編者按：

闊別波瀾壯闊的2020年，我們即將迎來充滿希望與未知的激蕩新十年?？萍寂c資本的雙重推動，是這個十年的時代主旋律，也很可能成為下個十年的創(chuàng)新主推力。因此，臨近2020年年底，我們推出了“年度行業(yè)研究”這個系列，選擇了當(dāng)下最受關(guān)注的領(lǐng)域進(jìn)行系統(tǒng)梳理。這些行業(yè)，或正在改寫當(dāng)下新經(jīng)濟(jì)格局，或有可能重塑未來商業(yè)甚至國際格局，或是36氪讀者感興趣，或是正產(chǎn)生巨大的社會影響。我們也希望用這樣的方式，和我氪的讀者一起“無限拓展邊界”，一起“更先看到未來”。

本文是這個系列的一篇。我們選取了DevSecOps，這一在IT界逐步普及的理念。從云計算到云原生再到DevOps，我們看到，每一次IT理念的變化都意味著開發(fā)流程的迭代，這使得企業(yè)業(yè)務(wù)的敏捷化訴求有了基礎(chǔ)的技術(shù)支撐。而安全，作為業(yè)務(wù)合規(guī)避險的基石，必然也將加入這一次變革——這也是DevSecOps的意義。

降本增效還是合規(guī)避險？

過去，企業(yè)為快速在市場中占據(jù)一席之地，前者的重要性或許更甚。但隨著監(jiān)管環(huán)境日趨嚴(yán)格、競爭維度愈發(fā)多樣，降本增效或合規(guī)避險已不是一道單選題。

不過落在實(shí)處，二者的融合總有博弈。比如，“安全”作為合規(guī)避險的基礎(chǔ)，就長期處于如此境地——幾乎所有甲方企業(yè)在采購/上線安全產(chǎn)品或功能時，都希望安全可以和業(yè)務(wù)和諧共處，至少不影響業(yè)務(wù)進(jìn)展，這也是安全廠商和客戶達(dá)成合作的重要前提。

找到安全和業(yè)務(wù)開展適配的節(jié)奏，也成為一個值得討論的話題。

DevSecOps就是這樣一種理念。它是DevOps的衍生概念，即將安全（security）嵌入DevOps流程中。其核心為安全前置，強(qiáng)調(diào)安全需要貫穿從開發(fā)到運(yùn)營整個軟件生命周期的每個關(guān)鍵環(huán)節(jié)。

DevSecOps自2012年由Gartner 提出后，正逐步吸引業(yè)界的目光。國外的一個例子是，在被稱作“全球網(wǎng)絡(luò)安全風(fēng)向標(biāo)”的RSA大會上，2020年的10強(qiáng)中有三家企業(yè)和DevSecOps相關(guān)。而在國內(nèi)，圍繞DevSecOps的討論也在增多，當(dāng)前已經(jīng)出現(xiàn)十余家圍繞此理念創(chuàng)業(yè)的安全公司，大多數(shù)聚焦開發(fā)安全層面。

從投融資角度，近一年此領(lǐng)域公司也在不斷獲得融資，比如「默安科技」于今年11月被披露完成深信服和寧德上汽的增資；「開源網(wǎng)安」在今年10月宣布完成由松禾資本、匠一基金投資的數(shù)千萬元融資；「懸鏡安全」于今年6月宣布完成由紅杉中國種子基金獨(dú)家領(lǐng)投的數(shù)千萬元融資。

但站在更寬廣的維度，作為DevOps的延伸理念，DevSecOps的認(rèn)知度還不及前者。本文將從DevSecOps的發(fā)展歷史、促進(jìn)這一理念發(fā)展的驅(qū)動力，相關(guān)廠商的機(jī)遇與挑戰(zhàn)入手，以期為讀者提供參考價值。

一、開發(fā)模式的轉(zhuǎn)變：從“敏捷”到“敏捷 安全”

要對DevSecOps溯源，不得不提近年來IT理念的多次迭代。敏捷，正是企業(yè)IT架構(gòu)支持前臺業(yè)務(wù)的重要考量因素。這一理念貫穿云計算、云原生、敏捷開發(fā)、DevOps以及本文的主題——DevSecOps。

進(jìn)入移動互聯(lián)網(wǎng)時代后，各類軟件應(yīng)用在各行各業(yè)滲透，業(yè)務(wù)高速發(fā)展，用戶量激增。面對這種情況，企業(yè)要把更多的人力、物力、精力放在業(yè)務(wù)邏輯的建設(shè)上，而非基礎(chǔ)設(shè)施。換言之，以盡量敏捷、可靠、成本低的方式應(yīng)對業(yè)務(wù)需求是它們的訴求。

云計算的出現(xiàn)是一個解法。它改變了IT基礎(chǔ)設(shè)施和應(yīng)用實(shí)施模式，使得存儲、計算等信息服務(wù)像水電氣等公共設(shè)施一樣，可以通過網(wǎng)絡(luò)靈活按需使用。它的最終目標(biāo)是，在理想狀態(tài)下，企業(yè)后續(xù)的IT系統(tǒng)開發(fā)完全只需關(guān)心業(yè)務(wù)功能和邏輯實(shí)現(xiàn)，其余圍繞IT基礎(chǔ)設(shè)施的內(nèi)容都不再關(guān)心，由云平臺提供能力。所以，云計算在帶來節(jié)省成本的優(yōu)勢之外，也帶來效率和速度的提升。

再進(jìn)一步，要實(shí)現(xiàn)徹底的敏捷，不僅需要基礎(chǔ)設(shè)施上云，業(yè)務(wù)（應(yīng)用）“云化”才能真正將“云”的價值發(fā)揮出來，而這也正是云原生的核心理念。36氪此前曾對云原生做過深度分析，簡言之，云原生應(yīng)用的興起讓一切組件和相關(guān)的服務(wù)都在云端解決，這進(jìn)一步提升了IT在后端對前端業(yè)務(wù)的支持效率。

在理念落地時，需要IT部門的角色、流程進(jìn)行相應(yīng)轉(zhuǎn)換。所以，IT部門的軟件開發(fā)流程也出現(xiàn)了從瀑布式到敏捷開發(fā)，再到DevOps的迭代。

在過去，企業(yè)的軟件開發(fā)過程是傳統(tǒng)的瀑布式，即通過制定計劃、需求分析、軟件設(shè)計、程序編寫、軟件測試、運(yùn)行維護(hù)等6個流程將整個軟件生命周期銜接起來。這6個流程有著嚴(yán)格的先后次序之分，只有當(dāng)前面的流程結(jié)束之后，下一個流程才能開始運(yùn)轉(zhuǎn)。這種開發(fā)方式好似瀑布的下落，由此命名為瀑布模型。

但這種開發(fā)模式迭代速度慢，會造成人力的階段性浪費(fèi)。于是，敏捷開發(fā)出現(xiàn)了。

敏捷開發(fā)采用“迭代開發(fā)”，將軟件項(xiàng)目需求分成多個迭代，且每個迭代成果在完成開發(fā)、測試、反饋等環(huán)節(jié)后都可以進(jìn)行交付。這種模式提高了軟件開發(fā)的速度，但它注重的是軟件的開發(fā)階段，并未兼顧到運(yùn)維。

所以，DevOps應(yīng)運(yùn)而生。它是一種重視“軟件開發(fā)人員（Dev）”和“IT運(yùn)維技術(shù)人員（Ops）”之間溝通合作的文化、運(yùn)動或慣例，希望使構(gòu)建、測試、發(fā)布軟件更加敏捷、頻繁和可靠。隨著云原生的日漸普及，與之配套的devops理念也被大范圍接受。

不過可以看出，DevOps所涵蓋的員工角色包括開發(fā)人員和運(yùn)維人員，并不包括安全人員。安全，作為軟件開發(fā)的保障性因素，仍然被排除在外。DevSecOps由此出現(xiàn)。

傳統(tǒng)的安全方式難以滿足敏捷的前提，這是因?yàn)椋趥鹘y(tǒng)安全（滲透測試或人工方式等）的方式下，敏捷會影響研發(fā)交付，這是企業(yè)所不能接受的。而DevSecOps的理念在將安全融入敏捷過程中，即通過設(shè)計一系列可集成的控制措施，增大監(jiān)測、跟蹤和分析的力度，優(yōu)化安全實(shí)踐，集成到開發(fā)和運(yùn)營的各項(xiàng)工作中，并將安全能力賦給各個團(tuán)隊，同時保持“敏捷”和 “協(xié)作”的初衷。在這一理念中，企業(yè)的整個IT團(tuán)隊目標(biāo)統(tǒng)一，即在保障敏捷開發(fā)的基礎(chǔ)上，共同背負(fù)起安全的責(zé)任。

\”從2017年起，國際上專注DevSecOps的廠商逐漸多了起來，國內(nèi)也有越來越多的甲方和廠商開始重視開發(fā)安全。它的核心是解決在DevOps敏捷開發(fā)模式下，如何柔和地將安全嵌入進(jìn)來實(shí)現(xiàn)安全前置的問題?！眹鴥?nèi)DevSecOps敏捷安全公司「懸鏡安全」創(chuàng)始人子芽曾向36氪介紹。

二、需要流程，也需要工具

安全的本質(zhì)是為保證業(yè)務(wù)的連續(xù)性和可靠性。DevSecOps在敏捷的前提下誕生，最終目的仍是保障應(yīng)用的可靠。要達(dá)成這一目的既需要體系的規(guī)范化，也需要工具的支持——在體系上，要通過流程的設(shè)計、項(xiàng)目的管理明確責(zé)任，將安全前置；在工具上則圍繞軟件全生命周期的安全，從代碼層面保證軟件質(zhì)量。二者是互為支撐的關(guān)系。

體系將安全納入開發(fā)過程中，那么工具對DevSecOps的意義是什么？

Gartner認(rèn)為，DevSecOps需要注重以下幾點(diǎn)：風(fēng)險和威脅建模、自定義代碼掃描、開源軟件掃描和追蹤、考慮供應(yīng)鏈安全問題、整合預(yù)防性安全控制到共享源代碼庫和共享服務(wù)中、版本控制和安全測試的自動化部署、系統(tǒng)配置漏洞掃描、工作負(fù)載和服務(wù)的持續(xù)監(jiān)控等。

DevSecOps框架圖

根據(jù)云計算開源產(chǎn)業(yè)聯(lián)盟的解讀，安全工具自動化以及平臺化是DevSecOps的特點(diǎn)，其重點(diǎn)是在體系中嵌入自動化的安全工具，實(shí)現(xiàn)DevOps的體系安全。

更深一層解釋，這類安全工具是將DevSecOps落地的抓手。在傳統(tǒng)的研發(fā)過程中，研發(fā)與安全割裂，主要是因?yàn)榘踩绊懷邪l(fā)效率，但自動化的安全工具可以適用當(dāng)前的敏捷開發(fā)需求。

而且，工具的出現(xiàn)也有助企業(yè)在組織結(jié)構(gòu)上將DevSecOps落地。這是由于，IT部門里安全人員的配比常有些失衡。一個說法是，目前大部分企業(yè)中開發(fā)、運(yùn)營和安全的比例是100:10:1，安全人員僅占開發(fā)人員的1/100。而且，安全人員人才荒的問題早已是業(yè)內(nèi)共識。根據(jù)360和獵聘發(fā)布的《2019年網(wǎng)絡(luò)安全行業(yè)人才發(fā)展研究報告》，近年來國內(nèi)人才市場上網(wǎng)絡(luò)安全求職者數(shù)量增長緩慢，與人才需求的高速增長極端不匹配，造成了人才缺口不斷擴(kuò)大。有專家預(yù)測，2020年網(wǎng)絡(luò)安全人才缺口將達(dá)到140萬。所以，通過增大安全人員的配比來實(shí)現(xiàn)DevSecOps并不現(xiàn)實(shí)，最重要的是讓每個研發(fā)人員和運(yùn)維人員都具備安全方面的意識，同時了解安全的工具，盡可能自己成為安全方面的專家，

所以，需要什么樣的工具？

答案很簡單，正是保證軟件安全開發(fā)的工具。隨著信息化發(fā)展，軟件應(yīng)用服務(wù)正滲透到各行業(yè)和領(lǐng)域，軟件應(yīng)用自身的安全問題也成為焦點(diǎn)。當(dāng)前全球安全事件頻發(fā)，代碼程序漏洞是關(guān)鍵誘因之一。程序的安全漏洞需要盡早被發(fā)現(xiàn)，如果運(yùn)行中的系統(tǒng)被曝出漏洞，企業(yè)會付出比安全前置更高的修復(fù)代價。根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）的統(tǒng)計，在發(fā)布后執(zhí)行代碼修復(fù)，其修復(fù)成本相當(dāng)于在設(shè)計階段執(zhí)行修復(fù)的30倍。

當(dāng)前主流的工具類型包括靜態(tài)應(yīng)用程序安全測試（SAST）、動態(tài)應(yīng)用程序安全測試（DAST)、交互式應(yīng)用程序安全測試（IAST），軟件組成分析、運(yùn)行時應(yīng)用自保護(hù)等。靜態(tài)、動態(tài)、交互應(yīng)用程序安全測試產(chǎn)品，以及軟件組成分析都可以讓軟件得以在上線前發(fā)現(xiàn)可能的安全風(fēng)險，達(dá)成安全前置的目的。運(yùn)行時應(yīng)用自保護(hù)，是在軟件上線后實(shí)時保證軟件安全。

目前，應(yīng)用程序的安全測試工具市場已經(jīng)比較成熟，也出現(xiàn)了多種技術(shù)分支。不過，靜態(tài)應(yīng)用程序安全測試（SAST)、動態(tài)應(yīng)用程序安全測試（DAST)、交互式應(yīng)用程序安全測試（IAST)，雖然名稱類似、目的一致，卻也不是完全互相取代的關(guān)系。

從技術(shù)角度，SAST是指不運(yùn)行被測程序本身，僅通過分析或者檢查源代碼或二進(jìn)制文件的語法、結(jié)構(gòu)、過程、接口等來檢查程序的正確性。DAST指的是在測試或運(yùn)行階段，分析應(yīng)用程序的動態(tài)運(yùn)行狀態(tài)。它主要是模擬黑客行為對應(yīng)用程序進(jìn)行動態(tài)攻擊，通過分析應(yīng)用程序的反應(yīng)，確定該應(yīng)用是否易受攻擊。IAST是一種較新的技術(shù)，由Gartner在2012年提出。這種方式通過代理和在服務(wù)端部署的 Agent 程序，收集、監(jiān)控 Web 應(yīng)用程序運(yùn)行時請求數(shù)據(jù)、函數(shù)執(zhí)行，并與掃描器端進(jìn)行實(shí)時交互，從而識別安全漏洞，同時可準(zhǔn)確確定漏洞所在的代碼文件、行數(shù)、函數(shù)及參數(shù)。

三種不同的技術(shù)路線，也意味著這三類產(chǎn)品在效果以及適用場景上都存在差異。

在效果上，DAST準(zhǔn)確率高，但無法訪問代碼細(xì)節(jié)，漏報率較高。SAST對應(yīng)用程序的源代碼或二進(jìn)制文件進(jìn)行分析，這種方式相比前者更全面，但代碼在被檢測時并沒有運(yùn)行，所以誤報率較高。IAST的方式，基本不會出現(xiàn)誤報，精度非常高，但目前對開發(fā)語言的覆蓋并不全面。當(dāng)前，IAST由于規(guī)避了前兩者產(chǎn)品的弊端，在業(yè)內(nèi)關(guān)注度較高。

三類產(chǎn)品各有利弊，或許將各類產(chǎn)品放在合適場景下進(jìn)行結(jié)合，能夠更全面地滿足軟件開發(fā)的安全需求。比如，SAST比較適用于研發(fā)階段的代碼檢測，DAST和IAST比較適合QA環(huán)節(jié)。

三、國內(nèi)玩家的機(jī)會與挑戰(zhàn)

當(dāng)前我們關(guān)注到的，圍繞DevSecOps理念創(chuàng)業(yè)的安全公司也多在提供工具型產(chǎn)品，以及相應(yīng)的解決方案。再加上此類工具大多在避免應(yīng)用程序中存在安全問題，這一行業(yè)的市場廣義涵蓋在應(yīng)用安全中，狹義上屬于開發(fā)安全。

根據(jù)Gartner2020年6月發(fā)布的統(tǒng)計數(shù)據(jù)，全球2019年各項(xiàng)安全類支出總計 1209.34 億美元，預(yù)計2020年將達(dá)到1238.18億美元，其中應(yīng)用安全市場規(guī)模2019年為30.95億美元，預(yù)計2020年將達(dá)到32.87億美元，年增長率達(dá)到6.2%，明顯高于整體信息安全市場的2.4%年增長率。中國的應(yīng)用安全市場增速高于全球，市場規(guī)模占全球比例達(dá)到近三分之一。根據(jù)中國云計算開源產(chǎn)業(yè)聯(lián)盟的報告，2019年國內(nèi)應(yīng)用安全市場規(guī)模達(dá)到8.48億美元，市場規(guī)模占全球應(yīng)用安全市場規(guī)模比例達(dá)到近三分之一，預(yù)計2020年市場規(guī)模將達(dá)到9.45億美元，年增長率達(dá)到11.5%，高于全球6.2%的增長率。

這其中，上文重點(diǎn)介紹的AST市場增速最快。市場規(guī)模占比超過應(yīng)用安全總體市場規(guī)模的三分之一。Gartner 2019年4月發(fā)布的報告調(diào)查數(shù)據(jù)顯示，應(yīng)用安全測試市場預(yù)計將以10%的復(fù)合年增長率增長，這仍是信息安全領(lǐng)域中快速增長的部分。到2019年底，AST的市場規(guī)模估計達(dá)到 11.5億美元，市場規(guī)模占比超過應(yīng)用安全總體市場規(guī)模的三分之一。我們目前關(guān)注到的，主打DevSecOps理念的安全公司也多以AST為基礎(chǔ)開展業(yè)務(wù)。

36氪此前通過和「航行資本」等關(guān)注安全的業(yè)內(nèi)人士，以及「開源網(wǎng)安」等安全企業(yè)交流了解到，在中國促使該行業(yè)增長的原因可能有以下幾點(diǎn)：

• 首先是安全事件驅(qū)動下的意識提升。最近的例子是在實(shí)戰(zhàn)攻防演練中，許多系統(tǒng)顯露出薄弱性，從代碼層保證軟件安全是一種解決方式；

• 第二，以往一些在國內(nèi)普及的軟件安全開發(fā)產(chǎn)品有退出國內(nèi)市場趨勢，這會給國內(nèi)公司更多空間；

• 第三，現(xiàn)在大型基礎(chǔ)軟件的自主開發(fā)正在進(jìn)程中，這其中也會產(chǎn)生新的開發(fā)安全需求。

不過獨(dú)立安全公司需要面對的挑戰(zhàn)也不得不提。首先，僅僅提供單品類產(chǎn)品是不夠的，客戶的高階需求是對軟件開發(fā)的全生命周期進(jìn)行管理，建立可清晰度量的安全開發(fā)體系。所以對第三方廠商而言，當(dāng)前不僅需要提供產(chǎn)品，也需要提供可以將新、老產(chǎn)品集成起來的平臺，還需要提供服務(wù)甚至培訓(xùn)。當(dāng)前也有一些廠商針對此訴求提供全方位的方案。

另外在客戶端，一些技術(shù)實(shí)力較強(qiáng)的公司會采取自主研發(fā)的手段。比如大型互聯(lián)網(wǎng)公司乃至云廠商會自主研發(fā)工具解決內(nèi)生需求，并盡可能提供給自己的客戶。在這種情況下，安全公司需要根據(jù)此類客戶自身的情況，為其補(bǔ)足能力。整體來看，目前聚焦于此的公司，客戶主要分布在金融、能源、政府等領(lǐng)域，如果客戶對此類產(chǎn)品較熟悉，那么企業(yè)可提供輕量服務(wù)。但如果客戶需要較全面的貼身服務(wù)，則如何通過提升產(chǎn)品力降低人力成本，也成為廠商的挑戰(zhàn)之一。

四、參與者概覽

當(dāng)前我們關(guān)注到國內(nèi)在此領(lǐng)域的創(chuàng)業(yè)公司有十余家，在此將它們的業(yè)務(wù)概況稍作展示（排名不分先后）。

懸鏡安全

懸鏡安全由北京大學(xué)網(wǎng)絡(luò)安全技術(shù)研究團(tuán)隊“XMIRROR”主導(dǎo)創(chuàng)立。成立于2014年9月，專注DevSecOps軟件供應(yīng)鏈持續(xù)威脅一體化檢測防御，旗下原創(chuàng)懸鏡DevSecOps智適應(yīng)威脅管理體系主要覆蓋從威脅建模、威脅發(fā)現(xiàn)、威脅模擬到檢測響應(yīng)等關(guān)鍵環(huán)節(jié)的開發(fā)運(yùn)營一體化敏捷安全產(chǎn)品及以實(shí)戰(zhàn)攻防對抗為特色的政企安全服務(wù)。

默安科技

默安科技成立于2016年，是一家云計算時代的新興網(wǎng)絡(luò)安全公司。公司推出貫穿完整業(yè)務(wù)生命周期的左移開發(fā)安全DevSecOps與智慧運(yùn)營安全AISecOps的下一代企業(yè)安全體系。據(jù)介紹，公司落地了欺騙防御理念，推出“平臺 工具 服務(wù)”的全流程安全開發(fā)方案以及集南北向和東西向流量監(jiān)測于一體的云平臺運(yùn)營安全解決方案，希望幫助客戶實(shí)現(xiàn)安全業(yè)務(wù)的前置化、體系化、實(shí)戰(zhàn)化、精準(zhǔn)化與智能化。

開源網(wǎng)安

開源網(wǎng)安成立于2013年，致力于讓企業(yè)交付更安全的軟件，為軟件安全開發(fā)提供全方位的服務(wù)，包括咨詢、培訓(xùn)、解決方案、專業(yè)工具及安全服務(wù)等。公司當(dāng)前為客戶提供軟件安全開發(fā)生命周期 (S-SDLC?) 解決方案、DevSecOps?解決方案、擁有“自主知識產(chǎn)權(quán)”的軟件安全開發(fā)工具鏈（IAST、SAST、SCA、FUZZ、RASP?）和軟件安全開發(fā)人才培養(yǎng)課程體系CWASP?。

酷德啄木鳥

酷德啄木鳥成立于2014年，是一家專注軟件源代碼信息安全業(yè)務(wù)的科技企業(yè)。據(jù)公司介紹，其自主研發(fā)的CodePecker源代碼缺陷分析系統(tǒng)，為國內(nèi)第一款完全自主知識產(chǎn)權(quán)的商用源代碼檢測產(chǎn)品。

孝道科技

杭州孝道科技成立于2014年，公司專注為用戶提供DevSecOps與下一代應(yīng)用安全解決方案。產(chǎn)品包括IAST、ASTP、代碼安全合規(guī)檢測系統(tǒng)、移動應(yīng)用安全測試系統(tǒng)、綜合漏掃與安全合規(guī)檢測系統(tǒng)。

海云安

海云安成立于2015年，致力于“可信應(yīng)用，主動防御”系列應(yīng)用安全產(chǎn)品研發(fā)推廣。

其產(chǎn)品分為有四類，首先移動應(yīng)用安全檢測產(chǎn)品，以及安全加固和監(jiān)管系列產(chǎn)品；第二源碼安全分析平臺和白盒、灰盒、黑盒安全產(chǎn)品；第三面向安全管理中心，研發(fā)的主動安全防御系統(tǒng)和可信應(yīng)用安全產(chǎn)品；第四應(yīng)用級系統(tǒng)災(zāi)備方案。

愛加密

愛加密成立于2013年，目前擁有移動安全咨詢、移動安全培訓(xùn)、移動安全檢測、移動安全加固、移動安全感知、移動安全管理等產(chǎn)品體系，可為用戶提供基于企業(yè)移動信息安全的一體化綜合解決方案。這些解決方案貫穿了應(yīng)用設(shè)計評估、安全開發(fā)測試、應(yīng)用優(yōu)化、應(yīng)用安全發(fā)布及應(yīng)用上線運(yùn)營階段的整個生命周期。

棱鏡七彩

棱鏡七彩成立于2016年。據(jù)介紹，公司建立了國內(nèi)首家全球開源項(xiàng)目知識庫（近1000萬個項(xiàng)目，100TB 容量數(shù)據(jù)），可檢測出軟件源代碼構(gòu)成、來源、漏洞、自主率、安全協(xié)議等信息，提供軟件信息安全、科技含量與工作量信息及知識產(chǎn)權(quán)評估評測。

中科天齊

中科天齊是中科院計算技術(shù)研究所軟件安全領(lǐng)域的產(chǎn)業(yè)化平臺。公司以軟件源代碼漏洞檢測安全智能診斷工具（Wukong）作為核心產(chǎn)品，希望提供覆蓋不同開發(fā)語言的漏洞檢測技術(shù)能力，幫助軟件提升安全能力。為國內(nèi)外政府、金融、電信、科技等行業(yè)客戶提供專業(yè)全面的軟件源代碼漏洞檢測解決方案，幫助客戶在軟件開發(fā)過程中查找、識別、追蹤絕大部分主流編碼中的技術(shù)漏洞和邏輯漏洞，幫助客戶以低成本控制應(yīng)用程序安全風(fēng)險。

庫博

北大軟件CoBOT（庫博）團(tuán)隊由北京大學(xué)軟件工程國家工程研究中心提供研發(fā)力量，北京北大軟件工程股份有限公司提供商業(yè)化運(yùn)作模式，目的是共同將CoBOT推向更廣的市場。公司介紹，目前CoBOT是中國唯一一個通過美國CWE認(rèn)證的安全產(chǎn)品，技術(shù)上屬于國內(nèi)領(lǐng)先、國際先進(jìn)水平并且程序分析也屬于軟件工程領(lǐng)域最具技術(shù)含量的領(lǐng)域之一。

九州安域

九州安域是網(wǎng)絡(luò)安全產(chǎn)品及解決方案提供商，其目標(biāo)是為客戶構(gòu)建安全、穩(wěn)定、可持續(xù)發(fā)展的業(yè)務(wù)系統(tǒng)。提供業(yè)務(wù)系統(tǒng)端到端安全，在業(yè)務(wù)系統(tǒng)設(shè)計、開發(fā)、測試、運(yùn)維的全生命周期提供安全咨詢、代碼安全、安全測試、安全評估、滲透測試等服務(wù)。

中科微瀾

中科微瀾科技有限公司是由中國科學(xué)院軟件研究所入股成立的高科技型信息安全企業(yè)。其擁有安全漏洞管理與分析解決方案，通過智能漏洞管理引擎幫助客戶了解自身主機(jī)安全環(huán)境、源代碼安全狀況及知識產(chǎn)權(quán)許可證的合規(guī)性情況。據(jù)公司介紹，其深耕人工智能技術(shù)，研制出獨(dú)特領(lǐng)先的漏洞挖掘技術(shù)，使得軟件開發(fā)人員、軟件經(jīng)銷商、系統(tǒng)集成商和安全測試機(jī)構(gòu)可以很輕松的在軟件開發(fā)中、軟件交付前、主機(jī)運(yùn)行時環(huán)境等各階段中采取合適的預(yù)防措施。

鑒釋

鑒釋成立于2018年，其研發(fā)的「愛科識」是基于靜態(tài)代碼掃描（SAST）的下一代源代碼分析工具。它使用深層的編譯器級別技術(shù)來檢查數(shù)據(jù)流，分析軟件應(yīng)用程序，從而提高了缺陷檢測的準(zhǔn)確性。其可在軟件開發(fā)生命周期（SDLC）的早期識別代碼缺陷。

熠勢

上海熠勢信息技術(shù)有限公司是一家從事軟件應(yīng)用安全行業(yè)的公司，產(chǎn)品和方案可以覆蓋軟件開發(fā)的整個流程，致力于將安全性集成到軟件開發(fā)生命周期（SDLC）中。公司希望和客戶一起，在軟件開發(fā)生命周期（SDLC）早期采用DevOps，縮短反饋回路并且降低復(fù)雜性，從而使工程師能夠更快、更輕松地檢測和修復(fù)安全性和合規(guī)性問題，快速向DevSecOps 邁進(jìn)。目前公司業(yè)務(wù)范圍覆蓋金融，汽車，IT/互聯(lián)網(wǎng)等多個行業(yè)。

————————————————

相關(guān)閱讀：

被攪動的萬億5G市場：億級用戶的連接重構(gòu)與產(chǎn)業(yè)互聯(lián)網(wǎng)的誕生｜年度行業(yè)研究

全球量子競賽再加速：百億美元市場背后，角力量子霸權(quán) | 年度行業(yè)研究

36氪新風(fēng)向 | 大廠緊抓不放，創(chuàng)業(yè)者紛紛入局，「云原生」到底有什么魔力？