检测开源代码安全漏洞，Snyk获2200万美元B轮融资

开源软件现在是一个价值140多亿美元的市场，而且增长迅速，95％的企业都在以这种或那种方式使用。但这种扩张伴随着一个阴影：开源组件可能存在漏洞，因此它们在应用中的广泛使用成为公司网络安全的负担。

现在，英国一家名为Snyk的初创公司已经建立了一种方法来检测这些应用或组件何时遭到入侵。该创企宣布获得了2200万美元的融资，以满足那些希望解决问题的企业需求。

此轮融资由Accel所领投，GV以及之前的投资者Boldstart Ventures和Heavybit跟投。此次B轮融资是Snyk在七个月内进行的第二轮融资，它在3月份进行了700万美元的A轮融资。这反映了该公司增长方式的衡量标准（以及投资者对目前公司业绩的热情程度）。该创企并没有披露其估值，但了解该交易的消息人士表示，其估值约为1亿美元（迄今已获得了约3300万美元融资）。

作为Snyk增长的另一个衡量标准，该公司表示，它现在拥有超过200个付费客户和15万用户，在过去九个月中，收入增长了五倍。3月份时，它拥有130个付费客户。

（该公司表示，目前的客户包括ASOS、Digital Ocea、New Relic和Skyscanner。）

Snyk在当今企业服务的格局中一直保持着中立。它为组织提供了在本地、通过云或两者混合版本的选项，以及一系列付费和免费层级，以使用户熟悉该服务。

该公司首席执行官Guy Podjarny与Assaf Hefetz和Danny Grander共同创立了Snyk。他解释说，Snyk分两部分工作。第一部分，该初创公司已经构建了一个“监听开源活动”的威胁情报系统。利用开放式对话平台——例如，GitHub提交和论坛聊天——Snyk使用机器学习来检测潜在的漏洞提及。然后，它将这些内容汇集到一个人工分析师团队中，“他们是在我们的漏洞数据库中验证和解决漏洞的人员。”

第二部分，该公司分析源代码存储库——再次包括GitHub和BitBucket——“以了解每个人使用哪些开源组件，标记易受攻击的组件，然后通过提出正确的依赖关系版本，使用我们的安全团队构建的补丁，来自动修复它们。”

他补充说，开源组件并没有比闭源组件拥有更多的漏洞，“但是它们的大量使用使这些漏洞更具影响力。”组件可以在数千个应用中使用，而根据Snyk的估计，大约77％的应用最终会出现具有安全漏洞的组件。 “因此，通过易受攻击的开源组件破坏组织的可能性远远大于其代码中的安全漏洞。”

Podjarny表示，该计划不是为了长期解决专有代码问题，而是扩展监控开源构建应用的方式。

“我们的重点是两个方面——构建开发人员喜爱的安全工具，并解决开源安全性，”他说。“我们认为开源代码的不安全使用所带来的风险远大于代码本身，这一问题在业界并没有得到很好的解决。我们的目的是扩大我们的保护范围，从修复开源组件中的已知漏洞，到在运行时监控和保护它们，标记并包含恶意和受损组件。”

虽然这是安全团队监控和解决的一个相对较新的领域，但他补充说，如果这些问题未被发现，那么Equifax漏洞事件就突显了在最坏情况下可能发生的情况。Snyk并不是唯一一家发现市场缺口的公司。Black Duck专注于标记不合规的开源许可证，并提供一些安全功能。

然而，Snyk似乎是目前最受关注的。

“近年来一些最大的数据泄露事件是开源依赖项中未修复漏洞的结果；因此，我们已经看到采用监控和修复此类漏洞的工具呈指数级增长，”Accel的合伙人Philippe Botteri表示。Botteri也在此次融资中加入了董事会。“我们还看到应用安全的所有权转向了开发人员。鉴于团队深入的安全领域知识和以开发人员为中心的思维方式，我们认为Snyk在市场中具有独特的优势。我们也很高兴能够加入他们，为开发人员带来安全工具。”

声明：本文来自猎云网，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。