交易安全指数（比Datadog更进一步的代码安全卫士）

阿尔法公社

重度帮助创业者的天使投资基金

━━━━━━

阿尔法公社说：Snyk创造了第一个真正面向开发者的应用安全工具，在代码安全方面有很深积累，而它现在也在往云原生应用安全方向进发。2021年，它获得了总计超过6亿美金的F轮融资，估值85亿美金，目前已经被两百多万开发者使用，拥有1200多家科技公司客户。

Snyk是Dev-first Security （开发者优先的安全应用）的开创者和布道者，创造了第一个真正面向开发者的应用安全工具，凭借史上最完备的商用代码漏洞数据库，和快于其他代码分析技术10～50倍的扫描速度，真正赋能了开发者对安全问题的实时监测和自我反馈。

在Snyk出现之前，代码安全问题由安全团队负责，编写代码和维护代码、安全测试、事故解决的链条是严重割裂的。而随着现代开发需求的数量、速度、复杂程度的陡升，科技企业意识到不能再后验地进行“安全审计”，而要把安全问题的主导权交给开发者，打赢大代码时代的科技战。

Snyk以对代码漏洞的理解深度著称，其独特的“安全智能”工具帮助开发者们持续监测可能发生的漏洞，并不断自动化安全性能升级。Snyk帮助开发者们在开发生命周期中一以贯之地查找、修复和监测代码的脆弱性，让开发者更好地应对纷繁复杂的微服务、API，以及日益增长的复杂性。

Snyk在开发者圈饱受好评，也收获了许多重要客户，包括Google, Salesforce, Revolut, MongoDB等，目前已经被两百多万开发者使用，拥有1200多家科技公司客户。

公司于2021年9月获得了Tiger, BlackRock, Temasek以及Accel的F轮，不到一个月内，Salesforce和Atlassian又追加了7500万美金，F轮总融资金额超过 6亿美金，公司估值达到了85亿美金。

从开源安全起家，慢慢拓展到云原生应用安全的方方面面， Snyk 对容器化、基础设施即代码等新趋势的布局相当迅速。同时 Snyk还在稳固大本营的路上，今年连续收购了 FossID, CloudSkiff 两家开创性的开源安全公司。我们既期待 Snyk 在所擅长领域的纵深，又对其不断拓宽云原生应用安全的边界充满想象。

以下为本文目录，

建议结合要点进行针对性阅读。

01. 背景：开发复杂性陡升和开发者崛起

• 网络安全“新元年”下的大变迁
• 开发者及其生产工具的崛起

02. 创始心路：以开发者优先为北极星

03. 产品发展：向云原生应用安全出发

• 强大的漏洞库和 Peace-of-mind 的自动修复
• 收购 DeepCode：AI-driven 更快更精确的 SAST 方案
• 容器化和基础设施代码化大趋势

04. 客户与竞争格局

05. 未来的三个命题

01.背景：开发复杂性陡升和开发者崛起

Snyk是2015年诞生的，5年内，Snyk在开发者安全领域掀起了一场Shift Left Movement，shift left意思是把测试时间提前，在这里意味着开发阶段就引入安全检查工作，确保代码库从一开始就以安全为目标进行设计，而不是流程结束时再检查安全问题。

也就是说，Snyk认为，代码安全问题的主导权应该向链条上游移动，并无缝整合进开发者的工作流当中，而这必然需要一定程度的自动化。那么Snyk能引领这场运动的大背景是什么？

网络安全“新元年”下的大变迁

2020年是网络安全投资创纪录的一年，全球的投资额超过78亿美元，2021年的投资记录甚至更高。近两年网络安全领域的独角兽将近20家，也是创记录的成绩。

2020年4月，网络部门报告称，由于黑客利用远程工作的漏洞，每天的网络安全投诉增加了四倍。网络漏洞的成本相当高昂，无论是从解决问题的成本方面，还是从信任缺失后失去客户的潜在成本方面。因此，科技公司对于网络安全工具的支付意愿因此也是很强的。

根据Gartner的报告，到2024年，信息安全和风险管理市场的终端用户支出预计将达到2077亿美元。微软今年9月宣布，将在未来五年内将其网络安全上的投资翻四倍，达到200亿美元。

为什么市场这么火？

Northzone的VC投资人Wendy Xiao Schadeck在‘The Future Belongs to Devs’一文中很好地概括了当下软件开发格局的几大重要变迁，其中很重要的两点是：

• 为了解耦代码构建过程，降低开发门槛，单体应用程序被分解为了成百个微服务。这能够增加敏捷性、降成本、提高效率，但也大大增加了DevOps的复杂性，以及新软件和数据馈送出入口数量。进而增加安全风险。Kong在去年的一次调研显示，84%的大中型组织已经采用了微服务，且平均每个组织部署了180多个微服务。而安全性问题是使用微服务过程中的最大挑战。

• 随着API的激增（一定程度上也是由于微服务和GraphQL的流行），有越来越多的构建单元供开发人员构建。在API集成的几大挑战中，安全问题也在前列。

在这样的背景下，Snyk 所做的，就是帮助开发者们在开发生命周期中一以贯之地查找、修复和监测代码的脆弱性，让开发者们更好应对纷繁复杂的微服务、API，以及日益增长的复杂性。

什么是脆弱性？就是在软件和硬件组件中发现的计算逻辑（例如代码）中的弱点，一旦被利用，会对机密性、完整性或可用性产生负面影响。在这种情况下，漏洞的缓解通常涉及编码更改，但也可能包括规范更改甚至规范弃用（例如，完全删除受影响的协议或功能）。

比如，JavaScript的漏洞会使项目容易受到Cross Site Scripting、Cross Site Request Forgery等不同形式的攻击。由于开源JavaScript项目近年来呈指数级增长，并且它们直接或间接地依赖于一些广为使用的函式库（如 lodash），导致 npm（全世界最大的software registry）的漏洞单单在2018 年一年就增长了47%。

近日，被全球广泛应用的组件Apache Log4j被曝出一个已存在在野利用的高危漏洞，攻击者仅需一段代码就可远程控制受害者服务器。这一漏洞堪比“永恒之蓝” ，已发现近万次攻击。

用一句话概括，现代软件开发的复杂性带来脆弱性，脆弱性中 Snyk 应运而生。

开发者及其生产工具的崛起

曾经，科技巨头会给开发者们提供自研的生产工具，将其作为一种公共物品补贴给他们，甚至开发给其他中小科技公司免费使用，比如微软的Visual Studio Code。因此，开发者社群流通着很多免费工具，但产品体验都很一般，更没有向外界采购更优产品的自主权。风投之所以不愿投资开发者体验 (DX) 领域，就是因为后发的这些开发者工具提供商很难跟巨头的免费产品正面肉搏。

但开发者的地位今非昔比了，目前开发者群体的数量达到 2700万人，比澳大利亚的人口还多，增长速度快于巴西的人口，并有望超过加拿大的人口。他们支撑着现代最重要的科技变迁，区块链技术、云原生、甚至低代码、无代码和创作者经济，开发者们的作用是支柱性的。

于是，围绕开发者为中心诞生了一批最有价值的科技公司：包括Atlassian、MongoDB、Splunk、Datadog、Elastic、HashiCorp、和Twilio等上市公司，以及Stripe、Auth0、Snyk 和 Unity等独角兽公司，都通过直接为开发人员构建（build with developers in mind）大获成功。

效率工具越来越多的同时，开发团队构建新功能、触达消费者并不断进行适应性调整的能力和速度，也在经受考验。

一方面，随着企业基础设施转向云，流程转向DevOps，代码的部署速度以及系统性能指标都成为开发者的职责。Datadog就是通过帮助开发团队直接监控整个堆栈的性能而成为独角兽的，上市后已达到560亿美金市值。Snyk则是帮助开发人员在软件开发生命周期（SDLC）中构建开源代码安全性，让其客户从根本上解决问题，而不是依赖单独的流程来查找和修复它们。

未来还会有更多业务指标可以直接集成到开发工作流程中，例如身份验证和隐私（Magic.Link、Evervault、Metomic）和云优化（Northflank、Env0、Cloudskiff）。

另一方面，随着技术进一步从成本中心转向利润中心，开发者们作为天然的power users，可以无限优化生产力。David Ulevich曾在一次a16z的演讲中高度概括了开发人员的典型工作方式，这些工作方式在带来生产力的同时也随之带来了一些安全隐患：

这里我们可以就其中“Don't Repeat yourself”举一个很好理解的例子：

为了不重复耗力，开发者们往往去git repository和类似的代码库上找一些现成的包（微软CEO在一次Node峰会上说过，常常会发现一个包裹中只有2%的代码是开发者自己写的，其他都是第三方代码）。

就像建设大楼不需要从钢筋水泥开始铸起，而是可以采购已有的材料，这种上下游的依赖关系在软件行业被称为“dependencies / 依赖项”。依赖项可以是企业维护的，也可以是个人维护的（比如 gRPC 是谷歌维护的，JavaScript 上很多都是个人开发者在维护）。之所以花这么多精力维护，是因为78%的代码脆弱性问题就来源于这一个个依赖项。这也是为什么开源安全问题被放在开发者安全的首要位置上。

现有对于这些依赖项的不确定性采取的缓解方案是什么样的呢？就是开发者们必须谨慎科学地记录日志以便日后锁定出错点，部署后一旦出现安全问题，得靠安全团队找到出错点再扔回给开发者修改，这里的跨团队沟通和反复是非常耗时的。更不用说，目前的安全工具都是为了安全团队而非开发团队而设计的，对开发者极其不友好。

Snyk 从建立伊始，就致力于将开源代码诊断和修复完全自动化，减少团队间反复的沟通摩擦，为开发者提供快捷、完备、Peace-of-mind 的安全解决方案。

02.创始心路：以开发者优先为北极星

Snyk创始人Guy Podjarny曾是Blaze.io的联合创始人，2012年将其出售给了Akamai（一家内容传递网络和云服务提供商，世界上最大的分散式计算平台之一，承担了全球15%~30%的网络流量）。

收购后，他成为 Akamai网络体验业务的CTO，直到2015年建立了Snyk。联创Peter有 20 多年安全领域的从业经验，和创始人Guy是从Watchfire （一家网络应用漏洞评估和合规方案提供商，后来被 IBM 收购）就认识的16年老友。

BoldStart Ventures的创始人Ed Sim在投资了Guy的第一个创业项目并成功退出后，也是buy in了代码安全的市场，从最开始就是Snyk的忠实投资人。回看当初A轮投资memo的剪影，对比如今Snyk的估值，已经超越了其中任何一个市场规模的预期。

Snyk几乎是创造了“开发者优先安全工具”（dev-first security）这个市场，最初也受到了很多质疑。唱衰者们提出了开发者对安全问题的漠不关心、开发团队和安全团队之间的激励和信任问题等等。

但是，'It takes time to build a movement'，和任何消费者需求一样，想建立起消费心智必须进行市场教育，早期Snyk也是花了大量的精力将开发者友好的安全工具的必要性根植进潜在用户的大脑里。

现如今的大代码时代，随着部署代码的数量、速度和复杂性的陡升，科技企业们都认识到把代码安全的探察点移到整个周期前端，将自主权交给开发者的重要性，并自觉加入了这场 Shift Left Movement. 正如 Guy 在这里说的：

“整个云原生运动意味着，开发者需要管理他们自己的云基础设施，并且需要被武装上正确的安全工具。两百多万使用Snyk的开发者们，日益增长的 DevSecOps运动，以及越来越多的嵌入开发平台的安全功能模块，都是这一论断的最好证明。”

Snyk这家公司把“开发者优先”刻在了自己的DNA里，始终将开发者的体验摆在第一位，创始人将其称作是“Product North Star”。SNYK 这一缩写，其实想表达的是“So Now You Know a lot more about your applications”，是创始人的美好期许。

在最初制定产品方案的时候，董事会上有过究竟是追求广还是追求精的争论。Snyk的竞争者Sourceclear选择了前者，在产品推出之初就支持8种计算机语言的整合，但在每种语言的语法范式上都认识粗浅，也没有真正整合进开发者们的工作流当中，导致反响平平、出现了很多fire sales（2018 年Sourceclear被 CA Technologies收购，具体数额虽未披露但内部人士表示收购价格并不高）。

相反，Snyk在最初只支持一种语言JavaScript，但是做得很深入，不仅帮开发者找出漏洞，还提出建设性的修补意见，从而赢得了开发者的喜爱。

Snyk在公司早期没有一味地追求“支持多种语言”来讨好客户，但却在一个方面不断沉潜，在开发者社区中获得了很高的评价。这种“82 原则“为Snyk打下了很好的产品基础。Snyk很在乎开发者社群的建设，他们有自己的Snyk社区私域，买下了DevSec Conference进行知识传播，还会做一些开发者调研进行聆听来启发功能拓展的方向等等。这种基于群众的产品营销策略是现在SaaS界奉行的产品驱动增长（PLG）的灵魂所在。

在 2020 年的五周年回顾上，当创始人 Guy 提起 Snyk 做对的五件事时，其中一个就是“Don't go enterprise too early”：当社群建构起来，越来越多的企业自然会主动寻求合作，到时再根据企业的需求提供本地化服务，或者支持多种语言（目前Snyk 已做到11种语言的整合），也为时不晚。

Snyk较早时期某个企业客户，ARR在两年间从4万美元扩张到了7位数。联创兼 CEO Peter Mckay也在一次采访中透露，目前Snyk 60-70%的客户是inbound的，复购率达到了 95%。

有趣的是，公司的两位创始人Peter和Guy分别来自美国和以色列，是去年网络安全领域的头两大热点区域。他们的相识是在2007年，Guy在一家以色列开网页应用防火墙和网页安全扫描之先河的公司Sanctum做软件工程师，被Peter 时任CEO的Watchfire收购之后，担任起了首席架构师。

后来在2010年几乎同时，Guy创立了Blaze.io，而Peter创立起了Desktone（后来被VMware收购），两人各自沿着网络安全领域建树，经历了Web 1.0、2.0时代，又在3.0时代聚首塑造这个时代需要的安全工具，可谓是将使命一以贯之了。

03.产品发展：向云原生应用安全出发

好的创始人并不是从最开始就怀着百亿美元的野望建立一家公司的，他们总是从某一个他们认为亟待解决的问题切入，并带来独特的技术洞察力，以 10-100 倍的精神不断迭代那个解决方案。Snyk的差异点就在于：真正的开发者友好，修复漏洞的语境化和自动化，以及代码安全的深度。

Snyk从最擅长的开源安全切入：开源安全背后的软件组成分析（SCA）可以帮助开发者们快速跟踪和分析“开源引入项”，包括所有相关组件、它们的支持库以及直接和间接依赖项；还可以检测软件许可证、弃用的依赖项以及漏洞和潜在威胁，检测完成后会生成项目软件资产的完整物料清单 (BOM)。

过去几年中开源代码使用率的大幅提升使得 SCA 成为应用程序安全测试 (AST) 的关键支柱。应用程序安全测试是一个更广泛的概念，除了 SCA 以外主要包括了静态 AST (SAST) , 动态 AST (DAST) 和交互式 AST (IAST) 三大技术。

Snyk通过收购DeepCode 进入了AST领域，并将范围从代码文件中开源部分的安全，拓展到了整个云原生AST领域：企业的数据中心甚至基础设施移到云端后，其复杂程度也是爆炸式增长的，尤其是“API化”之后，开发者手上的安全大任变得更加多层次。

于是 Snyk 开始增加产品的延展性，从源代码管理（如 git repo），IDE 插件，到持续集成和持续开发管道（CI/CD pipelines），从容器化 registry 的 Docker Hub 和 Kubernetes， 到更“未来”的软件生成物 registry，以及 Terraform 下的基础设施即代码（Infra as a Code），甚至无服务器（serverless）。

Snyk目前有Snyk Open Source, Snyk Container, Snyk Code和Snyk Infrastructure as Code四大功能模块，分别是为企业开源代码、容器化项目、应用软件和基础设施代码的安全问题提供的安全工具。

强大的漏洞库和Peace-of-mind的自动修复

第一个功能模块是Snyk Open Source，用于测试开源安全。

开源安全的重要性是不言而喻的。96%的应用程序含有开源代码，而随着开发者们拉取越来越多的开源依赖，其脆弱性在过去的两年间上升了两倍，而且往往盘根错节极为复杂。就像病毒软件会扫描设备并找出威胁一样，Snyk的产品会扫描源代码并进行漏洞报警，之后将漏洞的严重性进行详细的描述和分类并提供一键修复方案。

其工作原理很简单：首先，Snyk通过完整的dependencies tree（依赖项的系谱） 把脆弱点和许可问题的源头路径给语境化和具象化，从而为开发者们带来更深的洞察；

接着，Snyk会自动触发最利于漏洞修补的Pull Request，进行一定规模内的安全性能升级，或者通过专有的精确性补丁（Precision Patches）的形式减少变动；

最后，Snyk还会持续监测可能发生的脆弱点，不断自动化安全性能升级的流程。这有赖于 Snyk Intel，一个自研的代码漏洞数据库，这个数据库的覆盖范围比第二大公开商用数据库大将近4倍，靠的就是Snyk的研究团队进行人工搜寻、分析和准确性测量后收录进数据库；Snyk还会和客户进行数据库上的合作，秉持着人人为我、我为人人的原则，把这个数据库做得越来越周全，达到竞争者难以企及的代码安全深度。

目前，国家漏洞数据库（National Vulnerability Database, NVD）中92%的 Javascript 漏洞会首先添加到Snyk的数据库，所以Snyk数据库的漏洞识别整体比第二大公开商用数据库快 25天。这就是Snyk强大的护城河和壁垒。

最初，Snyk针对开源项目的服务是完全免费的， 包括针对开源漏洞的无限次测试和修复。现在的free plan限制了测试运行的数量，参与收费计划才对Open Source和Container两个模块开放无限次安全测试，像传统SaaS一样采取基于开发者数量的不同收费层级。

收购 DeepCode：

AI-driven更快更精确的SAST方案

Snyk通过收购DeepCode进入了应用程序安全测试(AST)领域，更准确说是静态AST这个子方向。将Snyk的超全数据可和DeepCode的AI技术结合，就诞生了Snyk Code这个新功能模块。

DeepCode是苏黎世联邦理工学院的研究成果(后来分拆出来)，一直专注于应用 AI来帮助开发者在编写代码时实时提高应用程序的质量和安全性。

这家公司有两大突破性创新点：一是非常复杂的、可解释的机器学习语义代码分析技术，其扫描代码的速度比其他同类技术快10-50倍，保障了开发过程中安全工作的实时性（这种实时性对开发者意义非凡，帮助他们在编写代码的过程中即时地受到教育和反馈），而且通过从大量代码中快速学习的机器学习能力，显著减少了误报（包括false positives和false negatives）。

二是通过自定义的下一代 Datalog解算器，带来了最好的开发者体验。这一技术开创性地实现了实时高精度语义代码分析，并且支持IDE和git级别的代码扫描，让开发人员得以将安全扫描实时无缝整合到他们的开发过程中，而无需添加中断步骤。

Snyk Code 仍然是秉持重开发者体验的原则，将Snyk Code工具直接适配于各个开发者最喜欢的工具和流程。使用Visual Studio Code的Snyk Code IDE扩展工具或者IntelliJ、WebStorm、PyCharm的插件，就可以在编写代码时实时查看代码中的潜在安全漏洞。

Snyk Code还解决了传统SAST解决方案的最突出问题，同时做到了准确和快速。它借助语义分析来提升准确性（意味着更少的 false positives，为开发者们节省了宝贵的时间），同时以指数方式增长其知识库；它使用专有的逻辑编程引擎来实现高于竞对的扫描速度；与此同时，Snyk Code又能提供清晰的解释，使开发者能够轻松理解和解决手头的问题。

容器化和基础设施代码化大趋势

Garnter在今年刚出的一份应用安全测试（AST）行业报告中提到，在过去的三年里，科技企业越来越多地要求额外的服务和工具来完善他们的AST覆盖范围并囊括了一些新的开发方法和工件，其中包括Snyk一直推崇的云原生支持、API 测试、Infra as Code (IaC) 测试，和容器化安全。

这里就展开讲讲Snyk Container和Snyk Infrastructure as Code这两大功能模块。

首先，什么是容器？

正如航运业使用物理层面的集装箱来隔离不同的货物一样，现在的软件开发越来越多地使用一种“容器化”或者说“集装箱化”的方法。一个标准的“容器”会将应用程序的代码、相关的配置文件和库以及应用程序运行所需的依赖项捆绑在一起，这样开发者和 IT 专员就能跨环境无缝地部署应用程序。

我们可以将容器和传统的虚拟机进行比较：虚拟机包括应用程序、所需的库或二进制文件以及完整的主机操作系统，而对于Docker容器，它载有应用程序及其所有依赖项，但它们与其他容器共享操作系统内核，在主机操作系统的用户空间中作为独立进程分别运行。

正因如此，容器需要的资源比虚拟机少得多，所以它们易于部署且启动速度更快，能在同一硬件单元上运行更多服务，从而降低成本。

容器和Kubernetes (常用的容器编排系统) 的广泛采用意味着应用程序可以跨不同的基础设施而移植，目前大约90%的公司采用容器化运行以保持灵活性、节省基础设施成本并提高开发人员效率。Snyk Container的功能便是帮助识别和修复应用程序中所使用的容器镜像中固有的问题。

那什么是 Infra as Code 呢？

如果把软件行业比作建筑行业。Infra as code其实就是建筑行业原材料的标准化，只不过在软件行业是通过代码来描述他的特点。

对于水泥而言，有一些参数来表明他可以用于建设何种建筑，在软件行业是通过配置文件和代码来对软件行业的基础设施进行标准化，这里做得比较好的是前不久刚刚 IPO 的 HashiCorp 的 Terraform。

对于建筑行业有监理单位，各种测试机构来保证建筑的安全性，那么谁来保证标准化后的基础设施代码（IaC）的安全性呢？

以前由IT维护的基础设施层，已成为开发人员在云原生应用程序中管理的API，开发人员越来越多地站在安全的前线，但却没有相应的工具，而Snyk Infrastructure as Code的理念就是将基础设施代码纳入应用程序安全的范畴内进行保护，因为它本质上已然成为了应用程序的一部分。

Snyk是如何扫描并识别云基础设施配置中的安全问题的呢？

以CLI （命令行界面）为例（Snyk 同时支持 CLI 和 GUI，但很多IaC文件只能通过 CLI 调用，故此），CLI把IaC文件内容发送到Snyk的后台服务，Snyk从不断更新的IaC政策数据商店中获取最新政策，并把IaC文件与之进行嵌入式对比，发现其中的错误配置，最后，再把结果返还给CLI供开发者使用。

其实掌管应用和底层infra的存储库都会随时间而改变，但是手动审阅的过程中很可能会忽视云安全的一些新知识和新语境；所以Snyk把扫描IaC错误配置的过程给自动化，而持续开发和持续集成管道也可以帮助更新和纳入这些变化。

04.客户与竞争格局

如今Snyk已经有1200个企业客户，包括Google, Intuit, MongoDB, New Relic, Revolut , Salesforce等重要科技公司。2021年9月创始人Guy曾分享道，Snyk的全体用户在过去12个月内总共运行了超过3亿次测试，并在过去90 天内修复了超过3000万个漏洞。

同时作为Snyk的投资人和客户，Atlassian和Snyk合作完成了旗下Bitbucket, Jira Software, Jira Service Management的集成。过去，Atlassian的容器扫描覆盖率非常小，但和Snyk合作后实现了100%的覆盖率，而且在短短几个月内Atlassian的高危开放容器漏洞分别减少了65%。截至今天，Atlassian已经使用Snyk运行了 550 万次依赖项扫描，并扫描了370万个容器。

Snyk绝大部分客户的使用人数、使用量和相应价格计划等数据都未公开，且 Snyk至今未披露平均合同额。但根据企业客户数和2020年4千万美元的收入，可以看出其单个合同价值大概是每年3万美元。

Snyk从基于 SCA（软件组成分析）的开源代码安全起家，推出Snyk Code向 SAST（静态应用程序安全测试）延展。其最核心优势就在于真正直接面向开发者的解决方案，但在AST（应用程序安全测试）领域的知名度不高，毕竟才刚刚借由收购DeepCode进入该领域。

在SCA领域，Github 是一个天然的竞争者，而且就像Snyk的客户之一 Segment （Twillo的子公司）所说的那样，因为内部很多代码本身就在github 上，所以用他们的安全工具非常方便。目前的缺陷是和其他存储库的整合度以及所支持语言的广度不大。

Snyk 还面临云工作负载保护平台 (CWPP)的玩家竞争，比如 Lacework（Sutter Hill孵化的基于Snowflake 的安全公司，最新估值83亿美金），Rapid7的InsightVM等。

在AST领域，Snyk还缺乏自己的IAST、模糊测试和DAST功能模块，而是与刚刚才提到的 Rapid7 合作提供这些功能。在其他竞争者中，WhiteHat 以 AST 工具系谱的完整性著称，并且在逐渐拓展SCA工具；同样是以开发者为中心的 Contrast Security最大的差异化优势就是被动IAST工具，也就是不靠主动扫描而达成的安全检测，其挑战者地位有待证明；Invicti打的是DAST的niche，Onapsis则对于一些业务关键的企业软件格外好用；还有像Veracode（2018 年已被一家美国 PE 以 9.5 亿美金收购）,CheckMarx（去年以 12 亿美金的价格被收购），以及 Synopsys(SNPS)这样的领先玩家。

另外，Snyk的某个客户访谈中提到，市面上有很多面向传统企业的传统安全公司，他们的优势语言可能是传统的NET, Java, 或者Python，且他们的客户有充足的预算可以反复沟通进行适应性调整；相比下来，Snyk的优势就在于其方案的易用性，不用担心后续的转移成本。这也是为什么一些云服务商的安全工具比如Amazon Inspector, 微软的 Azure Security，反倒可采购性不及Snyk这样的新兴玩家。

当然，那些采用瀑布式开发等传统开发方法的企业，以及主要购买产品供安全团队而非开发团队使用的企业，并不会欣赏Snyk的产品，但是这就是Snyk所画的边界：Snyk对未来的预判就是应用层和基建层之间、开发和运行阶段间的边界会越来越模糊，Snyk就是为支持开发者优先安全的公司而生的。

05.未来的三个命题

展望未来，Snyk 有三个方向性的命题。

第一，是地理上的扩张。

目前 Snyk 的影响力主要集中在美国和部分欧洲地区。创始人Guy公开表明 Snyk将与新的投资伙伴淡马锡和Geodesic合作，将足迹扩展到亚太地区。他还援引了Ernst and Young去年的研究发现：在未来两年内，亚太地区 87% 的公司将逐渐实现数字化转型，而“忽略 DevSecOps 会带来给这些刚刚转型的公司带来严重的危机”。

Snyk认为这是将 DevSecOps 带到亚太地区的最好时机，尤其是预计未来十年亚太地区开发者数量的增长将最为强劲。需要注意的是，在新的地缘下开发者生态以及工作模式等方面的不同，是否意味着 Snyk 可能需要在新的场域重新再发起一次 Shift-Left Security 运动？这次市场教育的回报周期需要多长？

第二，是收费模式的再思考。

目前Snyk的大多数客户还是在freemium模式之下，付费用户占20%左右。创始人其实有认识到而且多次提及一个重要问题：由于Snyk是直接面向开发者的，而购买安全服务的往往是企业内的安全团队，使用者和采购者的不同一导致完全靠产品驱动的销售逻辑并不成立，付费意愿也并不能很好地传导。

在相对比较小的科技公司中，我们看到越来越多的开发团队也有安全工具的采购权。但在大的企业客户组织架构中，笔者采访了一些开发者后得出的结论是，Snyk产品的可见性不高甚至内部documentation都很少提及，一个合理的猜想是， Snyk在大公司中的使用场景可能还是在某些小团队，大规模使用的还是自研的安全工具。

未来Snyk可能需要增强产品团队和销售团队之间的互通，不仅像现在这样做到将销售漏斗的头部扩大，还要减少过程中的流失，通过产品性能和大面积采用进行更好的产品合格线索（PQLs）的转化；Snyk 还有机会探索现在 PLG 公司常用的按用量计费的模式，或者对于检测出的漏洞、以及漏洞相关的智能洞察（Vulnerability Intelligence）进行额外收费。

最后，是技术拓展以及合作伙伴潜在威胁的审视。

Snyk 一路不断在做自动化修补漏洞性能、扩展工具的提升，也一路收割了很多的合作伙伴，比如 RedHat, Docker, Datadog 等，并且战略上 Snyk 也明确表明计划加深与 Atlassian, AWS, Trend Micro 等公司的合作。

但我们也看到，Datadog和Palo Alto Network分别收购了Spreen和 Bridgecrew从而也直接入局了DevSecOps，这个领域随着更多的收购只会更加竞争激烈并且拥挤。

因此，在合作过程中，Snyk可能需要进行一些战略的防守和布局，从而增强产品的独立性，不至于因为任何伙伴关系的不稳定而损害产品的完整性。

与此同时，Snyk也要赶在AST领域的竞争对手攻入自己所擅长的SCA大本营之前，不断向 AST 领域突破，提供更多更纵深的产品支持，锁住更多开发者和企业客户。

本文转载自海外独角兽，作者东方明。

关于阿尔法公社

阿尔法公社（Alpha Startup Fund）是中国领先的早期投资基金，由曾带领公司在纳斯达克上市的许四清和前创新工场联合管理合伙人蒋亚萌在2015年共同创立。

阿尔法公社基金的三大特点是系统化投资、社交化创业者社区运营和重度产业资源加速成长。专注在半导体、企业服务软件、人工智能应用、物联网技术、金融科技等科技创新领域进行早期投资。目前已经在天使轮投资了包括白山云科技、领创集团(Advance Intelligence Group)、Zenlayer、帷幄科技、所思科技等为数众多的优秀项目。

阿尔法公社获得36氪“2017年度最受创业者欢迎天使投资机构Top20”、“2019年中国企业服务领域最受LP欢迎早期投资机构”、“2019年中国企业服务领域最具发现力投资机构TOP10”以及“2020中国最受创业者欢迎早期投资机构TOP50”、“2021年度中国最受LP认可早期投资机构TOP30”、“2021年中国最受创业者欢迎早期机构TOP50”、“2021年中国跨境出海领域投资机构TOP10”等奖项；获得钛媒体“2020 EDGE TOP50投资机构”；还获得母基金研究中心“2018年中国早期基金最佳回报TOP30”、“2019中国早期基金最佳回报TOP30”，以及母基金周刊“2020中国投资机构软实力GP100科技力Top10”等奖项。

创始合伙人许四清获得2020年“福布斯中国创投人100”、投中“2019年中国最佳早期投资人TOP50”，以及36氪“2018年中国企业服务领域投资人TOP10”、“2019企业服务领域投资人TOP20”等奖项。创始合伙人蒋亚萌获得2019及2021年“福布斯中国创投人100”、36氪“2019年中国中生代投资人TOP50”大奖。

,