Snyk:比Datadog更進一步的代碼安全衛士 估值85億美金
Snyk 是 Dev-first Security (开發者優先的安全應用)的开創者和布道者,創造了第一個真正面向开發者的應用安全工具,憑借史上最完備的商用代碼漏洞數據庫,和快於其他代碼分析技術 10~50 倍的掃描速度,真正賦能了开發者對安全問題的實時監測和自我反饋。
在 Snyk 出現之前,代碼安全問題由安全團隊負責,編寫代碼和維護代碼、安全測試、事故解決的鏈條是嚴重割裂的。而隨着現代开發需求的數量、速度、復雜程度的陡升,科技企業意識到不能再後驗地進行“安全審計”,而要把安全問題的主導權交給开發者,打贏大代碼時代的科技战。
Snyk 以對代碼漏洞的理解深度著稱,其獨特的“安全智能”工具幫助开發者們持續監測可能發生的漏洞,並不斷自動化安全性能升級。Snyk 幫助开發者們在开發生命周期中一以貫之地查找、修復和監測代碼的脆弱性,讓开發者更好地應對紛繁復雜的微服務、API,以及日益增長的復雜性。
Snyk 在开發者圈飽受好評,也收獲了許多重要客戶,包括 Google, Salesforce, Revolut, MongoDB 等,目前已經被兩百多萬开發者使用,擁有1200多家科技公司客戶。
公司於今年 9 月初獲得了 Tiger, BlackRock, Temasek 以及 Accel 的 F 輪,不到一個月內,Salesforce 和 Atlassian 又追加了 7500 萬美金,F 輪總融資金額超過 6 億美金,公司估值達到了 85 億美金。
從开源安全起家,慢慢拓展到雲原生應用安全的方方面面, Snyk 對容器化、基礎設施即代碼等新趨勢的布局相當迅速。同時 Snyk 還在穩固大本營的路上,今年連續收購了 FossID, CloudSkiff 兩家开創性的开源安全公司。我們既期待 Snyk 在所擅長領域的縱深,又對其不斷拓寬雲原生應用安全的邊界充滿想象。
以下為本文目錄,
建議結合要點進行針對性閱讀。
01. 背景:开發復雜性陡升和开發者崛起
網絡安全“新元年”下的大變遷
开發者及其生產工具的崛起
02. 創始心路:以开發者優先為北極星
03. 產品發展:向雲原生應用安全出發
強大的漏洞庫和 Peace-of-mind 的自動修復
收購 DeepCode:AI-driven 更快更精確的 SAST 方案
容器化和基礎設施代碼化大趨勢
04. 客戶與競爭格局
05. 未來的三個命題
背景:开發復雜性陡升和开發者崛起
Snyk 是 2015 年誕生的,5 年內,Snyk 在开發者安全領域掀起了一場 Shift Left Movement,shift left 意思是把測試時間提前,在這裏意味着开發階段就引入安全檢查工作,確保代碼庫從一开始就以安全為目標進行設計,而不是流程結束時再檢查安全問題。
也就是說,Snyk 認為,代碼安全問題的主導權應該向鏈條上遊移動,並無縫整合進开發者的工作流當中,而這必然需要一定程度的自動化。那么 Snyk 能引領這場運動的大背景是什么?
網絡安全“新元年”下的大變遷
2020 年是網絡安全投資創紀錄的一年,全球的投資額超過 78 億美元,2021 年的投資記錄甚至更高。近兩年網絡安全領域的獨角獸將近 20 家,也是創記錄的成績。
2020 年 4 月,聯邦調查局網絡部門報告稱,由於黑客利用遠程工作的漏洞,每天的網絡安全投訴增加了四倍。網絡漏洞的成本相當高昂,無論是從解決問題的成本方面,還是從信任缺失後失去客戶的潛在成本方面。因此,科技公司對於網絡安全工具的支付意愿因此也是很強的。
根據 Gartner 的報告,到 2024 年,信息安全和風險管理市場的終端用戶支出預計將達到 2077 億美元。微軟今年 9 月宣布,將在未來五年內將其網絡安全上的投資翻四倍,達到 200 億美元。
為什么市場這么火?
Northzone 的 VC 投資人 Wendy Xiao Schadeck 在‘The Future Belongs to Devs’一文中很好地概括了當下軟件开發格局的幾大重要變遷,其中很重要的兩點是:
-
為了解耦代碼構建過程,降低开發門檻,單體應用程序被分解為了成百個微服務。這能夠增加敏捷性、降成本、提高效率,但也大大增加了 DevOps 的復雜性,以及新軟件和數據饋送出入口數量。進而增加安全風險。 Kong 在去年的一次調研顯示,84% 的大中型組織已經採用了微服務,且平均每個組織部署了 180 多個微服務。而安全性問題是使用微服務過程中的最大挑战。
隨着 API 的激增(一定程度上也是由於微服務和 GraphQL 的流行),有越來越多的構建單元供开發人員構建。在 API 集成的幾大挑战中,安全問題也在前列。
在這樣的背景下,Snyk 所做的,就是幫助开發者們在开發生命周期中一以貫之地查找、修復和監測代碼的脆弱性,讓开發者們更好應對紛繁復雜的微服務、API,以及日益增長的復雜性。
什么是脆弱性?就是在軟件和硬件組件中發現的計算邏輯(例如代碼)中的弱點,一旦被利用,會對機密性、完整性或可用性產生負面影響。在這種情況下,漏洞的緩解通常涉及編碼更改,但也可能包括規範更改甚至規範棄用(例如,完全刪除受影響的協議或功能)。
比如,JavaScript 的漏洞會使項目容易受到 Cross Site Scripting、Cross Site Request Forgery 等不同形式的攻擊。由於开源 JavaScript 項目近年來呈指數級增長,並且它們直接或間接地依賴於一些廣為使用的函式庫(如 lodash),導致 npm(全世界最大的 software registry)的漏洞單單在 2018 年一年就增長了 47%。
近日,被全球廣泛應用的組件 Apache Log4j 被曝出一個已存在在野利用的高危漏洞,攻擊者僅需一段代碼就可遠程控制受害者服務器。這一漏洞堪比“永恆之藍” ,已發現近萬次攻擊。
用一句話概括,現代軟件开發的復雜性帶來脆弱性,脆弱性中 Snyk 應運而生。
开發者及其生產工具的崛起
曾經,科技巨頭會給开發者們提供自研的生產工具,將其作為一種公共物品補貼給他們,甚至开發給其他中小科技公司免費使用,比如微軟的 Visual Studio Code。因此,开發者社群流通着很多免費工具,但產品體驗都很一般,更沒有向外界採購更優產品的自主權。風投之所以不愿投資开發者體驗 (DX) 領域,就是因為後發的這些开發者工具提供商很難跟巨頭的免費產品正面肉搏。
但开發者的地位今非昔比了,目前开發者群體的數量達到 2700萬人,比澳大利亞的人口還多,增長速度快於巴西的人口,並有望超過加拿大的人口。他們支撐着現代最重要的科技變遷,區塊鏈技術、雲原生、甚至低代碼、無代碼和創作者經濟,开發者們的作用是支柱性的。
於是,圍繞开發者為中心誕生了一批最有價值的科技公司:包括 Atlassian、MongoDB、Splunk、Datadog、Elastic、HashiCorp、和 Twilio 等上市公司,以及 Stripe、Auth0、Snyk 和 Unity 等獨角獸公司,都通過直接為开發人員構建(build with developers in mind)大獲成功。
效率工具越來越多的同時,开發團隊構建新功能、觸達消費者並不斷進行適應性調整的能力和速度,也在經受考驗。
一方面,隨着企業基礎設施轉向雲,流程轉向 DevOps,代碼的部署速度以及系統性能指標都成為开發者的職責。Datadog 就是通過幫助开發團隊直接監控整個堆棧的性能而成為獨角獸的,上市後已達到 560 億美金市值。Snyk 則是幫助开發人員在軟件开發生命周期(SDLC)中構建开源代碼安全性,讓其客戶從根本上解決問題,而不是依賴單獨的流程來查找和修復它們。
未來還會有更多業務指標可以直接集成到开發工作流程中,例如身份驗證和隱私(Magic.Link、Evervault、Metomic)和雲優化(Northflank、Env0、Cloudskiff)。
另一方面,隨着技術進一步從成本中心轉向利潤中心,开發者們作為天然的 power users,可以無限優化生產力。David Ulevich 曾在一次 a16z 的演講中高度概括了开發人員的典型工作方式,這些工作方式在帶來生產力的同時也隨之帶來了一些安全隱患:
這裏我們可以就其中“Don't Repeat yourself”舉一個很好理解的例子:
為了不重復耗力,开發者們往往去 git repository 和類似的代碼庫上找一些現成的包(微軟 CEO 在一次 Node 峯會上說過,常常會發現一個包裹中只有2%的代碼是开發者自己寫的,其他都是第三方代碼)。
就像建設大樓不需要從鋼筋水泥开始鑄起,而是可以採購已有的材料,這種上下遊的依賴關系在軟件行業被稱為“dependencies / 依賴項”。依賴項可以是企業維護的,也可以是個人維護的(比如 gRPC 是谷歌維護的,JavaScript 上很多都是個人开發者在維護)。之所以花這么多精力維護,是因為78% 的代碼脆弱性問題就來源於這一個個依賴項。這也是為什么开源安全問題被放在开發者安全的首要位置上。
現有對於這些依賴項的不確定性採取的緩解方案是什么樣的呢?就是开發者們必須謹慎科學地記錄日志以便日後鎖定出錯點,部署後一旦出現安全問題,得靠安全團隊找到出錯點再扔回給开發者修改,這裏的跨團隊溝通和反復是非常耗時的。更不用說,目前的安全工具都是為了安全團隊而非开發團隊而設計的,對开發者極其不友好。
Snyk 從建立伊始,就致力於將开源代碼診斷和修復完全自動化,減少團隊間反復的溝通摩擦,為开發者提供快捷、完備、Peace-of-mind 的安全解決方案。
創始心路:以开發者優先為北極星
Snyk 創始人 Guy Podjarny 曾是 Blaze.io 的聯合創始人,2012 年將其出售給了Akamai(一家內容傳遞網絡和雲服務提供商,世界上最大的分散式計算平臺之一,承擔了全球 15%~30% 的網絡流量)。
收購後,他成為 Akamai 網絡體驗業務的 CTO,直到 2015 年建立了 Snyk。聯創 Peter 有 20 多年安全領域的從業經驗,和創始人 Guy 是從 Watchfire (一家網絡應用漏洞評估和合規方案提供商,後來被 IBM 收購)就認識的 16 年老友。
BoldStart Ventures 的創始人 Ed Sim 在投資了 Guy 的第一個創業項目並成功退出後,也是 buy in 了代碼安全的市場,從最开始就是 Snyk 的忠實投資人。回看當初 A 輪投資 memo 的剪影,對比如今 Snyk 的估值,已經超越了其中任何一個市場規模的預期。
Snyk 幾乎是創造了“开發者優先安全工具”(dev-first security)這個市場,最初也受到了很多質疑。唱衰者們提出了开發者對安全問題的漠不關心、开發團隊和安全團隊之間的激勵和信任問題等等。
但是,'It takes time to build a movement',和任何消費者需求一樣,想建立起消費心智必須進行市場教育,早期Snyk也是花了大量的精力將开發者友好的安全工具的必要性根植進潛在用戶的大腦裏。
現如今的大代碼時代,隨着部署代碼的數量、速度和復雜性的陡升,科技企業們都認識到把代碼安全的探察點移到整個周期前端,將自主權交給开發者的重要性,並自覺加入了這場 Shift Left Movement. 正如 Guy 在這裏說的:
“整個雲原生運動意味着,开發者需要管理他們自己的雲基礎設施,並且需要被武裝上正確的安全工具。兩百多萬使用 Snyk 的开發者們,日益增長的 DevSecOps 運動,以及越來越多的嵌入开發平臺的安全功能模塊,都是這一論斷的最好證明。”
Snyk 這家公司把“开發者優先”刻在了自己的 DNA 裏,始終將开發者的體驗擺在第一位,創始人將其稱作是“Product North Star”。SNYK 這一縮寫,其實想表達的是“So Now You Know a lot more about your applications”,是創始人的美好期許。
在最初制定產品方案的時候,董事會上有過究竟是追求廣還是追求精的爭論。Snyk 的競爭者 Sourceclear 選擇了前者,在產品推出之初就支持 8 種計算機語言的整合,但在每種語言的語法範式上都認識粗淺,也沒有真正整合進开發者們的工作流當中,導致反響平平、出現了很多 fire sales(2018 年 Sourceclear 被 CA Technologies 收購,具體數額雖未披露但內部人士表示收購價格並不高)。
相反,Snyk 在最初只支持一種語言JavaScript,但是做得很深入,不僅幫开發者找出漏洞,還提出建設性的修補意見,從而贏得了开發者的喜愛。
Snyk 在公司早期沒有一味地追求“支持多種語言”來討好客戶,但卻在一個方面不斷沉潛,在开發者社區中獲得了很高的評價。這種“82 原則“為 Snyk 打下了很好的產品基礎。Snyk 很在乎开發者社群的建設,他們有自己的Snyk社區私域,买下了 DevSec Conference 進行知識傳播,還會做一些开發者調研進行聆聽來啓發功能拓展的方向等等。這種基於群衆的產品營銷策略是現在 SaaS 界奉行的產品驅動增長(PLG)的靈魂所在。
在 2020 年的五周年回顧上,當創始人 Guy 提起 Snyk 做對的五件事時,其中一個就是“Don't go enterprise too early”:當社群建構起來,越來越多的企業自然會主動尋求合作,到時再根據企業的需求提供本地化服務,或者支持多種語言(目前 Snyk 已做到 11 種語言的整合),也為時不晚。
Snyk 較早時期某個企業客戶,ARR 在兩年間從 4 萬美元擴張到了7位數。聯創兼 CEO Peter Mckay 也在一次採訪中透露,目前 Snyk 60-70%的客戶是 inbound 的,復購率達到了 95%。
有趣的是,公司的兩位創始人 Peter 和 Guy 分別來自美國和以色列,是去年網絡安全領域的頭兩大熱點區域。他們 的相識是在 2007年,Guy 在一家以色列开網頁應用防火牆和網頁安全掃描之先河的公司 Sanctum 做軟件工程師,被 Peter 時任 CEO 的 Watchfire 收購之後,擔任起了首席架構師。
後來在 2010 年幾乎同時,Guy 創立了 Blaze.io,而 Peter 創立起了 Desktone(後來被 VMware 收購),兩人各自沿着網絡安全領域建樹,經歷了 Web 1.0、2.0 時代,又在 3.0 時代聚首塑造這個時代需要的安全工具,可謂是將使命一以貫之了。
產品發展:向雲原生應用安全出發
好的創始人並不是從最开始就懷着百億美元的野望建立一家公司的,他們總是從某一個他們認為亟待解決的問題切入,並帶來獨特的技術洞察力,以 10-100 倍的精神不斷迭代那個解決方案。Snyk 的差異點就在於:真正的开發者友好,修復漏洞的語境化和自動化,以及代碼安全的深度。
Snyk 從最擅長的开源安全切入:开源安全背後的軟件組成分析(SCA)可以幫助开發者們快速跟蹤和分析“开源引入項”,包括所有相關組件、它們的支持庫以及直接和間接依賴項;還可以檢測軟件許可證、棄用的依賴項以及漏洞和潛在威脅,檢測完成後會生成項目軟件資產的完整物料清單 (BOM)。
過去幾年中开源代碼使用率的大幅提升使得 SCA 成為應用程序安全測試 (AST) 的關鍵支柱。應用程序安全測試是一個更廣泛的概念,除了 SCA 以外主要包括了靜態 AST (SAST) , 動態 AST (DAST) 和交互式 AST (IAST) 三大技術。
Snyk 通過收購 DeepCode 進入了 AST 領域,並將範圍從代碼文件中开源部分的安全,拓展到了整個雲原生 AST 領域:企業的數據中心甚至基礎設施移到雲端後,其復雜程度也是爆炸式增長的,尤其是“API 化”之後,开發者手上的安全大任變得更加多層次。
於是 Snyk 开始增加產品的延展性,從源代碼管理(如 git repo),IDE 插件,到持續集成和持續开發管道(CI/CD pipelines),從容器化 registry 的 Docker Hub 和 Kubernetes, 到更“未來”的軟件生成物 registry,以及 Terraform 下的基礎設施即代碼(Infra as a Code),甚至無服務器(serverless)。
Snyk 目前有 Snyk Open Source, Snyk Container, Snyk Code 和 Snyk Infrastructure as Code 四大功能模塊,分別是為企業开源代碼、容器化項目、應用軟件和基礎設施代碼的安全問題提供的安全工具。
強大的漏洞庫和 Peace-of-mind 的自動修復
第一個功能模塊是 Snyk Open Source,用於測試开源安全。
开源安全的重要性是不言而喻的。96% 的應用程序含有开源代碼,而隨着开發者們拉取越來越多的开源依賴,其脆弱性在過去的兩年間上升了兩倍,而且往往盤根錯節極為復雜。就像病毒軟件會掃描設備並找出威脅一樣,Snyk 的產品會掃描源代碼並進行漏洞報警,之後將漏洞的嚴重性進行詳細的描述和分類並提供一鍵修復方案。
其工作原理很簡單:首先,Snyk 通過完整的 dependencies tree(依賴項的系譜) 把脆弱點和許可問題的源頭路徑給語境化和具象化,從而為开發者們帶來更深的洞察;
接着,Snyk 會自動觸發最利於漏洞修補的 Pull Request,進行一定規模內的安全性能升級,或者通過專有的精確性補丁(Precision Patches)的形式減少變動;
最後,Snyk 還會持續監測可能發生的脆弱點,不斷自動化安全性能升級的流程。這有賴於 Snyk Intel,一個自研的代碼漏洞數據庫,這個數據庫的覆蓋範圍比第二大公开商用數據庫大將近4倍,靠的就是 Snyk 的研究團隊進行人工搜尋、分析和准確性測量後收錄進數據庫;Snyk 還會和客戶進行數據庫上的合作,秉持着人人為我、我為人人的原則,把這個數據庫做得越來越周全,達到競爭者難以企及的代碼安全深度。
目前,國家漏洞數據庫(National Vulnerability Database, NVD)中92%的 Javascript 漏洞會首先添加到 Snyk 的數據庫,所以 Snyk 數據庫的漏洞識別整體比第二大公开商用數據庫快 25天。這就是 Snyk 強大的護城河和壁壘。
最初,Snyk 針對开源項目的服務是完全免費的, 包括針對开源漏洞的無限次測試和修復。現在的 free plan 限制了測試運行的數量,參與收費計劃才對 Open Source 和 Container 兩個模塊开放無限次安全測試,像傳統 SaaS 一樣採取基於开發者數量的不同收費層級。
收購 DeepCode:
AI-driven 更快更精確的 SAST 方案
Snyk 通過收購 DeepCode 進入了應用程序安全測試(AST)領域,更准確說是靜態 AST 這個子方向。將 Snyk 的超全數據可和 DeepCode 的 AI 技術結合,就誕生了 Snyk Code 這個新功能模塊。
DeepCode 是蘇黎世聯邦理工學院的研究成果(後來分拆出來),一直專注於應用 AI 來幫助开發者在編寫代碼時實時提高應用程序的質量和安全性。
這家公司有兩大突破性創新點:一是非常復雜的、可解釋的機器學習語義代碼分析技術,其掃描代碼的速度比其他同類技術快 10-50 倍,保障了开發過程中安全工作的實時性(這種實時性對开發者意義非凡,幫助他們在編寫代碼的過程中即時地受到教育和反饋),而且通過從大量代碼中快速學習的機器學習能力,顯著減少了誤報(包括 false positives 和 false negatives)。
二是通過自定義的下一代 Datalog 解算器,帶來了最好的开發者體驗。這一技術开創性地實現了實時高精度語義代碼分析,並且支持 IDE 和 git 級別的代碼掃描,讓开發人員得以將安全掃描實時無縫整合到他們的开發過程中,而無需添加中斷步驟。
Snyk Code 仍然是秉持重开發者體驗的原則,將 Snyk Code 工具直接適配於各個开發者最喜歡的工具和流程。使用 Visual Studio Code 的 Snyk Code IDE 擴展工具或者 IntelliJ、WebStorm、PyCharm 的插件,就可以在編寫代碼時實時查看代碼中的潛在安全漏洞。
Snyk Code 還解決了傳統 SAST 解決方案的最突出問題,同時做到了准確和快速。它借助語義分析來提升准確性(意味着更少的 false positives,為开發者們節省了寶貴的時間),同時以指數方式增長其知識庫;它使用專有的邏輯編程引擎來實現高於競對的掃描速度;與此同時,Snyk Code 又能提供清晰的解釋,使开發者能夠輕松理解和解決手頭的問題。
容器化和基礎設施代碼化大趨勢
Garnter 在今年剛出的一份應用安全測試(AST)行業報告中提到,在過去的三年裏,科技企業越來越多地要求額外的服務和工具來完善他們的 AST 覆蓋範圍並囊括了一些新的开發方法和工件,其中包括 Snyk 一直推崇的雲原生支持、API 測試、Infra as Code (IaC) 測試,和容器化安全。
這裏就展开講講 Snyk Container 和 Snyk Infrastructure as Code 這兩大功能模塊。
首先,什么是容器?
正如航運業使用物理層面的集裝箱來隔離不同的貨物一樣,現在的軟件开發越來越多地使用一種“容器化”或者說“集裝箱化”的方法。一個標准的“容器”會將應用程序的代碼、相關的配置文件和庫以及應用程序運行所需的依賴項捆綁在一起,這樣开發者和 IT 專員就能跨環境無縫地部署應用程序。
我們可以將容器和傳統的虛擬機進行比較:虛擬機包括應用程序、所需的庫或二進制文件以及完整的主機操作系統,而對於 Docker 容器,它載有應用程序及其所有依賴項,但它們與其他容器共享操作系統內核,在主機操作系統的用戶空間中作為獨立進程分別運行。
正因如此,容器需要的資源比虛擬機少得多,所以它們易於部署且啓動速度更快,能在同一硬件單元上運行更多服務,從而降低成本。
容器和 Kubernetes (常用的容器編排系統) 的廣泛採用意味着應用程序可以跨不同的基礎設施而移植,目前大約 90% 的公司採用容器化運行以保持靈活性、節省基礎設施成本並提高开發人員效率。Snyk Container 的功能便是幫助識別和修復應用程序中所使用的容器鏡像中固有的問題。
那什么是 Infra as Code 呢?
如果把軟件行業比作建築行業。Infra as code 其實就是建築行業原材料的標准化,只不過在軟件行業是通過代碼來描述他的特點。
對於水泥而言,有一些參數來表明他可以用於建設何種建築,在軟件行業是通過配置文件和代碼來對軟件行業的基礎設施進行標准化,這裏做得比較好的是前不久剛剛 IPO 的 HashiCorp 的 Terraform。
對於建築行業有監理單位,各種測試機構來保證建築的安全性,那么誰來保證標准化後的基礎設施代碼(IaC)的安全性呢?
以前由 IT 維護的基礎設施層,已成為开發人員在雲原生應用程序中管理的 API,开發人員越來越多地站在安全的前线,但卻沒有相應的工具,而 Snyk Infrastructure as Code 的理念就是將基礎設施代碼納入應用程序安全的範疇內進行保護,因為它本質上已然成為了應用程序的一部分。
Snyk 是如何掃描並識別雲基礎設施配置中的安全問題的呢?
以 CLI (命令行界面)為例(Snyk 同時支持 CLI 和 GUI,但很多 IaC 文件只能通過 CLI 調用,故此),CLI 把 IaC文件內容發送到 Snyk 的後臺服務,Snyk 從不斷更新的IaC政策數據商店中獲取最新政策,並把 IaC 文件與之進行嵌入式對比,發現其中的錯誤配置,最後,再把結果返還給 CLI 供开發者使用。
其實掌管應用和底層 infra 的存儲庫都會隨時間而改變,但是手動審閱的過程中很可能會忽視雲安全的一些新知識和新語境;所以 Snyk 把掃描 IaC 錯誤配置的過程給自動化,而持續开發和持續集成管道也可以幫助更新和納入這些變化。
客戶與競爭格局
如今 Snyk 已經有 1200 個企業客戶,包括 Google, Intuit, MongoDB, New Relic, Revolut , Salesforce 等重要科技公司。今年9月創始人 Guy 曾分享道,Snyk 的全體用戶在過去 12 個月內總共運行了超過 3 億次測試,並在過去 90 天內修復了超過 3000 萬個漏洞。
同時作為 Snyk 的投資人和客戶,Atlassian 和 Snyk 合作完成了旗下 Bitbucket, Jira Software, Jira Service Management 的集成。過去,Atlassian 的容器掃描覆蓋率非常小,但和 Snyk 合作後實現了 100% 的覆蓋率,而且在短短幾個月內 Atlassian 的高危开放容器漏洞分別減少了 65%。截至今天,Atlassian 已經使用 Snyk 運行了 550 萬次依賴項掃描,並掃描了 370 萬個容器。
Snyk 絕大部分客戶的使用人數、使用量和相應價格計劃等數據都未公开,且 Snyk 至今未披露平均合同額。但根據企業客戶數和去年 4 千萬美元的收入,可以看出其單個合同價值大概是每年 3 萬美元。
Snyk 從基於 SCA(軟件組成分析)的开源代碼安全起家,推出 Snyk Code 向 SAST(靜態應用程序安全測試)延展。其最核心優勢就在於真正直接面向开發者的解決方案,但在 AST(應用程序安全測試)領域的知名度不高,畢竟才剛剛借由收購 DeepCode 進入該領域。
在 SCA 領域,Github 是一個天然的競爭者,而且就像 Snyk 的客戶之一 Segment (Twillo的子公司)所說的那樣,因為內部很多代碼本身就在 github 上,所以用他們的安全工具非常方便。目前的缺陷是和其他存儲庫的整合度以及所支持語言的廣度不大。
Snyk 還面臨雲工作負載保護平臺 (CWPP)的玩家競爭,比如 Lacework(Sutter Hill 孵化的基於Snowflake 的安全公司,最新估值 83 億美金),Rapid7 的 InsightVM 等。
在 AST 領域,Snyk 還缺乏自己的 IAST、模糊測試和 DAST 功能模塊,而是與剛剛才提到的 Rapid7 合作提供這些功能。在其他競爭者中,WhiteHat 以 AST 工具系譜的完整性著稱,並且在逐漸拓展 SCA 工具;同樣是以开發者為中心的 Contrast Security 最大的差異化優勢就是被動 IAST 工具,也就是不靠主動掃描而達成的安全檢測,其挑战者地位有待證明;Invicti 打的是 DAST 的 niche,Onapsis 則對於一些業務關鍵的企業軟件格外好用;還有像 Veracode(2018 年已被一家美國 PE 以 9.5 億美金收購),CheckMarx(去年以 12 億美金的價格被收購),以及 Synopsys(SNPS)這樣的領先玩家。
另外,Snyk 的某個客戶訪談中提到,市面上有很多面向傳統企業的傳統安全公司,他們的優勢語言可能是傳統的 NET, Java, 或者 Python,且他們的客戶有充足的預算可以反復溝通進行適應性調整;相比下來,Snyk 的優勢就在於其方案的易用性,不用擔心後續的轉移成本。這也是為什么一些雲服務商的安全工具比如 Amazon Inspector, 微軟的 Azure Security,反倒可採購性不及 Snyk 這樣的新興玩家。
當然,那些採用瀑布式开發等傳統开發方法的企業,以及主要購买產品供安全團隊而非开發團隊使用的企業,並不會欣賞 Snyk 的產品,但是這就是 Snyk 所畫的邊界:Snyk 對未來的預判就是應用層和基建層之間、开發和運行階段間的邊界會越來越模糊,Snyk 就是為支持开發者優先安全的公司而生的。
未來的三個命題
展望未來,Snyk 有三個方向性的命題。
第一,是地理上的擴張。
目前 Snyk 的影響力主要集中在美國和部分歐洲地區。創始人 Guy 公开表明 Snyk 將與新的投資夥伴淡馬錫和 Geodesic 合作,將足跡擴展到亞太地區。他還援引了 Ernst and Young 去年的研究發現:在未來兩年內,亞太地區 87% 的公司將逐漸實現數字化轉型,而“忽略 DevSecOps 會帶來給這些剛剛轉型的公司帶來嚴重的危機”。
Snyk 認為這是將 DevSecOps 帶到亞太地區的最好時機,尤其是預計未來十年亞太地區开發者數量的增長將最為強勁。需要注意的是,在新的地緣下开發者生態以及工作模式等方面的不同,是否意味着 Snyk 可能需要在新的場域重新再發起一次 Shift-Left Security 運動?這次市場教育的回報周期需要多長?
第二,是收費模式的再思考。
目前 Snyk 的大多數客戶還是在 freemium 模式之下,付費用戶佔 20% 左右。創始人其實有認識到而且多次提及一個重要問題:由於 Snyk 是直接面向开發者的,而購买安全服務的往往是企業內的安全團隊,使用者和採購者的不同一導致完全靠產品驅動的銷售邏輯並不成立,付費意愿也並不能很好地傳導。
在相對比較小的科技公司中,我們看到越來越多的开發團隊也有安全工具的採購權。但在大的企業客戶組織架構中,筆者採訪了一些开發者後得出的結論是,Snyk 產品的可見性不高甚至內部 documentation 都很少提及,一個合理的猜想是, Snyk 在大公司中的使用場景可能還是在某些小團隊,大規模使用的還是自研的安全工具。
未來 Snyk 可能需要增強產品團隊和銷售團隊之間的互通,不僅像現在這樣做到將銷售漏鬥的頭部擴大,還要減少過程中的流失,通過產品性能和大面積採用進行更好的產品合格线索(PQLs)的轉化;Snyk 還有機會探索現在 PLG 公司常用的按用量計費的模式,或者對於檢測出的漏洞、以及漏洞相關的智能洞察(Vulnerability Intelligence)進行額外收費。
最後,是技術拓展以及合作夥伴潛在威脅的審視。
Snyk 一路不斷在做自動化修補漏洞性能、擴展工具的提升,也一路收割了很多的合作夥伴,比如 RedHat, Docker, Datadog 等,並且战略上 Snyk 也明確表明計劃加深與 Atlassian, AWS, Trend Micro 等公司的合作。
但我們也看到,Datadog 和 Palo Alto Network 分別收購了 Spreen 和 Bridgecrew從而也直接入局了 DevSecOps,這個領域隨着更多的收購只會更加競爭激烈並且擁擠。
因此,在合作過程中,Snyk 可能需要進行一些战略的防守和布局,從而增強產品的獨立性,不至於因為任何夥伴關系的不穩定而損害產品的完整性。
與此同時,Snyk 也要趕在 AST 領域的競爭對手攻入自己所擅長的 SCA 大本營之前,不斷向 AST 領域突破,提供更多更縱深的產品支持,鎖住更多开發者和企業客戶。
作者:東方明
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
崩!比特幣插針66800、以太坊失守2400美元,美總統「大選前避險」美股全倒
比 特幣昨日最高回彈到約 69,500 美元水平後無法持續攀高,在今(5)日零點後開啟新一波下跌,...
Coinbase「鉅額上幣費」公關危機未平,又遭爆 Armstrong 等高管將再賣9億美元股票
美 國上市加密貨幣交易所 Coinbase 執行長 Brian Armstrong,近期趁幣安陷入...
華爾街大鱷 Bernstein:無論誰當選美國總統,比特幣將在2025突破20萬美元
備 受全球關注的美國總統大選開票將在臺灣時間 11 月 6 日陸續啟動,由於共和黨候選人川普和民主...
備戰美國大選》過去十屆選舉後,美股標普500和比特幣歷史表現如何?
備 受全球關注的美國總統大選即將在臺灣時間 11 月 6 日正式開票,但由於共和黨與民主黨可能帶來...