智能模糊测试厂商「安般科技」获得超亿元A轮融资,推进国产软件安全加速发展
NEWS 2022-8-18
近日,智能模糊测试技术提供商安般科技获得超亿元A轮融资,名川资本参与本轮投资。
安般科技成立于2018年12月,是国内最早从事智能模糊测试技术商业化落地的企业,专注于提供软件全流程负面测试产品和解决方案,当前产品线主要包括模糊测试和软件供应链安全两大类。
创始人汪毅表示,作为世界范围内最早一批从事模糊测试技术商业化落地的企业,安般科技已形成了自己的五大测试体系。未来,公司除了继续深耕军工和信创领域外还会加强布局金融和汽车行业。
名川资本创始合伙人王求乐表示:“软件代码的复杂性正呈几何级发展,单靠人工测试已无法解决软件的功能性、稳定性和可靠性难题。安般产品的程序化和智能化的自动测试能力,极大地提高了软件行业的测试效率,丰富了软件研发流程,优化了代码生产能力,为我国各行业软件开发者提供了高质量的新选择,填补了不少空白。名川资本深耕2B软件赛道,投资了众多高壁垒2B软件,作为拥有近十年软系统调测经验的老兵,安般几乎是我投资生涯做决策时最无悬念的软件企业。”
模糊测试:古老的新命题
在软件定义世界的趋势下,软件已经逐渐渗透到生活的方方面面,与此同时软件本身的缺陷及其带来的灾难性后果将成为一个无法忽视的灰犀牛。
据统计,2020年美国不良软件质量损失(CPSQ)约为 2.08 万亿美元,其中软件缺陷造成的损失高达 1.56 万亿美元。近年来我国军工、金融、汽车等多个行业也陆续出台了与软件质量相关的强制性标准和政策。但如今动辄数亿行的代码规模已无法仅依赖现有的测试手段去对其充分测试从而保障质量。
于是,模糊测试,一种古老的技术正被赋予全新的革命性意义。
模糊测试作为一种负面测试技术,早在1989年即被提出,它是利用自动或半自动的方法,不断地向被测程序提供非预期输入并监控输出异常来发现软件缺陷的方法。在过去几十年经历了“完全随机”、“基于模板”、“基于文法”几个阶段的发展,随着2014年AFL的提出,其通过对软件内部状态的监控,当代模糊测试进入一个全新的智能时代。
事实上,美国国防部在其2019年的年度国防方案HR5515曾大篇幅地要求美国空军等关键系统强制使用模糊测试技术。2021年发布的EO 14028总统行政命令更是将模糊测试作为各行业软件最低发布标准。
在类似的法规要求下,海外已经出现了一些专注智能模糊测试技术服务的新兴独角兽企业,在商业化模糊测试的实践上也效果颇丰。例如在2018年左右开始进入模糊测试赛道的美国公司ForAllSecure,于2020年5月仅针对美国空军某一个部队就签下一笔4500万美元为期三年的订单;又如成立于2018年的德国公司Code Intelligence,已成功在多个无人驾驶领域和工业场景落地模糊测试技术。
此外,据了解,近年Google、Microsoft等巨头的核心系统已经大量使用模糊测试技术。
安般科技作为世界范围内最早一批从事模糊测试技术商业化落地的企业在技术和产品上与国外同行并驾齐驱,但在市场上更多地聚焦在我国正在快速发展的国产软件行业,持续助力国产软件更好更快发展。
五大测试系统
易恒智能模糊测试系统
针对C/C++(Linux)和Java源码的模糊测试工具,能够发现近百种与程序健壮性和安全性相关的缺陷。易恒能够无缝嵌入CI流程,在开发阶段,提供透明化、自动化测试服务,协助开发人员挖掘、定位、复现和修复缺陷;在集成测试阶段,利用人工智能技术,帮助测试人员快速生成海量有效测试用例,发现程序缺陷并大幅提升测试覆盖率;实践表明,易恒智能模糊测试系统可以有效提升程序健壮性,保障程序发布质量,是企业DevQualOps最佳实践的重要工具。
易侦协议模糊测试系统
通用的自动化协议模糊测试工具,支持数十种常用协议,能够快速识别协议软件中的缺陷和0day漏洞。易侦支持黑盒测试和全数字仿真测试两种测试方式,黑盒测试场景下无需提供软件源代码,通过协议发送变异报文对软件进行测试,使企业快速进入测试验收环节。在全数字仿真环境下,通过代码插桩可以进一步获取软件的运行状况、函数动态调用关系、多种覆盖率(行覆盖率、分支覆盖率、函数覆盖率、MC/DC)等信息,帮助企业更精准的发现和修复软件中的缺陷,提升软件质量。
易察API模糊测试系统
易察是面向API接口的黑盒模糊测试工具,创新性的将模糊测试引入了API测试领域。易察可以自动发现Web应用中的API接口并解析API规范,根据接口间的依赖关系通过模糊测试技术生成海量具有针对性的测试用例,向目标接口发送请求进行测试。不仅可以发现OWASP API Top10等常见漏洞,还可以检测非法字符串、超出范围的参数数据、数据类型错误、空参数等引起API拒绝服务的问题并自动输出相应测试报告。
易识固件供应链安全管理系统
面向二进制固件的自动化静态分析工具。支持十余种CPU架构、60多种固件格式,内置了19万条漏洞信息,利用自研的HBinSim-attention算法有效解决了CWE识别低效和准确性不高的业界难题,能够快速识别200+CWE缺陷。在固件验收测试和评测中,易识可以分析固件中的加密算法,识别明文用户名密码等敏感信息、开源组件及许可协议,查找固件中的CVE/CNNVD漏洞,挖掘CWE缺陷。帮助用户识别固件中的安全风险和法律风险。
SCA源代码成分分析系统
面向源代码的自动化静态分析工具。从设计阶段到发布阶段,识别CVE/CNNVD安全漏洞,梳理研发过程中的软件物料清单(SBOM),解决开源治理过程中的安全和合规问题。使用自主研发的新一代指纹识别技术,支持600多种开发语言,通过构建识别、组件识别、文件识别和代码片段识别技术,多维度识别引入的开源组件,单个文件扫描仅需20ms;系统内置超过2万亿行开源代码、1亿2千万组件信息、500亿文件信息、2000多种许可证类型及19万条漏洞信息。
技术能力方面
安般科技创新性地设计了一套支持异构引擎大规模并发测试的通用模糊测试框架ABFuzz。该框架首次引入细粒度多引擎融合技术,能够持续整合多种模糊测试引擎,共同提升模糊测试的效率和效果。其自主研发的通用模糊测试引擎ABFast,融合了符号执行和污点分析等相关程序分析技术,具备更强的路径探索能力;同时,ABFast的增强学习算法可以基于用户以往的测试记录进行自我强化,在使用过程中变得越来越“聪明”,更高效地发现被测程序的缺陷。在同等测试条件下,ABFast比AFL/AFL++引擎在缺陷发现数量方面提升300%以上 ,在LAVA-M测试集上,测试效果同样大幅超越其他开源引擎。
目前安般科技系列产品累计在数十个开源项目中找到上百个0day漏洞,例如近期对用户数全球排名第一的免费开源关系型数据库MySQL,对其最新版本8.0.27版本进行24小时模糊测试,找到17个最高级别致命0day漏洞,包括断言失败、堆溢出和段错误等。
据了解,安般科技已累计服务过上百家政府军工、信创软件、工业控制、智能汽车等多领域客户,与信创、汽车、军工领域内多个权威机构成立联合负面测试中心并参与制定了多个软件安全及模糊测试相关的国家及行业标准。
安般科技的发展与团队成员密不可分。据了解,其创始成员起源于中国科学院和上海科技大学,具有丰富的程序分析相关技术积淀。目前团队规模近100人,其中80%以上团队成员为研发人员,主要来自中国科学院、中电科、摩托罗拉、腾讯等研究院所及企业的安全、测试和研究部门。曾多次承担国家科技部多项重大课题研究,并于近期承接“十四五”国家重点研发计划“网络空间安全治理”中某涉密专项的核心课题研究,和多家大学及研究所已建立长期的产学研一体化合作。
汪毅在接受多家媒体采访时表示,2022年对安般来说是非常重要的一年,公司除了继续深耕军工和信创领域外还会加强布局金融和汽车行业。本轮融资资金将主要用于进一步提升技术壁垒、加速产品系列优化和垂直行业的规模化落地、组建金融和汽车事业部以及提升品牌影响力等工作。