Symbiotic Security

Symbiotic Security：实时代码安全助手，助力开发者提升代码质量

Symbiotic Security今日宣布完成300万美元的种子轮融资，该公司专注于在开发者编码时实时监控并指出潜在的安全问题。与其他公司不同的是，Symbiotic Security更加强调教育开发者如何从一开始就避免这些安全问题。

理想情况下，这意味着开发者可以在安全漏洞进入代码库之前就修复它们，这反过来也能加快整个开发过程。由于开发者可以在他们已经工作的环境下进行在职学习，他们更有可能正确实施所需的更改。这比让他们参加一年一度的安全培训课程要有效得多。

Symbiotic Security，这家今年早些时候成立的公司，大约一个月前发布了其最小可行性产品(MVP)，重点关注基础设施即代码语言，如Terraform。正如Symbiotic的联合创始人兼首席执行官Jerome Robert所说，公司这样做是为了尽快推出MVP并证明其愿景。随着时间的推移，团队计划扩展到整个应用栈，并支持Python和JavaScript等语言。

Robert指出，即使是最对开发者友好的安全工具，本质上仍然是为安全团队提供的工具。“它们使安全团队成为更好的警察。它们不是让开发者成为好人的工具，”他说。“它们是允许安全团队每周发送数百条消息的工具，说‘你犯了一个错误。你需要修复它。’”

与此同时，开发者不断需要在修复安全问题和开发新功能之间做出选择。

Symbiotic Security的理念是引导开发者朝着正确的方向发展，类似于他们已经熟悉的代码补全工具。理想情况下，Symbiotic可以帮助开发者在编码过程中修复漏洞，远在持续集成和交付平台开始扫描代码问题之前。一旦发生这种情况，过程会立即变慢，Jira工单和额外的代码审查流程将接管。

这也是Symbiotic更进一步的地方。“仅仅允许他们修复[问题]并检测到它是不够的，”Robert解释说。“我们还需要对他们进行安全培训——开发者喜欢培训；这是一个绝对、100%确定的事情。然而，安全培训很痛苦。”

对于开发者来说，Robert认为现场进行培训是他们可以关联的事情。它专注于他们的即时需求，而不是抽象的东西——而且只需要几分钟。

目前，这些培训课程和视频是预先录制的，但随着时间的推移，它们可能会变得更加由AI驱动，这将允许Symbiotic使它们更加与开发者正在处理的具体问题相关。

还有一个有趣的转折。为了最好地训练一个自动修复安全问题的模型，你需要一个包含安全漏洞的代码语料库以及这些代码片段的修复版本。因为Symbiotic看到了问题然后告诉开发者如何修复它，所以它可以理想地创建一个用于构建补救模型的高质量数据集。目前，这是一个长期项目。

Symbiotic得到了Lerer Hippeau、Axeleo Capital和Factorial Capital的支持。“Jerome和联合创始人Edouard Viot对传统代码安全背后的问题有深刻的理解，并以他们的方法应对日益增长的左移安全解决方案的需求表现出了显著的远见，”Lerer Hippeau的管理合伙人Graham Brown说。“Symbiotic有潜力改变行业，赋予开发者和安全团队同等的力量。”