智能模糊测试技术提供商安般科技获得超亿元A轮融资,硅港资本和上海东方证券创新投资有限公司联合领投,名川资本和中南资本跟投。
安般科技成立于2018年12月,是国内最早从事智能模糊测试技术商业化落地的企业,专注于提供软件全流程负面测试产品和解决方案,当前产品线主要包括模糊测试和软件供应链安全两大类。
在软件定义世界的趋势下,软件已经逐渐渗透到生活的方方面面,与此同时,软件本身的缺陷及其带来的灾难性后果将成为一个无法忽视的灰犀牛。
(资料图片)
据统计,2020年美国不良软件质量损失(CPSQ)约为2.08万亿美元,其中软件缺陷造成的损失高达1.56万亿美元。近年来,我国军工、金融、汽车等多个行业也陆续出台了与软件质量相关的强制性标准和政策。为了保障质量,如今动辄数亿行的代码规模已无法仅依赖现有的测试手段去对其充分测试。于是,模糊测试,一种古老的技术正被赋予全新的意义。
模糊测试作为一种负面测试技术,早在1989年即被提出,它是利用自动或半自动的方法,不断地向被测程序提供非预期输入,并监控输出异常来发现软件缺陷的方法。在过去几十年经历了“完全随机”、“基于模板”、“基于文法”几个阶段的发展,随着2014年AFL(American Fuzzy Lop)的提出,其通过对软件内部状态的监控,当代模糊测试进入一个全新的智能时代。
最近几年,Google、Microsoft等巨头的核心系统已经大量使用模糊测试技术,美国国防部在其2019年的年度国防方案HR5515曾大篇幅地要求美国空军等关键系统强制使用模糊测试技术,2021年发布的EO 14028总统行政命令更是将模糊测试作为各行业软件最低发布标准。
在类似的法规要求下,海外一些专注智能模糊测试技术服务的新兴独角兽企业开始涌现,在商业化模糊测试的实践上也效果颇丰。
而安般科技作为世界范围内最早一批从事模糊测试技术商业化落地的企业,在技术和产品上与国外同行并驾齐驱,但在市场上更多的聚焦在我国正在快速发展的国产软件行业,持续助力国产软件更好更快发展。
谈及产品化工具,创始人汪毅表示,公司以智能模糊测试技术为核心已研发了多场景的模糊测试工具,并在2020年开始涉足软件供应链领域,同时联合了多个深耕软件安全工具的厂商共同推出了面向软件开发各个环节的全流程负面测试解决方案,构建基于DevQualOps思想的多维度软件负面测试能力。
目前,安般科技有五个测试系统产品:
易恒智能模糊测试系统:针对C/C++(Linux)和Java源码的模糊测试工具,能够发现近百种与程序健壮性和安全性相关的缺陷。易恒能够无缝嵌入CI流程,在开发阶段,提供透明化、自动化测试服务,协助开发人员挖掘、定位、复现和修复缺陷;在集成测试阶段,利用人工智能技术,帮助测试人员快速生成海量有效测试用例,发现程序缺陷并大幅提升测试覆盖率;实践表明,易恒智能模糊测试系统可以有效提升程序健壮性,保障程序发布质量,是企业DevQualOps最佳实践的重要工具。
易侦协议模糊测试系统:通用的自动化协议模糊测试工具,支持数十种常用协议,能够快速识别协议软件中的缺陷和“0day”漏洞。易侦支持黑盒测试和全数字仿真测试两种测试方式,黑盒测试场景下无需提供软件源代码,通过协议发送变异报文对软件进行测试,使企业快速进入测试验收环节。在全数字仿真环境下,通过代码插桩可以进一步获取软件的运行状况、函数动态调用关系、多种覆盖率(行覆盖率、分支覆盖率、函数覆盖率、MC/DC)等信息,帮助企业更精准的发现和修复软件中的缺陷,提升软件质量。
易察API模糊测试系统:易察是面向API接口的黑盒模糊测试工具,创新性地将模糊测试引入了API测试领域。易察可以自动发现Web应用中的API接口并解析API规范,根据接口间的依赖关系,通过模糊测试技术生成海量具有针对性的测试用例,向目标接口发送请求进行测试。不仅可以发现OWASP API Top10等常见漏洞,还可以检测非法字符串、超出范围的参数数据、数据类型错误、空参数等引起API拒绝服务的问题并自动输出相应测试报告。
易识固件供应链安全管理系统:面向二进制固件的自动化静态分析工具。 支持十余种CPU架构、60多种固件格式,内置了19万条漏洞信息,利用自研的HBinSim-attention算法有效解决了CWE识别低效和准确性不高的业界难题,能够快速识别200+CWE缺陷。在固件验收测试和评测中,易识可以分析固件中的加密算法,识别明文用户名密码等敏感信息、开源组件及许可协议,查找固件中的CVE/CNNVD漏洞,挖掘CWE缺陷。帮助用户识别固件中的安全风险和法律风险。
SCA源代码成分分析系统:面向源代码的自动化静态分析工具。从设计阶段到发布阶段,识别CVE/CNNVD安全漏洞,梳理研发过程中的软件物料清单(SBOM),解决开源治理过程中的安全和合规问题。使用自主研发的新一代指纹识别技术,支持600多种开发语言,通过构建识别、组件识别、文件识别和代码片段识别技术,多维度识别引入的开源组件,单个文件扫描仅需20ms;系统内置超过2万亿行开源代码、1亿2千万组件信息、500亿文件信息、2000多种许可证类型及19万条漏洞信息。
除此之外,在技术方面,安般科技设计了一套支持异构引擎大规模并发测试的通用模糊测试框架ABFuzz。该框架首次引入细粒度多引擎融合技术,能够持续整合多种模糊测试引擎,共同提升模糊测试的效率和效果。
其自主研发的通用模糊测试引擎ABFast,融合了符号执行和污点分析等相关程序分析技术,具备更强的路径探索能力;同时,ABFast的增强学习算法可以基于用户以往的测试记录,进行自我强化,在使用过程中变的越来越“聪明”,更高效地发现被测程序的缺陷。在同等测试条件下,ABFast比AFL/AFL++引擎在缺陷发现数量方面提升300%以上 ,在LAVA-M测试集上,测试效果同样大幅超越其他开源引擎。
目前安般科技系列产品累计在数十个开源项目中找到上百个“0day”漏洞,例如近期对用户数全球排名第一的免费开源关系型数据库MySQL,对其最新版本8.0.27版本进行24小时模糊测试,找到17个最高级别致命“0day”漏洞,包括断言失败、堆溢出和段错误等。
市场方面,安般科技以上海总部为中心,在北京、西安、成都等一、二线城市设有研发中心和分支机构,并拥有覆盖全国的近百家合作伙伴网络,累计服务过上百家政府军工、信创软件、工业控制、智能汽车等多领域客户。目前,安般科技与信创、汽车、军工领域内多个权威机构成立联合负面测试中心,并参与制定了多个软件安全及模糊测试相关的国家及行业标准。
团队方面,安般科技创始成员来自中国科学院和上海科技大学,具有丰富的程序分析相关技术积淀。目前团队规模近100人,其中80%以上团队成员为研发人员,主要来自中国科学院、中电科、摩托罗拉、腾讯等研究院所及企业的安全、测试和研究部门。安般科技曾多次承担国家科技部多项重大课题研究,并于近期承接“十四五”国家重点研发计划“网络空间安全治理”中某涉密专项的核心课题研究。此外,安般科技与四川大学信息安全研究所、中国工程物理研究院计算机应用研究所等单位已建立长期的产学研一体化合作。
最后,创始人汪毅向亿欧透露,2022年对安般来说是非常重要的一年,公司除了继续深耕军工和信创领域外,还会加强布局金融和汽车行业。本轮融资资金将主要用于进一步提升技术壁垒、加速产品系列优化和垂直行业的规模化落地、组建金融和汽车事业部以及提升品牌影响力等工作。
