13,000 字，聊聊软件供应链安全

作者 | 凯雯Summer

编辑 | 凯雯Summer

2023 的开年，当大半个投资市场都在为 ChatGPT 振奋的时候，脑海里不由得涌现出来这张图片。

来源：reddit

不知道 ChatGPT 最终会走向何方，所以只能在不确定中寻找确定性。目前来看，在当前下行市场中，降低成本和规避风险，是企业的不二选择。这一点从二级市场中也可以体现出来，在 SaaS 公司普遍只有 5 倍 PS 倍数的当下，Infra 和 Security 几乎都维持 10 倍以上的 PS 倍数，展现出底层基础软件的抗周期性。

来源：Capital IQ

海外融资市场概况

观察近 3 个月海外的融资消息，在 Infra 领域，AI 和安全占到了全市场融资的 80% （顺便提一嘴，AI 融资项目中，AIGC 的比例很低，且更多集中在 Seed 轮融资金额在 $10M 以下，比较多的其实是 AI 赋能 2B 行业，包括医疗健康、企业服务等）。**对于单笔融资额在 $10M 以上的项目中，安全占到整体的 30-40%，**其中身份管理厂商 Saviynt 在 2023 年 2 月债券融资 1.3 亿美金，SASE 厂商 Netskope 在 2023 年 1 月可转债融资 4 亿美金，合规安全厂商 Drata 在 2022 年 12 月投后估值 2 亿美金融资 2 亿美金，开发安全厂商 Snyk 在 2022 年 12 月融资 1.75 亿美金，2023 年 1 月又收到 $25M 战略融资，投后估值 74 亿美金。

仔细观察融资方式，发现除了 Drata 和 Snyk 以外**，其他都是债权或者可转债融资，**仅有的两个股权融资的企业，Drate 是帮企业做 Compliance Automation 的，Snyk 是 Developer-First，以开源组件分析为核心的软件供应链安全厂商，这两者足以说明，海外市场对于合规以及 Developer-First 的软件供应链安全市场的认可。

究其原因，我们认为，一方面随着企业内部安全建设的逐渐完善，当前企业的采购核心开始转移到了市场变量带来的新产品方向。市场大变量，一个就是 GDPR 等政策的颁布和执行，一个是 Log4j，Solarwinds 等多起由于软件供应链所导致的安全事件；另一方面，无论是合规还是供应链安全，都是持续性的行为，因为无论是政策的不断颁布和细化，还是新漏洞被不断挖掘，都会使得老版本的产品逐渐 out-of-date，因此订阅模式有了保障。

这其中非常值得关注的是 Snyk，其在 2021 年以 $8.3B 的估值融 3.8 亿美金后，又在资本市场下行的 2022 年以**投后 $7.4B 的估值，超 35 倍的 P/ARR 的倍数，融到了 2 亿美金。**其中 25M 美金来自于 ServiceNow，这意味着其在实现 Dev 与 Sec 的结合后，开始往着 Sec 和 Ops 结合进行延伸。Snyk 的成功，一方面赶上了软件供应链安全的浪潮，另一方面赌对了开发者驱动安全商业模式的成功。

除开 Snyk，目前国内外也涌现出来了一批定位于软件供应链安全市场的企业，包括 Chainguard，Jit，Moderne 等。

今天我们就来聊一聊，软件供应链安全。本文将从以下几个部分来进行阐述：

1. What？——什么是软件供应链安全，为什么软件供应链安全领域值得投资？

2. Good Market？——从 Timing，TAM & 集中度，以及商业模式三大角度进行论证

3. Good Product? ——软件供应链安全的产品定位，以及怎么样的产品是好产品，其壁垒在哪？

4. Good GTM Strategy？——借鉴 Snyk 和 BlackDuck 的发展路径，国内的可行商业化路径是什么？

5. 对行业终局的畅想——看好能抓住开发者，与开发流程深度耦合的企业

什么是软件供应链安全？

为什么软件供应链安全值得投资？

What：什么是软件供应链安全?

软件供应链安全，从字面上拆解可以分为两部分，分别是软件供应链和安全。

供应链，依据 wiki 百科的说法，是指从采购原材料，到制成中间产品到最终产品，将最终产品交付用户为功能的，由一系列设施和分布选择形成的网络。因此，软件供应链实际上包含了：

• In-house code(狭义的软件供应链安全时不包括，广义时包括，本文更多围绕在狭义的软件供应链安全）

• Outsourced development

• Commercial software packages

• Open-source deployments

• Interfaces and protocols

• Development tools

• or, anything else that makes up or interacts with the final product

来源：https://www.softwaretestinghelp.com/best-software-supply-chain-security-solutions/

安全，其包含了两个维度，一个是与漏洞、投毒相关的安全，一个是合规&政策安全，包括自主可控安全和许可证合规安全等。前者的市场更大，覆盖的用户群更多，将在长期市场发展中占据主导；后者爆发力强，在短期市场增长较快，但整体市场空间有限。

Why should we invest in Supply-Chain Security？

软件供应链安全与传统安全的区别

软件供应链安全相比于传统安全相比，有两大区别：

• 过去更多是防护，治标不治本；而现在是从头根治，build 更健壮的软件

• 过去防护策略下，由安全人员全权负责；而现在安全左移，软件开发者成为了真正解决问题的人

安全左移的浪潮从海外开始，国内头部的互联网公司紧随其后，国内的传统行业，譬如金融、运营商等也开始逐渐显露出了趋势。当然，传统行业，尤其是国内的传统行业，有其特色的安全左移方式，其是将组件的安全管控，卡在了外包软件、第三方商业软件往内部生产引入的环节。

**我们看好安全左移，**有几方面原因：

• **坚信安全左移将成为下一波安全领域的大机会。**当防护的手段用尽，依旧无法解决安全问题，只能左移。

• **开发者人群的特殊性可帮助从 Sales-driven 转化至 Product-driven（注意，不是 PLG！！！），可以显著降低获客成本，并增大客群的覆盖面。**之前的开源 Infra 项目和开发者工具均证明了这一点。

从投资的视角来看，判断一个项目是否值得投资，有三方面的先决条件，三者缺一不可：

Success = 

Good Market  + 

 Good Product + 

Good GTM Strategy

INP

Good Market**：**

软件供应链安全正当时

一个 Good Market 有三个核心要求 —— Timing, TAM & 市场集中度，好的商业模式

总结来看，软件供应链安全领域在需求侧驱动下，发展正当时；市场百亿规模，但 Developer-First 的打法可大幅提升市场集中度；同时软件供应链安全价值清晰好衡量，好的产品能脱颖而出，且由于知识库的持续更新，因此能支持订阅的商业模式。三者兼备，软件供应链安全领域有诞生伟大公司的机会。

Timing：why now？

这一波软件供应链安全的出现，更多是需求侧带来的，而且几乎是相似时间，国内和国外都出现了软件供应链安全。需求的核心来自于两个维度，一是安全事件，二是政策。前者让大家觉得这事情很重要，后者说明不干不行了。

安全事件频发

从 2020 年至今，国内外发生了数起影响范围极大的由于软件供应链导致的攻击事件，且其与以往的安全事件相比：

1）影响范围更大，后果更为严峻，一个含威胁问题的组件将影响数百上千使用该组件的企业；

2）威胁的彻底解除需要更久时间，一个底层组件与企业的整体系统架构紧密耦合，在不影响业务正常开展的前提下找到所有组件并在满足兼容的前提下修复，成本较高。以 Log4j 为例，很大一部分企业可能永远也无法彻底解除威胁。

**3）哪怕是防护再强的企业也可能受影响，**供应链攻击就像特洛伊木马，具有极强的隐蔽性。以 Solarwinds 为例，其影响了上千个美国政府。

来源：INP根据公开信息整理

政策驱动

持续高频且后果严峻的软件供应链攻击，尤其是该攻击波及到了政府、人民银行、公安等监管机构，影响到了政策制定者，因此无论是中国还是海外，都纷纷出台了相关的法律条文。

• 美国：拜登在 2021 年 5 月签署了《改善国家网络安全》总统行政命令，要求商务部长必须与通信和信息部助理部长以及国家电信和信息管理局(NTIA)的管理员协调，发布软件材料清单的最少元素(SBOM)。

• 欧洲：2022 年 9 月，欧洲公布了最新的网络安全基本要求提案《网络弹性法案》，该提案中称企业需要公布软件物料清单（SBOM），并详细列出每款产品中使用的组件，以帮助制造商监控供应链并跟踪安全漏洞。

• 中国：2022 年 9 月发布《信息安全技术软件供应链安全要求》，目标是识别和防范供应关系和供应活动中面临的安全风险，提升软件供应链安全保障能力。金融行业、医疗、军工、关键基础设施领域也各自出台了相关政策。

来源：INP根据公开信息整理

安全事件和政策归根到底还是结果，细究背后深层次的原因，其实有两部分的原因，企业对外部组件的依赖越来越高（虽然 inhouse code 也是软件供应链安全的一部分，但毕竟 inhouse，相对可控）；以及越发强大的防护体系犹如坚固的特洛伊城，攻击只能从特洛伊木马入手，且该方式可以一敌百。

企业对外部组件的依赖越来越高，尤其是开源组件，其安全问题十分严峻

开源软件在应用开发中占据了主导地位，无论是企业采买的第三方商业软件，还是请第三方开发的外包软件，其代码中都大量使用了开源组件（ That‘s why 国内信创开始强调真正的自主可控了，不单单要求是国内厂商自主开发的软件，还要求软件中尽量少引用海外的开源组件，至于原因，相信懂的都懂）

来源：Synopsys OSSRA Report

而开源软件因为数量多，因为其开发者安全能力层次不齐，因为开源软件不以商业化为核心，其维护更新并不一定及时且不一定关注安全性等，安全问题频发。

同时，随着一些企业服务类的软件、开发者工具类的软件逐渐成为事实标准，覆盖的客户数或用户数越来越多，其一旦受威胁会对相当高比例的使用者造成威胁，后果严峻。举个例子，2022 年 5 月，安全研究人员在 npm  注册表中发现了一些恶意软件包，由于 npm 算是js包管理工具领域的事实标准，其影响范围极大。

企业传统防护类安全建设日趋完善，下一攻防战场围绕在软件供应链领域

对于攻击者而言，企业的防护越来越坚固，包括很多传统行业都是采用内网，大幅提升了传统攻击的成本。因此，从供应链入手，一方面很多企业对供应链组件的防护尚且不足，另一方面，通过影响供应链可以波及到成百上千的企业，攻击的 ROI 有了显著提升。

对于企业而言，传统的安全防护逐渐建设完成，下一波的预算需要投入到企业尚属薄弱且黑客攻击频发的领域，也就是软件供应链。而 DevOps 和 DevSecOps 的日益成熟，也为企业构建软件供应链安全提供了基础设施的保障。

Market Size & 市场集中度

市场空间：国内市场百亿 RMB 可期，海外百亿美金可期

安全市场频发持续提升了企业对于软件供应链安全的重视，而政策的颁布和出台加快了企业采购的步伐，以 Gartner 的预测为例：

• 企业使用 SBOMs 的比例将从 2022 年的不到 5% 提升到 2025 年的60%。（https://www.reversinglabs.com/blog/gartner-explains-why-sboms-are-critical-to-software-supply-chain-security-management）

• 到 2025 年，全球 45% 的企业都会遭受软件供应链攻击，该数字是 2021 年的 3 倍。（https://apiiro.com/blog/gartner-continues-the-push-for-software-supply-chain-security/）

回到国内市场，从需求的角度，可以划分为两个大类，三个小类市场：

1）合规市场

• 许可证合规市场：对开源许可证的合规使用是很多企业容易忽视的问题，也是企业在出海时容易踩的坑。该市场在国内之前由 BlackDuck 主导，国产替代下产生新的机会。

• 自主可控市场：国内各关键行业纷纷起草出台政策，强调软件的自主可控，且当前更进一步，不但在股东层面进行限制，还需检测审核所谓的国产软件背后是否引入了海外的开源组件。该需求与美国和欧盟的 SBOMs 政策有异曲同工之处，只不过除了安全威胁问题还涉及地缘政治安全。

2）真实安全需求市场

• 因为供应链攻击和投毒等催生的市场，尤其是对于国家关键基础设施和涉及敏感数据的行业，一旦被攻击，损失巨大。之前的人行和上海的随申码数据泄漏就是前车之鉴。

以国内市场为例，截至 2021 年，中国有接近 4500 万的中小微企业；依据 2018 年的中国经济普查数据，在中国所有经济主体中，0.2% 的经济主体属于大型企业，1.3% 属于中型企业,粗略估计中大型企业的数量在 50 万+。假设到 2030 年，市场渗透率在中大型企业中占 10%，单企业的平均付费在 40 万（即一个中等水平的安全人员的年薪），整个市场也有近 200 亿的体量。由于海外的客单价更高，海外市场未来百亿美金可期。

整体上合规市场会先起来，真实安全需求市场则会后发制人，在中长期占据主导。

市场集中度：头部效应明显，市场最终会呈现出集中化趋势

此处先讲结论，详细内容放在最后探讨。

**以开发者为核心的软件供应链安全，头部效应明显，未来市场集中度会比较高。**因为开发者是一个极其 picky，但又有很强忠诚度甚至是产品信仰的人群。因此进入门槛极高，而一旦进入，替换的成本也极高，重复造轮子的工作价值不大，最后市场优胜劣汰，具有较强的头部效应。

**以安全人员为核心的软件供应链安全，相对市场会分散些，但由于该领域最终价值的闭环交付要求安全人员和开发者的强协同，因此以开发者为核心的企业未来会成为市场主导。**因为从安全者切入开发者的难度，远远大于从开发者切入安全人员。

因此整体上，软件供应链安全市场相比于之前的传统安全，市场呈现出更强的集中度。

商业模式

判断一个赛道是否具备好的商业模式的核心在于，客户如何评估和衡量 ROI。具体而言包括了几个维度：

• R—客户需要多久的时间才能认可产品的价值，以及客户是否能清晰的衡量

• I—客户愿意持续付费的底层原因是什么，客户如果不持续付费，会产生什么后果

• 不同厂商的 ROI 比较—产品能力是否好衡量，客户是否愿意去衡量，是否会出现劣币驱逐良币

回到软件供应链赛道，我们之所以看好，是因为其产品价值可清晰衡量，能收到订阅收入，以及市场还是强者为王，能够形成一个好的 Business。

Return：

整体 Return 清晰，看好能实现从发现问题，到解决问题闭环价值交付的企业

整个安全赛道都有个共性特点是，客户买安全产品本质是买保险，避免潜在的巨额损失。因此 Time-to-value 这一点客户都有心理认知。

价值的衡量：依据市场需求的不同，其价值衡量也不同

• 合规市场：对于需求方其判断方式是政策规定要什么我得有什么，监管用什么产品来查我，那我就用什么产品自测，衡量很直接也很清晰；对于监管方，衡量的方式是该产品是否能够帮我来准确检测辅助监管，这就涉及的到产品能力衡量了。

• 安全市场：本质是解除威胁，保证安全。因此其判断衡量维度是，你是否能帮我准确检测我的威胁项，是否能够帮我把这些威胁项解除。因此我们看好能够实现从发现问题，到解决问题闭环价值交付的企业。

Invest：

由于外部组件和漏洞的不断更新，客户有充足的动力持续付费

如果只是一次性买断，产品未来不再迭代升级，那么该产品将逐渐的失去效果，原因是因为：

• 其引用的外部组件本身在不断变化：以开源软件为例，GitHub 每天都会有非常多的新开源项目，如果某家企业引用了最新开源的某个项目，而陈旧的软件供应链安全产品并未覆盖该开源项目信息，则会出现漏报，影响准确性。

• 漏洞知识库在不断新增和更新：每天每周都会有很多新的漏洞被爆出来，如果陈旧的供应链安全产品未收录，则无法准确提示风险。

客户付费的本质是买保险，如果老的保险无法覆盖新的事故，那就毫无意义，因此客户有极强的动力持续付费。

产品的好坏是否好分辨：

好的产品终将脱颖而出

对于合规类的产品，客户看监管要求，因此核心是监管侧是否有分辨产品好坏的能力以及有意愿用好的产品，而非靠商务关系。目前来看，无论是美国政府，还是国内的人行、公安等机构，因为其都是实实在在遭受过软件供应链攻击，知道被攻击后果的严重性，有极强的使用好产品的动力。有了动力，能力总有办法来弥补。

对于真实安全需求，其追求的是安全问题的最终解决，而企业里解决安全漏洞问题的人是开发者。因此一个软件里面，是否真的依赖了某个外部组件，该引用部分是否真的涵盖了某公开的漏洞，这些信息可能可以骗过安全人员，但是骗不过软件的开发者（这也以前安全人员与开发者总是争执的原因）。

因此无论是哪种需求，不好的产品可能短期内会因为商务关系进去，长期必然会被替换；而好的产品将伴随监管的推行，和开发者的认可，脱颖而出。

Good Product：

好用易用价值闭环是核心

软件供应链安全的产业图景

1. 当前大部分企业集中在供应链检测修复领域，风险预警行业格局初定，可信管理尚处于发展早期。

2. 海外市场产品多以开发者为核心，标杆案例 Snyk 已 74 亿美金估值，且后续增长强劲；国内厂商大多从安全人员出发，容易后劲不足。

在做 mapping 的时候，发现很多公司的官网中打上了 Software Supply Chain 的 tag，究其定位，我们总结了一横一纵两种划分方式：

• 核心的使用方**是客户的什么部门 or 人群，是开发部门，还是安全部门。**开发部门保证软件开发和交付过程中的安全，通常与 DevOps 流程相结合；安全部门从 SBOMs 视角出发，评估软件的构成和安全。（btw，此处需要 clarify 一下，使用方并不等于采购方，在很多企业，开发部门并不享有安全预算，还是需要安全部门买单）

• 在什么环节保障供应链安全，是在前端的软件供应链前端的可信管理，还是开发部署环节的检测和修复，还是上线之后的风险预警。

来源：INP根据公开信息整理

整体我们发现，当前大部分的企业，尤其是最近几年成立的创业都集中在供应链检测修复领域，风险预警领域市场相对较为成熟，先发者优势明显；供应链可信管理对产品和技术能力要求较高，玩家相对较少，在安全进一步左移趋势下，未来会出现更多企业。

供应链检测修复领域：受政策驱动，当前玩家较多，预计未来会走向统一

近几年海外市场受美国政府和欧盟政府的强制性 SBOMs 要求，国内市场受各行业安全和自主可控要求，涌现出一批专注于供应链检测修复领域的企业。具体来看，该领域的玩家可以分为以下几类：

1）以安全人员为核心，以合规政策需求为导向，以 Sales-driven 为核心 GTM 模式，以 SCA 为核心产品的企业

• 典型玩家：典型企业包括 Synopsys 收购的专注于许可证合规的 BlackDuck，国内的 BlackDuck 系玩家包括安势科技、软安科技等；从其他安全产品领域延伸至 SCA 的企业，比如 Checkmarx、奇安信等；以 SBOMs 为核心的新成立的创业公司，包括 Anchore、Codenotary 等

• 该类型的企业短期受政策推动，凭借其销售能力，有能力取得一定的收入；但是在长期，由于其更多只是围绕在检测侧，精准的修复对于企业的积累和能力要求极高，而修复才是核心价值所在，所以长期发展可能会陷入一定的瓶颈。

来源：Anchore官网

2）以开发者为核心，以安全需求为导向，以 Product-driven  为核心 GTM 模式，提供单点工具  or  工具集的企业

• 典型玩家：以开发者为核心提供 SCA、SAST、IAST、RASP、容器安全、IaC 等一个或者多个工具产品的企业，典型企业包括以自身安全社区为核心，面向开发者提供一系列工具的 GitHub、Gitlab 等；专注于某个细分领域的创业公司，比如通过开源方式以 Rule-base 做 SAST 和 SCA 的 R2c 等，帮企业检测所依赖外部组件更新情况并帮助企业进行自动更新的企业 Moderne；基于 eBPF 技术在 runtime 层面帮助企业检测开源组件安全的 Oligo。

• 该类型的公司，其围绕着开发者，无论是开源还是闭源模式，在打法上都是 Product-driven，以好用易用的产品作为切入口，压强足够强，实现单点打透。

• 在打法上，这些企业要么是依托于现有成熟的开发者生态，要么是定位于鲜有人涉足的方向，要么是相比于该领域有明显产品差异化和优势的产品。

• 由于细分的单点工具的市场空间有限，单点工具较难向客户传递闭环价值，因此该类企业未来亦或是被收购，亦或是自研或者收购其他厂商，往着闭环整体解决方案的方向进行延展。

来源：Gitlab官网

3）以开发者为核心，提供平台级解决方案型产品，以 Product-as-a-Service 驱动作为核心 GTM 策略，满足客户安全/合规需求的企业

• 典型玩家，包括 74 亿美金的 Snyk，5-10亿美金估值的 Mend，10 亿美金估值的 Aqua Security，以及国内红杉投资的创业公司墨菲安全等。

• 该类型的企业通常都是从单点工具领域延展过来的，比如 Snyk 从开源组件分析延展，Aqua Security 从云安全延展，Mend （原名 WhiteSource）从开源组件分析进行延展，Contrast Security 从 IAST 进行延展。很少有一开始就是 Platform 的企业，因为其面向的对象开发者对产品的极致追求，Platform 很难在一开始就把所有产品都打磨的尽善尽美，而但凡有一处不好，就很难获取开发者的信任。所以 All-in-one 是结果，而不是手段。

• Platform和单点工具企业的最核心区别在于，是否将几个产品有机组合在一起，以客户的需求为核心，完整的帮客户解决问题，还是只是提供工具，需要客户自己将工具与场景相结合。其实本质是，提供的是Service 还是 Product。

• 在具体的模式上，这类企业很多都是单点产品开源与闭源商业软件相结合，开源构建知名度，占据用户心智；闭源商业版提供 solution，end-to-end 解决客户需求。

• 该类产品未来会是行业终局的产品形态，但这对企业的要求特别高，这不仅考验产品和技术能力，更考验对于客户需求侧的理解。

来源：Snyk官网

供应链可信管理领域：

当前玩家较少，发展潜力大

可信管理的实质是，希望在最上游，仅允许开发者将安全的组件引入进来。该领域当前还处于发展的早期阶段，目前市场的玩家包括 Jfrog，其在制品库中对制品进行漏洞扫描；Mend Supply Chain Defender 可以检测并阻止开发者下载有威胁的外部组件；Chainguard 基于 SigStore，通过加密签名为用户提供安全的镜像；Sonatype 的 Nexus Repository 检测并组织有威胁的外部组件引入；墨菲安全从检测修复延伸至可信管理。

软件供应链可信管理当前竞争玩家较少，尤其是国内市场，除了 JFrog 在国内有团队服务于大型客户之外，其他的产品尚未进入国内市场，而国内的厂商，鲜有人涉足。未来随着安全保护进一步迁移，对可信管理的需求将进一步提升，市场发展潜力较大。

风险预警领域：

市场头部集中，先发优势较强，后发者挑战较大

风险预警由于对于漏洞知识库要求较高，需要持续投入积累，因此市场相对较为头部集中，对后发者的进入门槛也较高。同时，由于漏洞库构建的高成本，即使是头部企业，自建的 ROI 较低，因此对好用有用的风险预警产品仍具有很强的付费意愿，Recorded Future 在 2022 年 11 月时宣布其 ARR 已超过 2 亿美金。

对于国内市场，由于涉及到中美关系和数据安全问题，海外的产品很难直接向国内的厂商提供产品，而该产品对于对安全要求较高的客户，付费意愿明显，因此国内风险预警市场存在机会，但是对于厂商的要求极高。

产品定位：面向开发者 or 安全人员？

刨除产品本身所处环节的不同，从企业的产品定位和面向人群的角度，不同企业展现出巨大的差异性。开发者还是安全人员？有时候是个选择题，而更多的时候其实不是选择题，而是，你只能选择这个。

以开发者为核心

• 其好处是，一旦成功，产品粘性和壁垒极高，且可以大幅降低获客成本，提升销售转化率。同时由于开发者才是在软件供应链安全中最终修复问题的人，所以可以实现自行闭环。

• 其难点是，由于产品与开发者的 workflow 相结合，以及人员本身的定位，导致开发者对于产品更为 picky，对产品提出了更高的要求。以及极高产品粘性和壁垒的反面是，对于后发者具有极高的进入门槛。

以安全人员为核心

• 好处是，相对而言，安全人员对于产品能力的要求没有开发者那么高（但其实也很高，BlackDuck 在许可证合规上做到了极致），且直接掌握预算，尤其是对于政策等要求的产品，具有较强的采购意愿。

• 其难点是，销售模式上以 Outbound 为主，销售成本高于 Developer-First 的产品，非常考验团队的销售能力。同时由于解决安全问题的人最终还是落到开发者，所以以安全人员为核心，只能做单点的工具，无法真正的解决修复问题。

2B 企业的成功要求产品和销售缺一不可，不能有短板，如果不是两者都极强的话（如果都强，那才是选择题）。

面向开发者，是用产品的长板来弥补销售能力的短板；面向安全人员，则是用销售的长板来补齐产品的短板。

**面向开发人员，难的是开头，一旦成功，则是大成，譬如 Snyk；面向安全人员，难的是补足后劲。**一方面大成对于企业的综合能力的要求会非常高，另一方面，由于安全人员无法实现问题的真正解决，无法形成闭环价值，因此只能做单点工具，所以被收购可能是种路径，譬如 BlackDuck。

无论是面向开发者还是安全 or 合规法务人员，产品为王还是永恒的真理。

那么问题来了，怎么样的产品算是 Good Product？Good Product 的核心能力和壁垒又来自于什么？

什么样的产品是 Good Product？

**一个 Good Product，必然是一个好用、易用、功能强大且满足客户需求的产品，而且最好是能让用户有戒断反应的。**具体来看：

好用：

主要包括准确性和产品的性能

这里的准确性包括了可信管理的有效性，检测的准确性和修复的准确性，具体包括：

• 可信管理的有效性：是否真的能在源头的准入侧防止隐患的引入。

• 检测没有漏报：漏报会使得安全无法得到保证。

• 检测没有误报：误报对安全人员，会显著加大运维和管理工作量；对于开发者，会极大损伤对产品的信任，最后弃之不用。

• 修复的准确性：修复需要综合考虑安全问题的修复，以及该修复是否会造成兼容性问题，尤其是后者，如果因为潜在的安全隐患使得整体软件无法运行，对企业而言得不偿失。

准确性其实考察的是企业的安全能力

产品的性能包括：

• 检测修复的效率：很多软件动辄十几万行，几十万行，检测和修复的时间极大影响产品价值，以及使用成本。

• 预警的及时性：是否能在第一时间预警，甚至是有一些独有的非公开的漏洞和投毒情报。

性能考验的是企业安全能力，以及工程化能力

易用：

是否能快速部署，简单好上手

一个产品对客户的价值=产品使用价值 - 使用产品的成本

产品的易用性至关重要，尤其是对于海外市场，尤其是面向开发人员而非企业管理人员的产品，客户对商业版软件的第一个评估指标就是易用性。一个功能再强大的产品，如果易用性有问题，客户也很难用起来。

易用性具体包括了：

• 产品是否能与已有的工具链或者 workflow 打通集成

• 使用起来是否用户友好，即使是低水平的人员也能快速上手使用

• 产品的部署和交付是否足够简单快速，能否支持线上部署等

**Snyk 成功很核心的一个原因是：其产品的易用性做到了极致，获取了开发者的认可。**而这一点，是很多传统安全企业相对欠缺的，当然这也和 Snyk 创始团队的背景有关，其是开发背景出身，而不是传统的安全厂商出身。

易用性考验的是企业的产品化的能力

功能强大，满足客户核心需求，并让客户产生戒断反应：

核心在于价值闭环交付，并培养用户习惯

一个好的产品，一定是能满足客户需求的，只有这样才能卖得出去，客户才愿意买单。

虽然都是买保险，但是传统安全是买防护，供应链安全是买根治，客户最终需要的是解决问题，这一点国内外的客户都是一样的。因此，一个真正好的产品，一定是能帮客户根治问题的，而不只是告诉客户你有这个问题。只不过，国内外市场的区别在于，海外有高水平的工程师，可以充当根治的作用，而国内的客户整体水平较低，需要在产品层面，将准确修复的能力包含进去。

**在闭环满足客户需求之余，真正好的产品，是能让客户一旦使用之后就离不开你，产生戒断反应。**回到软件供应链安全领域，如果一个产品能够成为工程师日常工作的生产力工具，嵌入到他日常工作的 workflow 中，具有极高的使用频率，而且是工程师发自内心使用而非被安全部门强迫使用，一旦停止使用，会使得工程师的工作效率下降，那就做到了这一点。还是拿 Snyk 举例，Snyk 已经嵌入到很多工程师的 workflow 中，具有极高的粘性，这一点也体现在了 Snyk 的财务表现上， NDR 达 128%，客户数续约率达 92%。

考验的是产品经理的能力，

即理解****客户，理解场景，理解需求，区分痛点、

**痒点、**爽点，然后将其抽象包含在产品中。

Good Product 的核心壁垒？

Good Product 的上述三个维度，从抽象的维度，其分别考验了企业的安全能力、工程能力和产品能力。

**产品的功能和特性，都是时间的敌人，最终不同产品之间的差异都会被磨平，而数据和用户心智的占领，才是时间的朋友，是企业长期的竞争壁垒。**数据壁垒包括以下的维度，而用户心智的占领则与 GTM 高度相关：

• 强大的漏洞&投毒情报知识库

• 构建用户行为数据反馈闭环

强大的漏洞&投毒情报知识库

漏洞&投毒情报知识库是影响产品准确性最核心的因素，也是客户愿意花钱持续付费的原因。如果把一个好的软件供应链安全产品比作一个 AI 产品，漏洞库就是其中的 Golden Data。

一个好的漏洞 & 投毒情报知识库有几个特点：

• 全：漏洞覆盖是否全面，其中不同产品间最大的差异是，是否有独家的 0 day 漏洞

• 新：市面上出现新的漏洞，是否能最快覆盖，尤其是在野漏洞的收录速度

• 精：漏洞的描述颗粒度（好比数据集的标签情况），好的漏洞库需要覆盖漏洞缺陷点、利用条件以及兼容性评估等，这样才能保证检测和修复的准确性，避免误报以及修复产生兼容性问题。

强大的漏洞&情报知识库是企业的核心竞争力，同时其具备飞轮效应，掌握的漏洞知识库越强，对漏洞就越了解，越容易总结出策略来一定程度自动化辅助漏洞的挖掘和分析，从而进一步提升漏洞库的能力。

Human-in-the-loop，构建用户行为数据反馈闭环

最近在看 ML，里面有个词叫做，Human-in-the-loop，其指的是通过将人与机器学习算法相互交互，从而帮助更快的达到更高的精确度。其实在软件供应链安全领域也是同理，以供应链安全修复为例，如果能将供应链安全产品的能力与用户的真实反馈数据通过某种方式相结合，构建反馈闭环，就能持续提升修复的准确性，不断拓深产品壁垒。

Good GTM Strategy：

走中国特色的发展道路

之前的安全产品，除了海外市场有出现 Okta 这样的产品，其他大部分都是 Sales-driven 的，其核心原因是之前大部分的安全产品都是面向安全专业人员，角色内自闭环就好了，即使是需要跨部门，也是由安全部门主导，其他部门配合，协同性偏弱。**而软件供应链安全，如果想要实现价值闭环，解决安全问题，是需要开发者和安全专业人员的强协同，因为代码是开发者写的，最终操作修复问题的是开发者，**安全人员并没有能力去动代码。

来源：INP整理

场景的区别，造成了商业模式的差异。所以在软件供应链安全领域，出现了一批 Developer-First 的企业，最典型的当属 Snyk，其是最早喊出 Developer-First 的。同时，受合规需求的驱动，市场上依旧存在一批以传统安全打法的企业，典型的如 BlackDuck。

下面就以 Snyk 和 BlackDuck 为例，简单介绍下海外被验证的 GTM Strategy。

Snyk 和 BlackDuck 案例分析：

Developer-first  VS Compliance-Driven

Snyk: 

Developer-First 的 DevSecOps 产品

Snyk 2015 年成立，其公司成立的原因是发现，代码在增多、安全问题在变严峻，但是安全工具并不开发者友好。其坚信开发者最终一定会为安全负责，因此为开发者设计一款更好用的安全工具成为必然。

**从面向开发者的安全工具切入，快速构建开发者社区：**其从一开始就将自己定位于 Developer Oriented Security Tools Company，设计了面向开发者，针对开源组件分析和安全检测的工具，并将其开源，围绕其构建了开发者社区。凭借产品的好用易用，其在短时间快速吸引了大量开发者，成立两年半开发者用户数达 12 万。

**社区构建产品影响力，提升销售转化率，降低获客成本：**Snyk 最开始期望通过 PLG 实现销售转化，后来发现开发者并不掌握企业的安全预算，快速调整方向，开始组建销售团队进行 outbound 销售。但相比于传统安全模式，Snyk 趟出了属于自己的独特的销售模式：

1）开源和社区拓展，构建产品的口碑和影响力，潜移默化得影响安全采购者；

2）Snyk 通过对开源用户的分析，可统计出不同企业内自发使用开源版 Snyk 的人数情况，为销售提供高价值的 leads，辅以 outbound 的销售团队，大幅提升销售转化率；

3）与头部互联网企业合作，从安全线切入影响开发者，快速带来大量新增开发者用户，活跃开发者社区；

4）随着开发者社区的影响力提升，以及开发者的人员流动，将 Snyk 的产品带入到更多企业中，从而构建起飞轮效应；

5）随着 Snyk 越来越多的整合到企业的 DevOps 流程中，开拓第二第三产品曲线，进行 cross-sell。

Land and Expand，活跃的社区+极致的产品+产品驱动的销售拓展，在中长期成为 Snyk 收入翻倍的核心引擎：2020 年 Snyk 的开发者用户人数突破了 100 万，从量变到质变，社区的力量使得上述飞轮越转越快。在活跃的社区+极致的产品+产品驱动的销售拓展，三重作用下，2020 年收入 YOY 达 200%，2021 年 ARR YOY 达 158%，2022 年 ARR YOY 达134%，ARR 超 2 亿美金。

BlackDuck：

合规市场中，极强的销售能力，以及既做裁判员又做运动员的 GTM 策略

不同于 Snyk 从成立之初就定位于 Developer，成立于 2002 年的 BlackDuck 定位于帮企业检测并保障开源 License 的合规，其最早从 GPL 协议开始，主打开源许可证合规市场。

**BlackDuck 早期着力于开源合规领域的布道，凭借其方法论和好用的工具，获取头部客户支持：**BlackDuck 作为开源合规领域的排头兵，凭借开发好用的产品并总结开源合规领域的 best practice，在各大技术论坛上进行布道，获取了 Oracle、SAP、Fidelity 等头部客户的支持，建立起行业影响力，成为客户开发以及收购软件时检测安全合规的必备工具。

**极强的 Outbound 销售策略和执行力，BlackDuck 的许可证检测产品快速增长：**BlackDuck 在完成产品 PMF 并构建起一定的行业知名度之后，招聘了Red Hat 的前 CMO Tim负责商业化，并在后来接替创始人 Doug 成为 CEO；在 Tim 离开 BD 重回 RedHat 之后，招聘了对金融和零售有极强销售能力的 CEO Lou。两位具有极强销售和市场策略的 CEO，带领 BlackDuck 实现收入的快速增长，客户的大幅覆盖，并从合规延展至安全领域。

**从运动员到裁判的双重角色，BlackDuck构建起事实标准的壁垒：**BlackDuck 凭借产品能力、客户覆盖和行业影响力，成为许可证合规领域的事实标准，各监管机构在评估企业的合规风险时，背后使用的工具即为BlackDuck的产品，实现了从运动员到裁判员的过渡。此举也将帮助BlackDuck 更好的拓展市场，因为从采购者的角度，在合规领域，如何甩锅是采购者最为关心的问题之一。

BlackDuck 凭借行业的事实标准身位，在 2017 年收入规模在 7500 万美金左右，并以 6.65 亿美金的收购价被 Synopsys 收购。

中国特色的发展道路：

Snyk + BlackDuck 的打法相结合

中国安全市场一直以来都是以 Sales-driven 方式为主，除 360 外，其余的安全公司奇安信、深信服等，各自凭借着服务能力、销售渠道能力最终实现上市。但更多的公司，则是在 Sales-driven 的模式下，在大几千万至小几个亿的收入体量时遭遇增长瓶颈。对于 Developer-First 的模式，海外 Snyk 一定程度上印证了 Developer-First 的可行性，但国内该路径的可行性还处于摸索阶段。

所以，国内 Developer-First 的模式是否真的可行？中国特色的软件供应链安全发展路径是什么？

Developer-First 并不等于 PLG ，其核心是打造极致产品，通过社区运营降低销售成本

PLG 在中国缺少发展的土壤，但 Developer-First 并不等同于 PLG，而是面向开发者，打造 Developer satisfied 的极致产品；是通过渗透企业中真正解决漏洞问题的人，获取他们的认可，从而来降低销售成本，提高销售转化率；是通过分析社区开发者的人群画像，来分析不同客户在软件供应链安全领域的成熟度和需求情况，实现更精准的销售拓展；是在社区中建立起口碑影响力，星星之火可以燎原。这其实也是 Snyk 的发展路径。只不过中国与海外不同的是，海外对于不同类型的开发者是无差别的，但是在中国，阶级之间的决策权差异非常大，因此 Developer-First 要能够成功，需要在社区运营，在产品设计的时候，让开发 Leader 深度参与进来，而不只是普通的开发者。

所以我相信在软件供应链安全这个开发者占据重要角色的领域，Developer-First 在中国是 work 的，因为还是有非常多的企业是在乎开发者，在乎产品的，开发者，尤其是开发者的 leader 在企业内部不是处于弱势地位的，而是很重要人的。

中国特色：

Snyk + BlackDuck 的打法相结合

中国的软件市场也好，安全市场也好，相比较于美国来的更为艰难。海外可以 Sales-driven 打“大B”，也可以从开发者自底向上渗透客户，但中国则是不做选择，两只手都得抓。传统“大B”客户预算多，但是对产品的感知能力偏弱，且复杂的商务关系极大提高了销售难度和成本，造成市场分散，因此单做传统“大B”难以突破收入瓶颈。从开发者自底向上，中国的开发者的安全意识和能力相较于海外仍有一定差距，需要一定时间的培养。因此将两者相结合，采用 Snyk + BlackDuck 的打法，在国内是更可行的道路。

对于企业而言，既要有优质的产品，又要有“大B”销售能力，同时需要有活跃的社区构建影响力，尤其是与监管侧的合作必不可少。只有满足了既要、也要、还要，才能做大。既要是前提，也要是短期的收入来源，是从 0-10 的关键，还要是长期的壁垒，是 10-100 的主要推动力。

行业终局畅想

虽然软件供应链安全尚且处于整个赛道发展的早期，但整体发展有迹可循。看好能够抓住开发者，并与开发流程深度耦合的企业。

对于以开发者为核心的模式，其本质其实是开发者工具

对此我们有两点预测：

• 一方面，**在每个单点市场会趋于集中，在每个细分领域市场上最终仅会剩下不超过 5 个主流产品。他们的差异在于，面向的区域市场不同，面向的工程师的安全水平不同。**原因一方面是因为以开发者为核心的产品很多都开源或者部分开源，开源市场 winner takes all；另一方面，users-feedback-product，其中最核心的 feedback 是来自于用户的实际行为数据，用户和产品之间的飞轮效应，会使不同产品之间的差别持续拉大。

• 另一方面，**从跨产品功能的维度看，不同单点产品最后会 all-in-one，以一个平台对外提供给客户。**原因是安全并非是开发者的专业，如果不同类的安全问题需要用大量不同的工具来解决，学习和使用成本很高，开发者对于安全产品的诉求是帮我解决安全的问题，太多的产品反而会对其工作造成负担。

未来面向客户，市场上会出现两种类型的产品模式：

• 一种是通过兼并收购或者战略合作的方式，将自己或者自己与合作伙伴一起，变成一个 all-in-one 的平台，且该平台会与 DevOps 深度整合，譬如 Snyk。

• 另一种是会出现 Zapier 这样的企业，成为连接不同产品之间的纽带，其核心起到了打通产品 workflow 和打通数据的职责。以色列有家创业公司 Jit，种子轮拿了 Insight Partners 和 Boldstart Ventures (seed投了Snyk）的 $38.5M 融资。不过这种模式会更有挑战性，因为安全产品是一个专业性很强的产品（做的好的产品本身就不多，所以理论上来说只会存在第一种情况，这种模式的生存很难，不太需要单纯纽带类型的产品），在低于上述第一点的猜想下，未来软件供应链市场会是相对集中的，不像 Zapier 所处的企业服务市场那么下游分散；桥梁连接型的公司如果没有自己的核心产品，纯靠网络效应，竞争壁垒没有特别高。

对于以安全人员为核心的模式，其本质是传统安全产品，但相比于之前的公司，其更为产品化

传统安全产品，一般会有三种发展路径：

• **被传统安全公司，或者其他软件供应链安全公司收购。**事实上第一批软件供应链安全公司的收购已经开始了，2023 年 2 月传统安全厂商 Zscaler 收购了软件供应链安全厂商 Canonic Security 来补足自己的能力。

• **收购其他的安全公司，切入到其他的行业、其他的客户、其他的市场或是拓展产品品类。**该模式对于厂商自己本身的产品能力和销售能力具有较高的要求，需要有能磕下众多 500 强客户的能力，毕竟得自己先站住，才能去收购别人。

• **成为一家小而美，且盈利的公司。**并不是所有的公司都必须要上市，抱着几个大客户，自给自足，也是个不错的选择。

所以，走传统安全模式的公司，未来可能最后也就剩下小几家体量较大的公司，和一些小而美的公司，而成为那个大的安全企业的核心，在于能持续搞定众多的 500 强客户。

成为伟大的公司的核心在于是否能够抓住开发者，占住用户入口

单点产品的绝对头部可以支持公司到几十亿美金的估值体量，但一旦能够抓住用户，深入嵌入到用户的工作流程中，少则百亿美金，譬如 Snyk，多则几百亿美金，譬如收购了 BlackDuck的 Synopsys。Synopsys 就是从 EDA 产品入手，牢牢抓住了这部分客户和客户的生产工具，后续通过不断的自研及收购拓展产品矩阵，从 EDA 到芯片 IP 到安全工具，实现了 550 亿美金的市值。

对于软件供应链安全领域，如果能够抓住开发者和开发者流程，抓住这个入口，未来可以切入代码安全的所有领域，甚至代码的质量提升，进一步延伸至整个质量领域，市场从几十亿到百亿到数百亿，有望从一家不错的企业晋升为伟大的企业。