36氪獲悉，安全玻璃盒（「孝道科技」）已于近日宣布完成數(shù)千萬(wàn)元的首輪融資。本輪融資由國(guó)內(nèi)安全上市公司杭州安恒信息股份有限公司（簡(jiǎn)稱「安恒信息」股票代碼：688023）主投。

孝道科技成立于2014年，專注為用戶提供DevSecOps與數(shù)字化軟件安全解決方案。關(guān)于DevSecOps，36氪曾做過(guò)介紹，它是DevOps的衍生概念，即將安全（security）嵌入DevOps流程中。其核心為安全前置，強(qiáng)調(diào)安全需要貫穿從開(kāi)發(fā)到運(yùn)營(yíng)整個(gè)軟件生命周期的每個(gè)關(guān)鍵環(huán)節(jié)。

DevSecOps自2012年由Gartner提出后，正逐步吸引業(yè)界的目光。國(guó)外的一個(gè)例子是，在被稱作“全球網(wǎng)絡(luò)安全風(fēng)向標(biāo)”的RSA大會(huì)上，2020年的10強(qiáng)中有三家企業(yè)和DevSecOps相關(guān)。而在國(guó)內(nèi)，圍繞DevSecOps的討論也在增多，當(dāng)前已經(jīng)出現(xiàn)二十家左右圍繞此理念創(chuàng)業(yè)的安全公司，大多數(shù)聚焦開(kāi)發(fā)安全及其工具鏈層面。

整體來(lái)看，DevSecOps在敏捷的前提下誕生，最終目的仍是保障應(yīng)用的可靠。要達(dá)成這一目的既需要體系的規(guī)范化，也需要工具的支持——在體系上，要通過(guò)流程的設(shè)計(jì)、項(xiàng)目的管理明確責(zé)任，將安全前置；在工具上則圍繞軟件全生命周期的安全，從代碼層面保證軟件質(zhì)量。二者是互為支撐的關(guān)系。

當(dāng)前，業(yè)內(nèi)提及較多的相關(guān)工具類型包括靜態(tài)應(yīng)用程序安全測(cè)試（SAST）、動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST)、交互式應(yīng)用程序安全測(cè)試（IAST），軟件組成分析（SCA）、運(yùn)行時(shí)應(yīng)用自保護(hù)（RASP）以及模糊測(cè)試（Fuzzing）等。靜態(tài)、動(dòng)態(tài)、交互應(yīng)用程序安全測(cè)試產(chǎn)品，以及軟件組成分析和模糊測(cè)試都可以讓軟件得以在上線前發(fā)現(xiàn)可能的安全風(fēng)險(xiǎn)，達(dá)成安全前置的目的。運(yùn)行時(shí)應(yīng)用自保護(hù)，是在軟件上線后實(shí)時(shí)保證軟件安全。

目前，應(yīng)用程序的安全測(cè)試工具市場(chǎng)已經(jīng)比較成熟，也出現(xiàn)了多種技術(shù)分支。不過(guò)，靜態(tài)應(yīng)用程序安全測(cè)試（SAST)、動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST)、交互式應(yīng)用程序安全測(cè)試（IAST)，雖然名稱類似、目的一致，卻也不是完全互相取代的關(guān)系。三種不同的技術(shù)路線，也意味著這三類產(chǎn)品在效果以及適用場(chǎng)景上都存在差異。

業(yè)內(nèi)人士提及較多的效果差異如下：DAST準(zhǔn)確率高，但無(wú)法訪問(wèn)代碼細(xì)節(jié)，漏報(bào)率較高。SAST對(duì)應(yīng)用程序的源代碼或二進(jìn)制文件進(jìn)行分析，這種方式相比前者更全面，但代碼在被檢測(cè)時(shí)并沒(méi)有運(yùn)行，所以誤報(bào)率較高。IAST的方式，基本不會(huì)出現(xiàn)誤報(bào)，精度非常高，但目前對(duì)開(kāi)發(fā)語(yǔ)言的覆蓋并不全面?？偨Y(jié)而言，三類產(chǎn)品各有利弊，或許將各類產(chǎn)品放在合適場(chǎng)景下進(jìn)行結(jié)合，能夠更全面地滿足軟件開(kāi)發(fā)的安全需求。

據(jù)了解，孝道科技的主要產(chǎn)品包括基于AI智能動(dòng)態(tài)檢測(cè)防護(hù)技術(shù)的自鑒系列-交互式應(yīng)用安全測(cè)試系統(tǒng)IAST、自鑒系列-開(kāi)源組件安全分析系統(tǒng)SCA、自御系列-數(shù)字化應(yīng)用軟件安全平臺(tái)ASTP等開(kāi)發(fā)安全與軟件供應(yīng)鏈開(kāi)發(fā)安全系列工具。公司表示，其希望通過(guò)這些工具幫助客戶從安全源頭解決安全風(fēng)險(xiǎn)，以保障數(shù)字應(yīng)用上線前的安全性，避免應(yīng)用帶病運(yùn)行，讓?xiě)?yīng)用自身具備抵抗力和抗攻擊能力。

公司表示，其目前已為金融、政府、企業(yè)、醫(yī)療、教育等行業(yè)提供了DevSecOps安全解決方案并得到市場(chǎng)認(rèn)可。在金融方向，其客戶包括中國(guó)人民銀行杭州中心支行、杭州銀行等，其他方向客戶包括農(nóng)夫山泉、九陽(yáng)、杭州市勘探設(shè)計(jì)研究院等。

本輪融資后，公司將把資金將用于DevSecOps、軟件供應(yīng)鏈安全及云原生應(yīng)用安全保護(hù)平臺(tái)的技術(shù)研究、產(chǎn)品開(kāi)發(fā)與升級(jí)。