Hopper Security 从隐蔽中脱颖而出，修复开源安全问题

快速阅读: 《帮助网络安全》消息，霍珀安全推出创新产品，革新开源代码风险管理。完成760万美元种子轮融资，解决误报和警报疲劳等问题。提供函数级可达性等功能，提升修复效率，降低成本。适用于财富500强企业，精准定位漏洞，简化开源安全流程。

现代软件高度依赖开源。随着人工智能的快速发展，开源软件（OSS）规模持续扩大，而传统的安全工具却未能同步升级，这不仅带来了不必要的成本和复杂性，还影响了开发人员的生产力。研究机构加特纳指出，误报、警报疲劳以及缺乏漏洞利用的具体上下文（例如函数级可达性）是有效实施应用安全的主要障碍。一家名为霍珀安全的初创公司悄然推出产品，目标直指革新企业管理开源代码风险的方式。该公司近期完成了760万美元的种子轮融资，投资者包括默顿资本、新时代资本、红杉侦察基金、M基金，以及曾主导英特尔、甲骨文、谷歌、亚马逊云服务（AWS）等公司重大收购案的科技领袖。

**开源安全领域的巨大挑战**

软件严重依赖开源代码，但随着开源使用的激增，尤其是借助人工智能技术的辅助，安全工具却未能跟上步伐。传统工具不仅增加了成本和复杂性，还拖慢了开发人员的工作节奏。误报、警报疲劳以及缺乏漏洞实际利用的信息等问题，使得应用程序安全管理变得尤为棘手。根据加特纳的数据，大多数软件组成分析（SCA）工具都会向团队发送大量警报，这些工具往往无法识别真正的威胁，反而让开发人员感到疲惫和挫败。

霍珀安全提供了一种全新的解决方案。它为团队提供了函数级可达性、自动资产发现、隐藏漏洞检测以及对复杂网络框架的支持，这一切无需代理或修改持续集成/持续交付（CI/CD）流程。包括财富500强企业和快速增长的技术公司在内的一些大型企业已经开始采用霍珀。这些企业的团队已经用霍珀取代了旧的SCA工具，从而更好地保护了自己的代码。在使用霍珀之前，一些公司表示，最多需要花费开发人员8%的时间来处理安全警报。霍珀通过提升团队解决问题的速度、缩短平均修复时间（MTTR），并提高开发人员的生产力，成功解决了这一问题。反过来，霍珀也成为企业削减成本的有效工具。

“我们创立霍珀的原因是现有的工具让团队不堪重负，拖慢了开发进度，”联合创始人兼首席执行官罗伊·戈特利布说道。“我们创立霍珀的目的并不是为了增加一个SCA工具，而是为了清理混乱，揭示真实的风险，并让开源安全变得快速、精准且对开发人员友好。”

**找到真正威胁的新方法**

大多数漏洞数据库，如国家漏洞数据库（NVD）、OSV.dev和GitHub，都不会显示问题出现在代码中的具体位置。这是因为CVE系统为了防止被攻击者利用，有意省略了这些详细信息。然而，这也使得修复问题变得更加困难。例如，Log4J拥有超过6万行代码和7000个函数，但实际上只有JndiManager类中的一个特定函数——查找函数——存在漏洞。霍珀通过其自身构建的数据库解决了这一难题，该数据库能够精确映射开源项目中易受攻击的函数。

“霍珀不仅仅告诉你存在问题，”一家《财富》100强公司的首席信息安全官（CISO）在保密协议下表示，“它会展示具体的代码行、函数及证据。这才是让开发人员能够迅速修复问题的关键所在。”

**专为现代安全和工程团队设计**

与传统SCA工具不同，霍珀通过模拟应用构建和运行过程，无需代理或CI/CD集成即可提供深入的可见性。它具备以下核心功能：

– **函数级可达性**：覆盖直接、传递性和内部依赖项。
– **全面的SBOM和VEX导出**：与合规流程保持一致。
– **无代理部署**：通过只读Git访问实现。
– **上下文修复证据**：与源代码直接关联。
– **自动资产发现**：涵盖内部和隐式依赖项。

霍珀的出现标志着开源安全领域的一次重要突破，为企业和开发者提供了一个高效、精准且友好的解决方案。

(以上内容均由Ai生成)