編者按：本文來自微信公眾號我思鍋我在（angelplusdevil），作者我思鍋我在GN，創(chuàng)業(yè)邦經(jīng)授權(quán)轉(zhuǎn)載。

10月29號，美國一家為程序員提供代碼缺陷及安全檢測的SaaS公司——r2c，宣布完成1300萬美金的A輪融資，由紅杉資本和紅點創(chuàng)投共同投資。

r2c背后是GitHub上的一個開源項目“Semgrep”，“r2c”則是團(tuán)隊經(jīng)過一段時間打磨后，正式運營的一家商業(yè)化公司。

簡單來說，Semgrep通過一套標(biāo)準(zhǔn)且可自定義的規(guī)則引擎（rule engine），實現(xiàn)以下三大功能：

• 運行錯誤（runtime error）糾正：包括基本的語法（syntax）或邏輯錯誤等；

• 安全風(fēng)險（security vulnerability）規(guī)避：例如預(yù)警一段錯誤的代碼可能把前面一整段代碼全部抹除，或者避免訪問存在安全隱患或不可訪問的數(shù)據(jù)庫等；

• 性能表現(xiàn)(performance）監(jiān)測：例如遵從良好的編程習(xí)慣即best practice，用最簡潔的代碼運行最復(fù)雜的程序等。

平臺已經(jīng)比較成熟地支持至少八種語言，包括Java、Javascript、Go、Python等，還有包括C、PHP在內(nèi)的四種語言在alpha階段。

（來源：r2c）

客戶方面，已經(jīng)有包括Dropbox、Snowflake、Chef等在內(nèi)的知名互聯(lián)網(wǎng)公司使用這款產(chǎn)品。而開源項目Semgrep在GitHub已經(jīng)有上千位關(guān)注者，累積超過10萬鏡像下載。

這個項目最早源自Facebook，原創(chuàng)作者Yoann Padioleau也加入了團(tuán)隊。通常，大廠如Facebook、Amazon或Google等對代碼管理有一套自上而下系統(tǒng)性的檢測及風(fēng)控體系，代碼也不應(yīng)該在最后測試或上線的時候才暴露出重大隱患，更不用說缺陷，尤其在愈發(fā)重要的安全問題上。

然而傳統(tǒng)的安全軟件是結(jié)果導(dǎo)向，不可能對運行程序進(jìn)行穿刺并指出問題位置。因此，大廠往往召集一個小團(tuán)隊，開發(fā)一套符合自身內(nèi)部安全要求且可自定義的代碼規(guī)則工具。

那么，如果將這套規(guī)則工具做得更加通用，將大廠的那些best practice開放出來給全世界工程師及IT團(tuán)隊呢？

Semgrep便孕育而生。

回到產(chǎn)品本身，通過GitHub賬號登錄即可體驗，主頁面包含以下操作：

• Write：根據(jù)已有或自定義規(guī)則，對代碼進(jìn)行精準(zhǔn)或模糊檢測；

• Explore：瀏覽規(guī)則庫，包含安全原則、代碼質(zhì)量等；

• Manage：項目導(dǎo)入和管理；

• Docs：幫助文檔。

（產(chǎn)品首頁截圖）

再看團(tuán)隊，Semgrep剛開始由三位MIT畢業(yè)生創(chuàng)立。CEO與CTO是同宿舍舍友，都來自MIT的EECS系，同時都是紅點創(chuàng)投的EIR（Entrepreneur in Residence，駐場準(zhǔn)創(chuàng)業(yè)者)，也就是說早就有備而來。兩位聯(lián)創(chuàng)CTO與CPO都曾在Palantir工作，一位負(fù)責(zé)網(wǎng)絡(luò)安全保險平臺的搭建，另一位在Palantir帶領(lǐng)內(nèi)部的開發(fā)者工具團(tuán)隊。

既懂安全，又懂產(chǎn)品，還有相關(guān)大廠經(jīng)驗和知名高校背景，可謂完美組合。而在最新一篇官方博客里，是這樣一句話真正詮釋了我想要看到的價值定位：

“...we raised a $13M Series A round of funding to build a securitytool that developers might actually love.”（我們完成了1300萬美金A輪融資，希望提供一個真正讓開發(fā)者喜歡的安全服務(wù)工具）

這段話直指公司的兩個核心價值：

首先，從安全切入解決剛性需求：不管代碼檢測（俗稱“debug”）或遵循best practice都有許多可替代方案，更重要的是前者是程序員最不想遇到的，后者是需要管理者自上而下驅(qū)動，兩者都在違抗實際使用者即程序員的天性。

但安全是公司和產(chǎn)品的底線，出問題很可能職位不保，因此越是在底層寫代碼的員工，越重視這個剛性問題，而且也同樣希望越早發(fā)現(xiàn)越好；

其次，從管理到效率提升才可能讓使用者喜歡：如果僅僅是測試階段進(jìn)行安全檢測，同樣有大量可替代方案。Semgrep在解決剛需的基礎(chǔ)上通過建立一套不斷擴(kuò)展的規(guī)則引擎，實時地對托管代碼進(jìn)行檢測和警示，同時開放集成Slack或Github等賬號，覆蓋從第一行代碼到集成開發(fā)環(huán)境（IDE）整個生命周期。

在我看來，只有發(fā)揮效率型工具的“鯰魚”效應(yīng)——像鯰魚一樣無縫植入工作流的每個環(huán)節(jié)，才能不斷挖掘更多低效的場景或問題，并逐個擊破。使用者才會感到時間的節(jié)省和效率的真正提升，最終進(jìn)行自下而上地傳播，形成網(wǎng)絡(luò)效應(yīng)。

近年來誕生的大多數(shù)SaaS產(chǎn)品，都具備一個重要的特征：

由管理型向效率型升級。

其實兩者最終目的是一樣的，但價值定位從如何幫助公司老板或管理層更好地馴服員工，轉(zhuǎn)為如何真正通過一款優(yōu)質(zhì)的產(chǎn)品讓員工體會到工作效率的改善，從而更加專注在創(chuàng)新上。

最后，我們來看下定價：

• 社區(qū)版免費；

• 團(tuán)隊版付費：40美金/月/開發(fā)者賬號。

一位早期員工現(xiàn)任安全研究所負(fù)責(zé)人，回憶第一次到r2c跟CTO面試的場景，他說：

“當(dāng)時我有些冒昧地對他說：這個項目很酷，但你知道更酷的是什么嗎？是程序員可以在一個在線的IDE環(huán)境下，自定義任何規(guī)則（而不像現(xiàn)在只有離線模式）...”

沒想到，兩天后他收到CTO的短信，告訴他：“Hey，這個開發(fā)環(huán)境上線了，你可以點擊以下鏈接測試。”，這頓時讓他刮目相看，果斷選擇加入公司。

在這里，我們又看到了熟悉的車庫文化。

我曾在去年關(guān)注到這個領(lǐng)域，并與國內(nèi)相關(guān)創(chuàng)業(yè)者有過交流。而過程中表達(dá)的疑慮在上述r2c的價值定位中找到了部分答案。我將持續(xù)關(guān)注相關(guān)公司的發(fā)展。

本文為專欄作者授權(quán)創(chuàng)業(yè)邦發(fā)表，版權(quán)歸原作者所有。文章系作者個人觀點，不代表創(chuàng)業(yè)邦立場，轉(zhuǎn)載請聯(lián)系原作者。如有任何疑問，請聯(lián)系editor@cyzone.cn。