36氪获悉，关注软件安全的初创安全公司“羽林美月”近日完成千万元天使轮融资。本轮投资方包括前沿基金、银杏谷资本、豆香科技、海南森林等。

目前，很多公司面临的安全问题之一就是软件的安全性得不到保障。因此，软件在开发过程中的安全问题也备受关注。根据美国国家标准与技术研究院（NIST）此前的统计，发布后进行代码修复的成本相当于设计阶段进行修复的成本的 30 倍。安全产品的开发从开发过程开始，希望通过对软件开发过程的管控来降低软件本身的安全风险。

目前，为了解决这个问题，业界出现了不同类型的工具，包括AST工具，涵盖静态应用安全测试（SAST）、动态应用安全测试（DAST）、交互式应用程序安全测试（IAST）产品等。据该公司介绍，目前AST工具对应用的影响显着，Fuzz技术可以更好地适应不同类型的基础和系统软件，在漏报和误报之间取得更好的平衡。积极因素和自动化支持。

36氪也观察到，目前部分企业专注于FUZZ产品，希望能够帮助企业解决软件安全问题。本文主角“羽林美月”于2021年3月正式成立，核心团队成员均毕业于清华大学。他们在软件安全测试方面积累了10多年，在SOSP、S&P等软件系统和信息安全领域拥有顶级会议。发表学术论文30余篇，在各类系统软件中发现数百个高危安全漏洞，并纳入国家安全漏洞数据库。公司主要产品为XFUZZ智能模糊测试系统，不仅支持应用层软件和类库，还支持协议、内核、数据库等大型基础软件的自动化安全评估。

公司COO李元义介绍，XFUZZ智能模糊测试系统是新一代软件质量和安全测试平台，可自动检测各种级别和类型的软件漏洞，有效检测各种高风险健壮性和安全性为软件供应链的安全提供基础支撑。

还介绍了智能fuzzing会在测试过程中动态观察程序的反馈，利用污点分析和硬件指令跟踪技术指导测试输入的生成，触发越来越多的程序分支和分支。覆盖范围越深，最终发现的漏洞就越多。不过在李元义看来，由于方案不同，具体的覆盖指标在今天还不能一概而论，但是这种自动化的测试输入生成方式可以显着降低当前软件测试和安全分析的难度和人力成本。

目前，“Mizuki Habayashi”主要依托智能fuzzing等前沿技术，旨在开发安全、代码安全等DevSecOps场景，希望解决各行业软件供应链的安全问题.

详细介绍了公司XFUZZ智能模糊测试系统，亮点如下：

?智能深度挖掘能力：在权威第三方和客户测试数据集对比中，与AFL、Peach、Syzkaller等标杆工具相比，测试覆盖率、发现缺陷数、测试速度等核心指标均领先道路。

？跨层全栈支持能力：全面支持应用、类库、数据库、操作系统、通信协议等检测对象，全面覆盖软件供应链。 Linux、MySql、IEC104等基础软件和协议。 上一页已发现百余个漏洞，已正式列入中美洲信息安全漏洞数据库，作为CVE。

？ DevSecOps支持能力：通过完整的API、CLI工具等特性，可以实现自动化、集成、持续的软件开发安全左移，支持测试驱动自动生成，覆盖信息实时显示，缺陷报告自动生成，自动复现缺陷输入等功能。

此外，目前行业中也不断涌现出各种不同技术路线的工具。不同的工具往往具有不同的功能和特点。在某些情况下，它们可以集成以满足客户需求。之后，《羽林美月》也将推出。相关拓展，提高自有产品的覆盖面。

在具体商业化方面，《羽林美月》成立6个月以来，已获得同心软件、南大通用等客户数百万订单。本轮融资后，公司将继续投入产品研发，同时继续拓展市场。