36氪获悉,初创安全公司「比瓴科技」已于日前完成数千万元的Pre-A轮融资,本轮融资投资方为云启资本,梅花创投跟投。增量资本为本轮融资独家财务顾问。
比瓴科技核心团队主要来自梆梆安全、白帽汇等。公司定位于软件安全解决方案供应商。公司目标是向企业提供软件系统全生命周期安全解决方案,帮助企业提升应用软件系统安全水平及持续性合规能力。
根据公司创始人付杰介绍,目前不少企业面临的安全问题之一即是软件的安全无法保障,而从源头保障软件安全的前提即是从开发过程切入,通过对软件开发流程的管控,降低软件本身存在的安全风险。
36氪此前也在分析中提及,软件的安全漏洞需要尽早被发现,如果运行中的系统被曝出漏洞,企业会付出比安全前置更高的修复代价。根据美国国家标准与技术研究所(NIST)的统计,在发布后执行代码修复,其修复成本相当于在设计阶段执行修复的30倍。
当前这一细分领域也被称作开发安全。当前国内开发安全市场的参与者主要分为两种类型,第一种主要提供AST工具,当前主流的工具类型包括静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)。静态、动态、交互应用程序安全测试产品,可以让软件得以在上线前发现可能的安全风险,达成安全前置的目的。第二种则从平台角度出发,管控软件研发的过程,并在其中给到客户各种量化的指标,帮助其在流程中规避安全风险,这其中也会涵盖AST工具。
36氪此前了解到,即使当前国内主打工具类的厂商不少,但走平台路线的厂商会认为仅仅提供单品类产品是不够的,因为客户的高阶需求是对软件开发的全生命周期进行管理,整体建立起安全开发体系。为了这个目的,目前后者不仅需要提供产品,也需要提供可以将新、老产品集成起来的平台,有时还需要提供服务、培训。
比瓴的思路也属于后者,其主要的业务包含三类,即安全咨询系列、安全产品系列和安全服务系列。其中,安全产品包含DevSecOps应用安全中台系统、EOS SaaS应用安全在线专家咨询系统和PrivacyOps个人隐私合规平台。前者以平台形式提供软件开发全流程管理,公司也会通过一些合作方式为客户提供检测工具;后者提供与应用开发过程相关的个人隐私合规性管理和安全技术。付杰介绍,如果要打造这类产品,也需要公司帮助客户深度分析其安全需求。为了达成这一目标,公司需要将专家能力输出。当前比瓴的专家能力主要来自于其团队自身过往的服务经验,未来可能会考虑开源社区的方式拓展细分场景所需的能力。
在客户端,比瓴当前的客户类型分为金融客户以及正在做数字化转型的中小企业,这类客户较为重视开发安全,同时也需要外部厂商进行能力支持。据了解,目前公司签约客户大约在数十家左右,交付方式根据客户需求不同可以分为本地化部署和云端交付两种。
在下一步的规划上,本轮融资过后,公司将进一步投入产品研发,同时进行新客户的拓展。