从软件开发角度帮助企业降低安全风险，「思客云」完成数千万元的天使轮融资

　　原标题：从软件开发角度帮助企业降低安全风险，「思客云」完成数千万元的天使轮融资

　　获悉，DevSecOps 开发安全平台型公司思客云 （北京） 软件技术有限公司（以下简称「思客云」）宣布完成数千万元的天使轮融资。本轮投资方为领航新界资本，格物资本担任独家财务顾问。

　　36 氪此前曾对 DevSecOps 做过介绍。它是 DevOps 的衍生概念，指的是将安全（security）嵌入 DevOps 流程中。其核心为安全前置，强调安全需要贯穿从开发到运营整个软件生命周期的每个关键环节。据观察，DevSecOps 自 2012 年由 Gartner 提出后，正逐步吸引业界的目光。国外的一个例子是，在被称作「全球网络安全风向标」的 RSA 大会上，2020 年的 10 强中有三家企业和 DevSecOps 相关。而在国内，围绕 DevSecOps 的讨论也在增多，当前已经出现一些与此相关的安全创业公司。

　　思客云核心团队来自全球最早的源代码检测企业 Fortify、Checkmarx 知名安全公司及世界 500 强企业，拥有超过 15 年网络安全产品市场及技术经验。其公司高管回溯，在 2006 年左右国内市场基本对开发安全没有认知。到了 2012 年左右，一些大型 B、G 客户对此类产品已经较为熟悉，不少腰部客户也已经开始产生采购需求。而到如今，国内目前软件交易量相比十年前增加了数倍，开发安全越来越得到重视。开发安全类产品已经受到较广泛地客户认可，不少投资人也关注到了这一市场。

　　谈及公司特点，其高管认为，思客云是国内少有的几家拥有完全自主知识产权的源代码安全检测方案提供商之一，除了源码检测产品，其「找八哥」产品系列还包括开源组件，源代码防泄露等九条细分产品，希望帮助企业构建开发安全平台。

　　在整个市场中，当前安全测试工具是开发安全公司向客户提供的主要类型产品之一。主流的工具类型包括静态应用程序安全测试（SAST）、动态应用程序安全测试（DAST）、交互式应用程序安全测试（IAST）等。

　　从技术角度进行区分，SAST 是指不运行被测程序本身，仅通过分析或者检查源代码或二进制文件的语法、语义、数据流、控制流、上下文结构、配置、接口等来检查程序的安全性和正确性。DAST 指的是在测试或运行阶段，分析应用程序的动态运行状态。它主要是模拟黑客行为对应用程序进行动态攻击，通过分析应用程序的反应，确定该应用是否易受攻击。IAST 则会通过代理和在服务端部署的 Agent 程序的方式，收集、监控 Web 应用程序运行时请求数据、函数执行，并与扫描器端进行实时交互，从而识别安全漏洞。

　　当前，一些企业认为 IAST 类产品比较新颖，不少厂商也都推出相应产品。对此，思客云高管认为，当前市场上对 IAST 类产品的理解有些偏差。首先其认为，IAST 并不是新出现的产品方案，10 多年前国外的厂商已经有了此类产品，但在国内外该产品没有推广起来，用户的接受度不是很高。其次，IAST 无论从「安全左移」的角度，还是「安全开发」的角度都不是 DevSecOps 或者说开发安全里的最主要的产品，因为 IAST 产品本身的定位和原理决定了它的应用场景受限（其适合针对个别开发语言的 WEB 应用系统）。具体而言，首先 IAST 类产品对开发语言的支持并不全面，目前具了解国内产品只支持 1 到 2 种开发语言，这会影响客户使用体验；另外，一些 IAST 类产品需要插桩以实现功能，这或对客户的执行落地时会有实施上���困难；再者，其也存在一定的漏报问题，而开发安全的目标就是在协调和组件所有开发人员对开发过程的每一个环节进行安全治理，确保应用系统的安全。

　　相应地，思客云特别强调自身主攻 SAST 产品路线，这和不少市面上的开发安全公司存在差异性。因为思客云根据实践和观察得出，从国外到国内用户采购上看，SAST 产品落地和实施性较佳，用户接受度也最高。「这是因为「开发安全」换言就是「安全开发」，只有通过标准化、规范化地培训和指导每一开发人员进行安全的编码，确保了每一行代码的安全，才能更好地进行整个安全开发生命周期（SDL）的建设。」公司技术团队表示，也正因此，其表示只有掌握最底层， 细化到代码级的颗粒度后，再以此向左和向右推出整个开发安全的多项产品都才是最佳方案。但难点在于，SAST 类产品出于技术需求，对开发语言的理解和编译水平的要求较高，再加上代码漏洞本身可能较多，使得此类产品存在较高研发门槛。当前思客云是较少掌握此类核心技术的公司，已申请不少专利。

　　另外，前文还提到思客云的「找八哥」产品系列还包括开源组件、源代码防泄露等九条细分产品。当前其中的一些产品还在持续迭代中，公司最终想实现的目标是覆盖「开发-安全-运维」（DevSecOps） 的全阶段，形成闭环。在落地方面，思客云介绍目前在国产替代的大背景下，其产品已开始广泛部署于不少金融机构，大型央企，软件研发企业及制造业等，数量级别在数十家左右

　　在本轮融资之后，公司将主要进一步完善源代码安全产品，并构建安全开发综合管理平台。

　　关于投资：

　　领航新界技术合伙人谭永献：根据全球信息安全发展技术趋势的研判，看好新一轮信息安全的投资热点方向，尤其持续看好与软件开发安全和应用安全相关的未来市场。本次投资是领航新界在信息安全赛道的连续投资之一，未来还将持续布局构建信息安全生态圈。