編者按:本文來自微信公眾號我思鍋我在(angelplusdevil),作者我思鍋我在GN,創業邦經授權轉載。
10月29號,美國一家為程序員提供代碼缺陷及安全檢測的SaaS公司——r2c,宣佈完成1300萬美金的A輪融資,由紅杉資本和紅點創投共同投資。
r2c背後是GitHub上的一個開源項目“Semgrep”,“r2c”則是團隊經過一段時間打磨後,正式運營的一家商業化公司。
簡單來説,Semgrep通過一套標準且可自定義的規則引擎(rule engine),實現以下三大功能:
運行錯誤(runtime error)糾正:包括基本的語法(syntax)或邏輯錯誤等;
安全風險(security vulnerability)規避:例如預警一段錯誤的代碼可能把前面一整段代碼全部抹除,或者避免訪問存在安全隱患或不可訪問的數據庫等;
性能表現 (performance)監測:例如遵從良好的編程習慣即best practice,用最簡潔的代碼運行最複雜的程序等。
平台已經比較成熟地支持至少八種語言,包括Java、Javascript、Go、Python等,還有包括C、PHP在內的四種語言在alpha階段。
(來源:r2c)
客户方面,已經有包括Dropbox、Snowflake、Chef等在內的知名互聯網公司使用這款產品。而開源項目Semgrep在GitHub已經有上千位關注者,累積超過10萬鏡像下載。
這個項目最早源自Facebook,原創作者Yoann Padioleau也加入了團隊。通常,大廠如Facebook、Amazon或Google等對代碼管理有一套自上而下系統性的檢測及風控體系,代碼也不應該在最後測試或上線的時候才暴露出重大隱患,更不用説缺陷,尤其在愈發重要的安全問題上。
然而傳統的安全軟件是結果導向,不可能對運行程序進行穿刺並指出問題位置。因此,大廠往往召集一個小團隊,開發一套符合自身內部安全要求且可自定義的代碼規則工具。
那麼,如果將這套規則工具做得更加通用,將大廠的那些best practice開放出來給全世界工程師及IT團隊呢?
Semgrep便孕育而生。
回到產品本身,通過GitHub賬號登錄即可體驗,主頁面包含以下操作:
Write:根據已有或自定義規則,對代碼進行精準或模糊檢測;
Explore:瀏覽規則庫,包含安全原則、代碼質量等;
Manage:項目導入和管理;
Docs:幫助文檔。
(產品首頁截圖)
再看團隊,Semgrep剛開始由三位MIT畢業生創立。CEO與CTO是同宿舍舍友,都來自MIT的EECS系,同時都是紅點創投的EIR(Entrepreneur in Residence,駐場準創業者),也就是説早就有備而來。兩位聯創CTO與CPO都曾在Palantir工作,一位負責網絡安全保險平台的搭建,另一位在Palantir帶領內部的開發者工具團隊。
既懂安全,又懂產品,還有相關大廠經驗和知名高校背景,可謂完美組合。而在最新一篇官方博客裏,是這樣一句話真正詮釋了我想要看到的價值定位:
“...we raised a $13M Series A round of funding to build a security tool that developers might actually love.”(我們完成了1300萬美金A輪融資,希望提供一個真正讓開發者喜歡的安全服務工具)
這段話直指公司的兩個核心價值:
首先,從安全切入解決剛性需求:不管代碼檢測(俗稱“debug”)或遵循best practice都有許多可替代方案,更重要的是前者是程序員最不想遇到的,後者是需要管理者自上而下驅動,兩者都在違抗實際使用者即程序員的天性。
但安全是公司和產品的底線,出問題很可能職位不保,因此越是在底層寫代碼的員工,越重視這個剛性問題,而且也同樣希望越早發現越好;
其次,從管理到效率提升才可能讓使用者喜歡:如果僅僅是測試階段進行安全檢測,同樣有大量可替代方案。Semgrep在解決剛需的基礎上通過建立一套不斷擴展的規則引擎,實時地對託管代碼進行檢測和警示,同時開放集成Slack或Github等賬號,覆蓋從第一行代碼到集成開發環境(IDE)整個生命週期。
在我看來,只有發揮效率型工具的“鯰魚”效應——像鯰魚一樣無縫植入工作流的每個環節,才能不斷挖掘更多低效的場景或問題,並逐個擊破。使用者才會感到時間的節省和效率的真正提升,最終進行自下而上地傳播,形成網絡效應。
近年來誕生的大多數SaaS產品,都具備一個重要的特徵:
由管理型向效率型升級。
其實兩者最終目的是一樣的,但價值定位從如何幫助公司老闆或管理層更好地馴服員工,轉為如何真正通過一款優質的產品讓員工體會到工作效率的改善,從而更加專注在創新上。
最後,我們來看下定價:
社區版免費;
團隊版付費:40美金/月/開發者賬號。
一位早期員工現任安全研究所負責人,回憶第一次到r2c跟CTO面試的場景,他説:
“當時我有些冒昧地對他説:這個項目很酷,但你知道更酷的是什麼嗎?是程序員可以在一個在線的IDE環境下,自定義任何規則(而不像現在只有離線模式)...”
沒想到,兩天後他收到CTO的短信,告訴他:“Hey,這個開發環境上線了,你可以點擊以下鏈接測試。”,這頓時讓他刮目相看,果斷選擇加入公司。
在這裏,我們又看到了熟悉的車庫文化。
我曾在去年關注到這個領域,並與國內相關創業者有過交流。而過程中表達的疑慮在上述r2c的價值定位中找到了部分答案。我將持續關注相關公司的發展。
本文為專欄作者授權創業邦發表,版權歸原作者所有。文章系作者個人觀點,不代表創業邦立場,轉載請聯繫原作者。如有任何疑問,請聯繫