要求SCA工具必须具备多维度的扫描探测技术和匹配算法，同时需要一个强大的数据库来支撑。过去，“安势信息”重心放在代码片段级别的引擎构建上，现在，“清源(CleanSource)SCA已经能够支持组件、文件、代码片段、直接依赖、间接依赖等全面扫描，数据库中组件版本信息已经从1.4亿上升到1.7亿，代码片段指纹也从2万亿增加到3万亿。安势信息近期构建了兼具学术和实践经验的数据挖掘团队，通过NLP等人工智能方式帮助进行自动化的数据清洗和数据挖掘，进一步提升数据库的准确性与更新速度，并且实现了更为丰富的API接口和插件，方便用户和更多的DevOps工具打通。

SCA工具之外，安势信息也在推进SAST（静态应用程序安全测试,也称为白盒测试）产品线的研发，帮助客户检测自研代码中的缺陷与安全问题。这两款产品的结合可以覆盖企业构建软件过程中的大部分代码安全问题。目前，“安势信息”正借力国产化趋势，为市场提供更高质量的软件安全解决方案。

目前安势信息已组建十余人团队，致力于推进该产品的研发。核心成员不限于985名校的硕士或博士学历，还具有相关领域高质量学术论文的发表和丰富的项目开发经验。该产品计划于明年推出首个版本，支持C/C++语言出发，并最终覆盖20多种主流开发语言。开发语言支持的深度和广度是SAST产品指标的核心之一。

国内ToB产品的商业化之路一直充满挑战。安势信息的ClearSource SCA在商业化的第一年就成功服务众多垂直领域的头部企业。此订阅模式将根据不同企业规模提供适宜的价格策略。未来，安势信息的SAST产品也将采用类似的订阅模式来为客户提供服务。

安势信息团队的总裁薛植元曾担任Checkmarx大中华区总经理，也是原SynopsysSIG大中华区业务负责人，主导过各种DevSecOps工具在中国的商业化落地。安势信息还引入了来自阿里、华为、OPPO、百度等公司的多名高管，以及经验丰富的专业软件供应链厂商前员工，以及十多名海内外知名大学的博士、硕士等从业者，旨在提升其数据处理和工程化能力，推进SAST产品线的研发。

该轮投资的领头人微智数科的创始合伙人郭欣表示：“开源对软件世界的贡献越来越大，同时也带来了软件供应链的风险。过去几年因软件供应链引发的安全和合规问题已呈指数级增长。软件供应链安全问题迫在眉睫。安势信息是我们在这个领域看到的能力最全面的公司之一。”安势信息的创始团队兼具全球化视野与本地化落地的丰富经验，对软件供应链安全有深刻的洞察力。未来，优秀的产品将帮助安势信息迈向新的高度，并成为一个具有国际影响力的软件供应链安全公司。