RSA Conference 2023将于旧金山时间4月24日正式启幕。作为全球网络安全行业创新风向标，一直以来，大会的Innovation Sandbox（创新沙盒）大赛不断为网络安全领域的初创企业提供着创新技术思维的展示平台。

4月24日（美国旧金山时间），创新沙盒将决出本年度冠军，绿盟科技立足产品特点、核心能力等，带大家走进入围十强厂商，洞悉创新发展趋势。

01 AnChain.AI：全方位守护区块链数字资产安全

成立时间&地点：2018年·美国

关键词：区块链 人工智能

业务介绍：

AnChain.AI是一家以人工智能技术为核心的网络安全公司，深耕区块链安全领域，提供安全合规的区块链解决方案。核心产品/技术如下：

下一代加密货币取证平台（CISO）：支持对虚拟货币钱包地址的交易追踪，可用于检测分析犯罪活动中涉及到的可疑地址，以支持对加密货币交易的调查取证。

区块链事件/行为分析API（BEI）：基于机器学习和大数据分析技术，用于区块链事件和行为分析的BEI引擎（通过API接口调用），识别可能存在的威胁并给出风险评分。

智能合约风险评估引擎（SCREEN）：针对链上合约代码进行统计分析，提供易于理解的可视化热度图，显示该合约代码的相对安全性（相比于链上部署的同类智能合约）并给出安全风险评分。

Web3安全运营中心（Web3SOC）：专门针对Web3数字资产提供保护。5个核心功能分别是识别、保护、检测、响应、恢复。

02 Astrix：面向第三方云服务连接的访问控制

成立时间&地点：2021年·以色列

关键词：

业务介绍：

Astrix Security 致力于保护现代企业不断增长的第三方应用互连。面对针对企业关键系统的网络安全威胁，Astrix Security设计推出一种新颖的零信任解决方案。该安全平台对第三方应用程序连接的控制与安全管理的创新能力主要体现在以下四个方面：

1 全局可见性；

2 威胁检测能力；

3 快速修复；

4 生命周期管理。

Astrix Security提出的是企业用于保护应用到应用连接的可信解决方案。其无代理、非侵入式解决方案跨 SaaS、PaaS 和 IaaS 环境监控核心系统，并及时检测和补救滥用非人类身份的攻击。

Astrix平台

03 Dazz：面向SaaS化的云安全漏洞缓解平台

成立时间&地点：2021年·美国

关键词：云风险缓解 公有云 SaaS DevSecOps

业务介绍：

Dazz专注于云安全领域，其Dazz Remediation Cloud SaaS化平台主要为企业开发团队及安全团队提供漏洞修复和风险预估能力。技术优势如下：

1）快速集成能力

Dazz Remediation Cloud 可以通过其宣称的CDK快速集成到企业的 CI/CD 环境中，从而帮助开发者和安全团队更快地发现和修复漏洞。

2）信息获取能力

从多个来源获取系统信息，如操作系统版本、库版本、配置文件、Git提交记录、CI/CD Job详细信息等，从而帮助开发者和安全团队更好地了解系统状况，更准确地定位漏洞。

3）降噪能力

采用了先进的降噪技术（专利），可以去除大量的误报和无关信息，从而帮助安全团队更准确地评估漏洞优先级。

4）自动修复能力

可将漏洞关联到具体开发者，并自行修复漏洞，从而减轻开发团队的负担，提高修复效率。

04 Endor Labs：让开源软件使用更安全

成立时间&地点：2021年·美国

关键词：供应链安全 开源软件安全

业务介绍：

Endor Labs 是一家专注于供应链安全的初创公司。从技术上来看，其主要应用了静态分析、动态分析、依赖分析、机器学习等技术来实现开源软件安全风险评估和漏洞管理的解决方案，帮助企业降低开源软件的安全风险并确保其供应链的安全性。技术优势如下：

1）检测精度

Endor Labs采用了更先进的算法和机器学习模型，可以更准确地识别潜在的漏洞和安全风险。

2）可扩展性

Endor Labs可以轻松地适应大规模复杂软件供应链的检测需求，并提供了灵活的定制化配置选项。

3）可视性

Endor Labs提供直观易用的用户界面，帮助用户更快速地发现和解决潜在的安全问题。同时，Endor Labs还提供了自动化的检测和报告功能，可以减少用户的手动工作量。

4）响应能力

Endor Labs不仅能够帮助用户快速发现潜在的安全问题，还能够提供可操作的建议和响应方案，以便用户能够更快速地修复漏洞并降低安全风险。5）数据源多样性

Endor Labs可以整合多种数据源，包括公共漏洞数据库、开源软件组件信息、代码库信息、社交媒体信息等，从多个角度来分析潜在的安全风险。

另外，基于ChatGPT的智能问答机器人，Endor Labs结合ChatGPT推出了DroidGPT功能。该功能支持针对开源软件安全问题进行交互式问答，获取即时的安全风险评估、漏洞分析和修复建议等信息。

DroidGPT使用展示

05 HiddenLayer：针对机器学习攻击的防护与响应平台

成立时间&地点：2022年·美国

关键词：机器学习

业务介绍：

HiddenLayer是一家机器学习算法和模型安全解决方案的提供商。基于轻量化的软件平台方案，HiddenLayer能够提供针对机器学习系统的威胁建模、风险评估培训、红队评估服务，其提供的平台称为MLSEC PLATFORM，主要包括三个核心子产品（工具）：

MLDR，机器学习威胁检测与响应。能够提供实时威胁检测，提供包含告警、隔离、画像和误导（misleading）等响应操作，支持你可配置的精调选项。

Model Scanner，模型扫描器。能够提供脆弱性识别，失陷模型识别，以及恶意代码注入的检测。

Security Audit Reporting，安全审计报告。全面的报告AI/ML资产风险状态，可定制的仪表盘和报告功能，以及脆弱性的分级功能等。

06 Pangea：代码内生安全

成立时间&地点：2021年·美国

关键词：代码内生安全 编码安全 SPaaS

业务介绍：

Pangea是一家创新型企业，专注于为开发人员提供安全、合规和可靠的云服务。该公司的核心产品包括Vault、Redact、Embargo和Secure Audit Log服务，旨在帮助开发人员管理和保护敏感信息，并确保其应用程序在安全和合规方面达到最高标准。

Pangea首次提出SPaaS（安全平台即服务）的概念并实现了产品化，目前已经实现了多种安全能力的API，使得安全能力可以直接在编码阶段集成。

Pangea现存和规划中的API能力

07 Relyance AI：利用语义分析和代码审计实现数据治理左移

成立时间&地点：2020年·美国

关键词：数据治理 合规分析

业务介绍：

Relyance AI是一家隐私和数据治理运营解决方案提供商，其核心优势是大量采用人工智能和机器学习技术，快速实现时间、自动化、代码和合同集成以及智能洞察，可以在业务代码编写时分析出数据合规风险，实现客户数据治理左移；也是目前业内唯一一个提供代码级数据合规风险分析的数据安全厂商。功能和特色如下：

1. 实时数据清单和映射关系
2. 数据主体访问请求管理
3. 数据保护评估
4. 自动生成通用的数据处理活动记录
5. 智能检测和报警
6. 持续自动化的合同和政策分析
7. 第三方数据处理、风险和生命周期管理
8. 将数据治理左移

Relyance AI方案架构

08 SafeBase: 智能安全合规平台

成立时间&地点：2020年·美国

关键词：安全合规门户

业务介绍：

Safe Base是一家企业服务科技初创公司，核心产品是智能信任平台（Smart Trust Center）。SafeBase主要提供的是一个可以展示公司安全信息的门户，将安全审计的流程自动化，并做到了访问控制。通过Smart Trust Center，安全和销售团队能够共享安全、合规和隐私信息。借助 Safe Base，企业可以避免多余的问卷调查、更快地建立客户信任并完成交易。核心功能如下：

1. 构建企业公开的安全资料空间；
2. 为安全和合规团队构建安全知识库；
3. 主动性的与买家和客户沟通：
4. 通过自动化的NDA流程缩短生产时间

安全知识库

09 Valence Security ：自动化SaaS安全态势管理平台

成立时间&地点：2021年·以色列

关键词：SaaS SSPM

业务介绍：

Valence Security主要为用户提供即时、非侵入性的SaaS安全态势管理平台，帮助用户降低SaaS数据共享、供应链、身份和错误配置的风险。其主要功能是提供安全团队所需的可见性和业务上下文，通过对SaaS安全风险进行优先排序，在多个SaaS平台中实现自动化的修复工作流程。功能特点如下：

1）SaaS发现和可视化：通过无代理的方式连接至用户的核心SaaS应用程序，能够持续发现集成的SaaS应用、第三方的威胁情报等，并将供应商风险(TPRM)流程情境化，最终以可视化的形式进行展示，降低了用户SaaS应用治理的门槛

2）自动化+手动修复流程：通过统一的安全策略，扫描SaaS应用的安全风险并进行修复。修复方式支持自动化+人工干预的形式，既提供工作效率，也提升了用户的体验和综合治理效果。

Vanlence工作流程

10 Zama：开源全同态加密方案支持自动化改造

成立时间&地点：2019年·法国

关键词：全同态加密 机器学习

业务介绍：

Zama是一家专注于全同态加密（FHE）领域的网络安全公司。以TFHE加密方案为底座，Zama构建了一个FHE解决方案，覆盖面深入浅出，既可以深入密码算法底层、精确控制FHE的参数细节，也可以在零密码基础的背景下自动化地实现程序电路FHE改造、便捷的进行FHE加密应用开发。Zama认为作为HTTP向HTTPS转型的下一步，新一代互联网应当构建在由端到端加密全程保护的HTTPZ上。而能实现端到端加密特性的FHE技术，被认为这一转型的关键所在，也是Zama致力于提供高效便捷的FHE产品的原动力所在。

核心产品：

1）TFHE-rs：完全使用Rust语言编写的TFHE全同态加密库

2）Concrete：可以对普通程序进行自动化FHE改造的编译器

3）Concrete-ML：基于Concrete编译器的隐私保护机器学习工具集