查看原文
其他

红杉与红点加持,r2c能让程序员更安心写代码吗?

我思锅我在GN 我思锅我在 2022-08-25

10月29号,美国一家为程序员提供代码缺陷及安全检测的SaaS公司——r2c,宣布完成1300万美金的A轮融资,由红杉资本和红点创投共同投资。


r2c背后是GitHub上的一个开源项目“Semgrep”,“r2c”则是团队经过一段时间打磨后,正式运营的一家商业化公司。



简单来说,Semgrep通过一套标准且可自定义的规则引擎(rule engine),实现以下三大功能:

  • 运行错误(runtime error)纠正:包括基本的语法(syntax)或逻辑错误等;
  • 安全风险(security vulnerability)规避:例如预警一段错误的代码可能把前面一整段代码全部抹除,或者避免访问存在安全隐患或不可访问的数据库等;
  • 性能表现 (performance)监测:例如遵从良好的编程习惯即best practice,用最简洁的代码运行最复杂的程序等。

平台已经比较成熟地支持至少八种语言,包括Java、Javascript、Go、Python等,还有包括C、PHP在内的四种语言在alpha阶段。
(来源:r2c)

客户方面,已经有包括Dropbox、Snowflake、Chef等在内的知名互联网公司使用这款产品。而开源项目Semgrep在GitHub已经有上千位关注者,累积超过10万镜像下载。

这个项目最早源自Facebook,原创作者Yoann Padioleau也加入了团队。通常,大厂如Facebook、Amazon或Google等对代码管理有一套自上而下系统性的检测及风控体系,代码也不应该在最后测试或上线的时候才暴露出重大隐患,更不用说缺陷,尤其在愈发重要的安全问题上

然而传统的安全软件是结果导向,不可能对运行程序进行穿刺并指出问题位置。因此,大厂往往召集一个小团队,开发一套符合自身内部安全要求且可自定义的代码规则工具

那么,如果将这套规则工具做得更加通用,将大厂的那些best practice开放出来给全世界工程师及IT团队呢?

Semgrep便孕育而生。

回到产品本身,通过GitHub账号登录即可体验,主页面包含以下操作:

  • Write:根据已有或自定义规则,对代码进行精准或模糊检测;
  • Explore:浏览规则库,包含安全原则、代码质量等;
  • Manage:项目导入和管理;
  • Docs:帮助文档。

(产品首页截图)

再看团队,Semgrep刚开始由三位MIT毕业生创立。CEO与CTO是同宿舍舍友,都来自MIT的EECS系,同时都是红点创投的EIR(Entrepreneur in Residence,驻场准创业者),也就是说早就有备而来。两位联创CTO与CPO都曾在Palantir工作,一位负责网络安全保险平台的搭建,另一位在Palantir带领内部的开发者工具团队。


既懂安全,又懂产品,还有相关大厂经验和知名高校背景,可谓完美组合。而在最新一篇官方博客里,是这样一句话真正诠释了我想要看到的价值定位

“...we raised a $13M Series A round of funding to build a security tool that developers might actually love.”(我们完成了1300万美金A轮融资,希望提供一个真正让开发者喜欢的安全服务工具

这段话直指公司的两个核心价值:

首先,从安全切入解决刚性需求:不管代码检测(俗称“debug”)或遵循best practice都有许多可替代方案,更重要的是前者是程序员最不想遇到的,后者是需要管理者自上而下驱动,两者都在违抗实际使用者即程序员的天性。

但安全是公司和产品的底线,出问题很可能职位不保,因此越是在底层写代码的员工,越重视这个刚性问题,而且也同样希望越早发现越好;

其次,从管理到效率提升才可能让使用者喜欢:如果仅仅是测试阶段进行安全检测,同样有大量可替代方案。Semgrep在解决刚需的基础上通过建立一套不断扩展的规则引擎,实时地对托管代码进行检测和警示,同时开放集成Slack或Github等账号,覆盖从第一行代码到集成开发环境(IDE)整个生命周期。

在我看来,只有发挥效率型工具的“鲶鱼”效应——像鲶鱼一样无缝植入工作流的每个环节,才能不断挖掘更多低效的场景或问题,并逐个击破。使用者才会感到时间的节省和效率的真正提升,最终进行自下而上地传播,形成网络效应

近年来诞生的大多数SaaS产品,都具备一个重要的特征:

由管理型向效率型升级。

其实两者最终目的是一样的,但价值定位从如何帮助公司老板或管理层更好地驯服员工,转为如何真正通过一款优质的产品让员工体会到工作效率的改善,从而更加专注在创新上。

最后,我们来看下定价:

  • 社区版免费;
  • 团队版付费:40美金/月/开发者账号。


一位早期员工现任安全研究所负责人,回忆第一次到r2c跟CTO面试的场景,他说:

“当时我有些冒昧地对他说:这个项目很酷,但你知道更酷的是什么吗?是程序员可以在一个在线的IDE环境下,自定义任何规则(而不像现在只有离线模式)...”

没想到,两天后他收到CTO的短信,告诉他:“Hey,这个开发环境上线了,你可以点击以下链接测试。”,这顿时让他刮目相看,果断选择加入公司。

在这里,我们又看到了熟悉的车库文化。

我曾在去年关注到这个领域,并与国内相关创业者有过交流。而过程中表达的疑虑在上述r2c的价值定位中找到了部分答案。我将持续关注相关公司的发展。

有兴趣的朋友可以点击r2c官网试用产品:https://r2c.dev,欢迎程序员朋友跟我互动,分享使用体验。



Snowflake超越的不是AWS,而是SAAS
一夜暴涨26%,Salesforce真的能乘风破浪吗?
为什么中国科创需要“德意制”?
API鼻祖Twilio的逆袭与野望
EDA的中场战事 | 硬核
Zoom和Slack的第二曲线
巨头PTC转型之道:当工业互联网遇上SaaS
如何定义一家成熟的SaaS公司?
危机、惰性和投资
Zoom的“冰与火之歌” | 硬核
开源:从“复兴”走向“商业化”
Slack迎来“至暗时刻”?| 财报
微信之下,微盟会成为下一个Shopify吗?
Zoom财报解读 | 财报
旷视IPO在即,看清“AI第一股”的商业真相
Salesforce后平台的崛起与机遇
Slack、Zoom们全军出击


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存