36氪獲悉，安全玻璃盒（「孝道科技」）已于近日宣布完成數(shù)千萬元的首輪融資。本輪融資由國內(nèi)安全上市公司杭州安恒信息股份有限公司（簡稱「安恒信息」股票代碼：688023）主投。

孝道科技成立于2014年，專注為用戶提供DevSecOps與數(shù)字化軟件安全解決方案。關(guān)于DevSecOps，36氪曾做過介紹，它是DevOps的衍生概念，即將安全（security）嵌入DevOps流程中。其核心為安全前置，強調(diào)安全需要貫穿從開發(fā)到運營整個軟件生命周期的每個關(guān)鍵環(huán)節(jié)。

DevSecOps自2012年由Gartner提出后，正逐步吸引業(yè)界的目光。國外的一個例子是，在被稱作“全球網(wǎng)絡(luò)安全風(fēng)向標”的RSA大會上，2020年的10強中有三家企業(yè)和DevSecOps相關(guān)。而在國內(nèi)，圍繞DevSecOps的討論也在增多，當前已經(jīng)出現(xiàn)二十家左右圍繞此理念創(chuàng)業(yè)的安全公司，大多數(shù)聚焦開發(fā)安全及其工具鏈層面。

整體來看，DevSecOps在敏捷的前提下誕生，最終目的仍是保障應(yīng)用的可靠。要達成這一目的既需要體系的規(guī)范化，也需要工具的支持——在體系上，要通過流程的設(shè)計、項目的管理明確責任，將安全前置；在工具上則圍繞軟件全生命周期的安全，從代碼層面保證軟件質(zhì)量。二者是互為支撐的關(guān)系。

當前，業(yè)內(nèi)提及較多的相關(guān)工具類型包括靜態(tài)應(yīng)用程序安全測試（SAST）、動態(tài)應(yīng)用程序安全測試（DAST)、交互式應(yīng)用程序安全測試（IAST），軟件組成分析（SCA）、運行時應(yīng)用自保護（RASP）以及模糊測試（Fuzzing）等。靜態(tài)、動態(tài)、交互應(yīng)用程序安全測試產(chǎn)品，以及軟件組成分析和模糊測試都可以讓軟件得以在上線前發(fā)現(xiàn)可能的安全風(fēng)險，達成安全前置的目的。運行時應(yīng)用自保護，是在軟件上線后實時保證軟件安全。

目前，應(yīng)用程序的安全測試工具市場已經(jīng)比較成熟，也出現(xiàn)了多種技術(shù)分支。不過，靜態(tài)應(yīng)用程序安全測試（SAST)、動態(tài)應(yīng)用程序安全測試（DAST)、交互式應(yīng)用程序安全測試（IAST)，雖然名稱類似、目的一致，卻也不是完全互相取代的關(guān)系。三種不同的技術(shù)路線，也意味著這三類產(chǎn)品在效果以及適用場景上都存在差異。

業(yè)內(nèi)人士提及較多的效果差異如下：DAST準確率高，但無法訪問代碼細節(jié)，漏報率較高。SAST對應(yīng)用程序的源代碼或二進制文件進行分析，這種方式相比前者更全面，但代碼在被檢測時并沒有運行，所以誤報率較高。IAST的方式，基本不會出現(xiàn)誤報，精度非常高，但目前對開發(fā)語言的覆蓋并不全面。總結(jié)而言，三類產(chǎn)品各有利弊，或許將各類產(chǎn)品放在合適場景下進行結(jié)合，能夠更全面地滿足軟件開發(fā)的安全需求。

據(jù)了解，孝道科技的主要產(chǎn)品包括基于AI智能動態(tài)檢測防護技術(shù)的自鑒系列-交互式應(yīng)用安全測試系統(tǒng)IAST、自鑒系列-開源組件安全分析系統(tǒng)SCA、自御系列-數(shù)字化應(yīng)用軟件安全平臺ASTP等開發(fā)安全與軟件供應(yīng)鏈開發(fā)安全系列工具。公司表示，其希望通過這些工具幫助客戶從安全源頭解決安全風(fēng)險，以保障數(shù)字應(yīng)用上線前的安全性，避免應(yīng)用帶病運行，讓應(yīng)用自身具備抵抗力和抗攻擊能力。

公司表示，其目前已為金融、政府、企業(yè)、醫(yī)療、教育等行業(yè)提供了DevSecOps安全解決方案并得到市場認可。在金融方向，其客戶包括中國人民銀行杭州中心支行、杭州銀行等，其他方向客戶包括農(nóng)夫山泉、九陽、杭州市勘探設(shè)計研究院等。

本輪融資后，公司將把資金將用于DevSecOps、軟件供應(yīng)鏈安全及云原生應(yīng)用安全保護平臺的技術(shù)研究、產(chǎn)品開發(fā)與升級。