軟件安全值得關注。

　　36氪獲悉，關注軟件安全的初創安全公司「水木羽林」已于日前完成千萬元級天使輪融資，本輪投資人包括前沿基金、銀杏谷資本、斗象科技、海南層林等。

　　當前，不少企業面臨的安全問題之一即是軟件的安全無法保障。所以，軟件在開發流程中的安全問題也引起不少關注。根據美國國家標準與技術研究所（NIST）早前的統計，在發布后執行代碼修復，其修復成本相當于在設計階段執行修復的30倍。而開發安全類產品則從開發過程切入，希望通過對軟件開發流程的管控，降低軟件本身存在的安全風險。

　　當前為了解決這一問題，業內出現了不同類型的工具，其中主要包括AST工具，涵蓋靜態應用程序安全測試（SAST）、動態應用程序安全測試（DAST）、交互式應用程序安全測試（IAST）產品等。公司介紹，當前AST工具在應用程序上的效果顯著，而Fuzz技術可以更好的適配到不同類型的基礎和系統軟件，并在漏報和誤報以及自動化支持上取得更好的平衡。

　　36氪也觀察到，當前一些公司以FUZZ類產品為主打，希望幫助企業解決軟件安全問題。本文主角「水木羽林」，正式成立于2021年3月，其團隊核心成員均畢業于清華大學，在軟件安全測試方向有超過10年積累，在SOSP和S&P等軟件系統和信息安全領域頂會上發表30余篇學術論文，在各類系統軟件上挖掘數百個高危安全漏洞收錄到國家安全漏洞庫中。公司主打產品為XFUZZ智能模糊測試系統，不僅支持應用層軟件及類庫，也支持協議、內核、數據庫等大規模基礎軟件的自動化安全測評。

　　公司COO李遠翼介紹，XFUZZ智能模糊測試系統是新一代軟件質量與安全檢測平臺，可以對各種層次與類型的軟件進行自動化漏洞挖掘，有效檢測各類高危漏洞，提升軟件健壯性和安全性，為軟件供應鏈安全提供基礎支撐。

　　其還介紹，智能模糊測試會在測試過程中動態觀察程序的反饋，利用污點分析和硬件指令追蹤等技術引導測試輸入的生成，更快更多的觸發程序分支，分支覆蓋的越深，最終找到的漏洞越多。不過在李遠翼看來，由于程序不同，如今具體的覆蓋度指標不能一概而論，但這種自動化的測試輸入生成手段，可以顯著降低當前軟件測試和安全分析的難度和人力成本。

　　當前，「水木羽林」主要依靠智能模糊測試等前沿技術，瞄準開發安全、代碼安全等DevSecOps場景，希望解決各行業軟件供應鏈安全保障難題。

　　具體展開，公司介紹其XFUZZ智能模糊測試系統具有如下亮點：

　　?智能深度挖掘能力：在權威第三方及客戶測試數據集的對比中，相較于AFL，Peach,Syzkaller等標桿工具，核心指標如測試覆蓋率，發現缺陷數，測試速度等均大幅領先。

　　跨層全棧支持能力：全面支持應用、類庫、數據庫、操作系統、通信協議等檢測對象，完整覆蓋軟件供應鏈，在Linux，MySql，IEC104等基礎軟件及協議上累計發現百余個漏洞被中美國家信息安全漏洞庫作為CVE官方收錄。

　　 DevSecOps支持能力：通過全量API、CLI工具等特性，可實現自動化、集成化與持續化的軟件開發安全左移，支持測試驅動自動生成，覆蓋信息實時顯示，缺陷報告自動生成，缺陷輸入自動復現等功能。

　　另外，當前行業內也正出現各類技術路線不同的工具，不同工具往往具備不同功能特點，在一些場景下可以整合滿足客戶需求，之后「水木羽林」也會進行相關拓展，完善自身產品覆蓋面。

　　在具體的商業化落地上，「水木羽林」在成立半年來已獲統信軟件、南大通用等客戶數百萬元訂單。本輪融資之后，公司也將持續投入產品研發，同時不斷拓展市場。