《测试技术学报》
另从客户需求迭代的角度来看,沈凯文表示,此前客户多用AST类产品,但此类产品只能找到Web场景中的问题,而Fuzzing技术还可以拓展至API、协议、数据库等更多场景。并且,与传统测试技术相比,Fuzzing技术不仅能够发现已知(1 day)漏洞,还能通过自动化技术挖掘更多的未知(0 day)漏洞。其本质的原因在于Fuzzing做软件安全测试时,整体的粒度会更细,测试点会更多,判断位置也会更精准。
36氪获悉,安全初创厂商「云起无垠」于今日正式对外宣布完成天使轮融资。据介绍,本轮融资金额在数千万元级别,绿洲资本独家投资。
他进一步介绍,模糊测试技术可通过模版生成或流量提取的方式自动化得到海量优质的测试种子。在测试过程中,模糊测试技术还可通过软件覆盖率反馈机制,智能地指导测试种子往优秀的方向变异。另值得一提的是,模糊测试还会通过观测程序控制流图(CFG)来判定内存破坏漏洞。这种基于系统底层逻辑的漏洞检测方法,也使得任何细微的漏洞都可以被及时发现。“这会让更多的客户关注到Fuzzing的应用价值,从而给Fuzzing创业提供更大的市场空间。”沈凯文说。
在近期计划上,云起无垠计划持续打磨产品,并进行客户推广。
首先对于行业格局而言,随着市场需求的变化,国内安全行业近年来更受客户和资本认可。其中,开发安全已逐步成为客户完成安全基础建设后的下一个建设重点。此外,Fuzzing近年在产业侧的推广与落地给了初创公司更多信心。目前在国际上,Fuzzing已被应用到 Google、Microsoft、美国国防部 (DoD)等头部机构,侧面说明Fuzzing技术拥有较高成长潜力。而且,沈凯文还觉得,Fuzzing技术的发展与落地使真正的代码安全自动化测试成为可能。比如,智能覆盖引导技术的融入大幅度提升了Fuzzing技术的细粒度测试效率与效果。
从行业角度而言,过去相对更被熟知的开发安全工具是AST,主要包括静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)。对比之下,Fuzzing技术过去多出现在学术领域 ,国内少见独立厂商。但36氪观察到,自2020年左右开发安全在国内愈发被重视,主攻不同安全测试工具的公司也随之增多,和AST对标的Fuzzing同样也浮现出一些国内厂商。
从技术分类角度出发,Fuzzing在广义上被划入开发安全范畴,是一种针对软件安全的自动化测试方法。概括而言,其核心理念是通过向目标系统提供海量的非预期输入,并通过监控与捕捉异常结果来找到更多的未知安全问题。
云起无垠成立于2021年7月,定位为新一代智能模糊测试技术提供商,希望通过Fuzzing(模糊测试)技术,为企业的整个软件生命开发周期提供助力,从开发环节即帮助企业提升整体安全能力。
绿洲资本表示:“作为新一代Fuzzing(模糊测试)技术先锋,云起无垠捕捉未知,服务企业软件全生命开发周期。其创始团队具备产学研一体的特点,能够抓住市场痛点,实现技术落地。绿洲很期待与云起无垠一起,实现其对产业发展的延展性。”
在行业客户画像上,云起无垠主要服务两类客户:第一类是对代码安全漏洞容忍度很低的企业,比如汽车、Web 3.0、工业控制、军工和航空航天等。这类客户的产品一旦出现问题,往往会造成巨大的产品召回损失。所以,它们对产品的安全性要求非常高,愿意投入大量资金来购买软件安全自动化检测工具。第二类是DevOps客户,包括金融、互联网企业等。这类客户往往有着海量快速迭代的代码,人工代码审计完全不能跟上开发的速度。为了确保业务安全的快速迭代,自动化安全检测是它们的刚需。
关于投资:
在代码安全自动化测试技术领域,沈凯文表示,Fuzzing技术无疑是近几年网络安全四大顶级学术会议中最热门的研究方向。通过学者们的不断研究,目前Fuzzing在科研层面已经成熟。
但另一方面,产业界长期仍缺乏简单易用的产品。这意味着,当前市场上虽然有更多客户意识到Fuzzing的价值,但由于缺乏Fuzzing专业知识与落地经验,普通客户很难只基于开源的学术Fuzzing框架来进行代码自动化测试。比如从产品易用性来看,开源Fuzzing版本也缺少UI界面与用户报告等基本模块,这使得普通客户难以将这些开源Fuzzing框架应用到日常工作任务中。总之,沈凯文觉得即便Fuzzing技术的优越性已在学术界得到认可,而由于Fuzzing自身的高技术门槛,“开箱即用”型模糊测试产品成为市场刚需。