如果说，有哪个网安赛道可以称之为风起云涌群雄逐鹿，软件供应链安全SCA绝对是当之无愧。

在获得巨额种子轮融资仅仅十个月后，软件供应链安全初创明星Endor Labs再次吸引了风险投资者的兴趣，完成了一轮高达7000万美元的A轮融资，以支持其构建独立生命周期管理平台的雄心壮志。

Endor Labs表示，最新一轮的投资者包括光速创投（LSVP）、Coatue、Dell Technologies Capital、Section 32，以及网络安全领域的众多知名企业。新一轮融资中有2200万美元是从上一轮融资中转换而来。

Endor Labs成立于2021年，10月在Badhwar和Dimitri Stiliadis的领导下结束了隐身状态，团队目前有超过55 名专业人员。联合创始人兼首席执行官Varun Badhwar表示，Endor Labs将不再局限于保护开源软件，而是开始锁定 CI/CD 流程、机密验证和配置存储库。

Badhwar表示：“当前应用程序安全在根本上存在问题，工程团队不断被要求在持续集成/持续交付（CI/CD）流程中部署数十种应用安全工具，这给开发人员带来了巨大的工作量，减缓了功能交付速度，并增加了工程和安全团队之间的摩擦。”他认为，前进的道路在于整合DevSecOps工具链，简化工具部署，并优先考虑那些实际重要的少数风险。“大多数公司都没有将注意力集中在CI/CD流程的控制和安全上。代码安全和流程安全是自然延伸。” Badhwar如是说。

光速创投合伙人Arif Janmohamed表示，“我们非常愿意与具有清晰愿景的优秀创业者尽早合作，并在公司发展历程的每个阶段为他们提供支持，Varun和他的团队不仅解决了应用安全领域尚未得到满足的大量需求，而且为在快速增长的市场中建立一家持久的公司奠定了基础。Lightspeed 很荣幸能投资Endor Labs的种子轮融资，并主导他们的 A 轮融资”。

“为了实现应用安全，每家公司都需要考虑其开发人员团队的工作效率和工作流程”，Coatue 的普通合伙人、Atlassian 的前首席技术官 Sri Viswanath 解释道，“Endor Labs 团队正在构建一个任务关键型解决方案，它不仅能提高安全水平，还能极大地提高开发人员构建和发布产品的能力。我很高兴能加入 Endor Labs 董事会，因为他们在这个长期被忽视的领域取得了多项突破。”

Endor Labs这轮巨额融资，正值投资者大举押注开源软件安全生态系统的新创企业之际。本周早些时候，总部位于旧金山的Socket公司完成2000万美元的A轮融资，用于开发使用“基于内容的分析”来寻找软件依赖行为的技术，以迅速发现和修复可疑活动。

国内SCA领域的发展也与海外同温，持续火热，不少安全厂商选择进入此赛道，也是资本市场青睐的热门赛道之一。

来源：斯元商业咨询「网安新兴赛道厂商速查指南｜短名单精选」 

安恒信息软件供应链安全产品负责人王盛昱表示，随着未来供应链安全相关网络安全法律法规、国标、行业标准的逐渐健全和完善，随着监管部门的日益重视，软件供应链安全逐渐被各行各业所关注，尤其是在各级攻防演练以及各大企业组织的攻防对抗不断升级的大背景下，很多深层次的软件供应链安全问题都被暴露出来，从合规性和安全性两个角度考虑，软件供应链安全都是未来安全行业的重要建设方向之一。

在以往的经验中，供应链软件的研发、交付环节往往缺乏透明度，同时开源软件在国内应用广泛，企业因此而面临严峻的安全挑战，所以我们认为，要从研发流程、交付验收两个方向着手，对企业软件供应链安全进行整体把控，而SCA作为软件供应链安全的重要组成能力，可通过例如：风险预警、开源组件安全检查、SBOM梳理、许可协议检查、二进制供应链软件分析、敏感信息检查、CI/CD融合等为企业提供全方位、深化的开源软件安全治理能力。

1.融合多种技术：SCA在国内面向了更加复杂的软件供应链现状，不但源代码扫描和依赖关系扫描技术要融合，很多用户拿不到源码，因此二进制扫描也越来越重要。

2.增强的安全需要：国内用户更加看重SCA的安全性功能。SCA工具不仅要准确识别出开源漏洞，还要在漏洞告警、漏洞修复、安全建议和实时监测等方面提供更强大的功能，以帮助开发团队和用户降低安全风险。

3.云原生和容器安全：随着云原生应用程序和容器化技术的普及，SCA工具也开始关注这些领域的安全性和合规性，以确保在云环境中使用开源组件的安全性。这也是二进制扫描的能力要求。

4.自动化与集成：需要SCA工具可以与持续集成/持续交付（CI/CD）流程集成，实现自动化的安全性和合规性检查。

5.软件供应链安全：SCA被视为软件供应链安全的一个环节，而将企业的产品线向软件供应链的其他方向如SAST、DAST、IAST方向发展。对于这一点，是否看成SCA的趋势？但它是SCA厂家的共同选择。

软安科技大客户支持经理李云认为，对开源软件的保护和治理作为保护供应链安全的切入点已经被市场广为接受，市场对于软件组成分析工具的热情也前所未有的高涨。值得注意的一点是本次Endor Labs融资给SCA及开发安全厂商的演化提供了一个方向，单纯的开源组件识别及风险展示已经逐渐开始不能满足日益进展的企业安全风险管理需求；应从使用者的角度出发关注企业自身日常开发活动中的风险，进而考虑如何如何将现有技术（如SCA，IaC，敏感信息泄漏检查等）更合理的搭配并融入到企业的CI/CD管道。

孝道科技安全玻璃盒安全研究部总监刘永瑞表示，国内SCA领域将会关注于实际业务场景下开源风险治理的落地能力。首先是多场景安全能力覆盖，实现在软件的设计、开发、测试及运营全生命周期进行开源风险的检测及处置。其次是风险策略场景化，可根据项目的属性（开源、商用等）、项目等级等维度自定义项目质量红线、项目风险等级、项目安全检测流程等策略。第三是开源风险治理能力，针对检测出的大量开源风险，能够具备可达性分析验证及修复能力，实现开源风险从检测、验证到修复的闭环治理流程。

相关链接：

https://www.endorlabs.com/blog/series-a-70m-raise

https://www.securityweek.com/software-supply-chain-startup-endor-labs-scores-massive-70m-series-a-round/

https://www.inforisktoday.com/endor-labs-raises-70m-to-push-from-code-to-pipeline-defense-a-22724

https://techcrunch.com/2023/08/03/endor-labs-which-helps-companies-secure-their-open-source-packages-raises-70m/