喜闻蜚语获得数千万元Pre-A+轮融资

当朋友分享给我关于蜚语获得数千万元Pre-A+轮融资的消息时,我顿感这是对静态分析领域的一剂强心剂。尽管这次Pre-A+轮融资的金额并不算太多,但它标志着投资机构和市场对静态分析市场的持续看好。在这个大环境并不太乐观的时刻,这个消息给我们注入了新的希望。更为重要的是,这不仅仅是对静态分析市场的鼓舞,也为应用安全市场以及整个信息安全行业注入了一针强心剂。
我在静态分析领域工作已经有6年的时间,经历了不同公司的不同岗位,接触了不同行业的客户,并使用和分析每家公司的SAST产品。这个领域让我学到了很多,当我担任产品负责人时,我想打造一款优秀的SAST产品;当我担任售前负责人时,我希望我们的产品能够销售给每一位客户。然而,SAST类产品是一个技术门槛高、投入资源多、周期长的产品研发过程。厂商需要有足够的耐心,为产品提供时间和资源,并找到正确的方向,才能打造出一款优秀的产品。
回顾Gartner上第一象限中几款优秀的SAST产品厂家,如Coverity、Checkmarx、Fortify等,每一款都经历了多年的发展,得到市场的认可。国内SAST市场有10多家,大多数产品面向所有行业,定位是面向全行业销售。而面向特定行业和领域的产品需要在产品定位、支持开发语言、引擎算法和优化等方面采取不同的策略。蜚语通过ISO 26262、IEC 61508认证,主要定位在泛交通领域,这包括汽车制造业。获得这两个认证对于进军这个领域是非常有必要的,这一认证我在2019年在北大库博工作期间曾主导通过该认证。对于一款SAST工具来说,国际、国家、行业标准的依从性非常重要。
此外,蜚语在引擎上力求多种算法的结合,包括符号执行、函数摘要、污点分析、路径可达性分析、数据流分析等传统的静态分析技术。而在采用大语言模型和AI技术方面表现出色。最近我在研究AI,发现AI大语言模型在代码分析上已经达到了令人惊讶的程度,可以帮助我们对源代码进行更深入的分析,弥补和校验静态分析的结果。AI工具提供的文字性描述往往比一般的静态分析工具更详细,超越了规范格式描述的局限性。而蜚语的AI技术在代码分析上的运用,无疑为产品的功能增强提供了很多可能性。
随着AI技术的不断成熟,安全产品结合AI技术增强功能,甚至基于AI研发新产品将成为未来的趋势。我最近正专注于在AI上进行威胁建模的研究,利用多个AI框架和模型,搭建本地运行环境,运行模型,生成训练数据模型的txt文件,生成instruction、input和output格式的json文件,用于微调模型。目前正在研发通过代码自动生成instruction中的问题。在这个过程中,我发现AI生成程序代码的功能虽然强大,但仍需要人工的后期编辑。AI模型目前还不能处理比较长的文件,期待基于ChatGpt、文心一言、千问等AI平台推出真正商用的工具平台。
总的来说,蜚语获得融资的消息表明投资机构继续看好应用安全领域。在这个内卷的市场环境下,希望各位厂家能够继续深耕这个领域,国内的SAST市场仍需努力,只有做出让客户满意的产品,企业才能真正具有竞争力。

(结束)

你可能感兴趣的:(人工智能,大数据,SAST)