BizIdea
RSS 英文

TORQ 开发工具 扫描 2026-05-19 to 2026-05-19 运行 20260520000119

给 AppSec 团队用的 code-to-cloud 图谱——告诉他们哪些发现真能打到生产数据、哪些修复可以安全自动执行。

产品安全团队已经从 SAST、CSPM、身份和运行时工具里收到一堆处理不过来的发现,但每条告警都缺了判断真实爆炸半径所需的本地上下文。分析师和 AppSec 工程师得花几个小时,重新拼出哪个 repo 拥有这项服务、哪些身份能打到它、它会不会碰到生产数据,以及自动修复会不会打断关键工作流。等自主安全代理真正进生产后,缺的就不再是又一个检测器,而是一张可信图谱——把一家公司内部代码、权限和运行时资产怎么连在一起,讲清楚。

Bizidea 研究

综合评分 3.7 / 5.0
  1. 3
    市场

    $700.0M 的 TAM、25% 的生态增长和 5 个已映射竞品,说明这确实是个市场;但相邻平台太挤,竞争也会很硬。

  2. 4
    差异化

    切口是一张可直接执行的 可直接执行的图谱,把 owner、权限路径、运行时暴露面和安全动作收进同一个对象;这比宽平台现在给出的方案更直接。

  3. 4
    执行

    六个岗位、分阶段的团队计划和清晰里程碑配得上 75% 毛利率、10.4x LTV/CAC 和 5.3 个月回本;但 Y3 现金会转负。

  4. 4
    时机

    同日收购再叠加 4 个近期信号,让 why-now 很强;不过大多数证据仍集中在一个催化事件上。

章节

为何现在

  1. 一线 SOC 平台刚刚买下上下文图谱技术,说明这层能力已经从实验性的 增强功能,跨进了迫切要上的操作基础设施。
  2. 买方现在要的是一套能把代码、权限、身份和运行时行为连成一体的模型——因为只有这点上下文,才够让代理安全地调查或采取动作。
  3. Jit 不再把自己停留在纯 DevSecOps 工作流产品,说明静态工作流自动化已经不够;客户要的是会随着系统变化而持续更新的动态图谱上下文。
  4. 自主安全运营越往前走,内部上下文缺失的代价就越高——每一个缺口,不是卡住安全修复,就是埋下错误自动动作的风险。

催化因素。 Torq 收购 Jit 说明,自主安全运营现在必须吃到横跨代码、身份、权限和运行时行为的图谱化上下文。

章节

创意

产品先从 GitHub、CI、IaC、云控制面、Kubernetes、身份提供商和工单元数据里,持续构建每个面向互联网服务的图谱。入口产品把每条新的扫描器发现,直接转成 修复包:受影响的服务、负责团队、可达的权限链、客户数据暴露面、部署依赖,以及安全修复 操作手册,一次给全。AppSec 不用再转发 5 条原始告警,只需推送一条排好优先级的 Jira 或 Slack 工作流。等信任建立起来,这个平台就能变成自主修复的护栏:低风险修复自动执行,模糊案例则连同完整推理链一起升级给人。

差异化。 现有扫描器、CNAPP 和 SIEM 厂商各自掌握了画面的一部分,但很少有人能拿出一个真正可执行的 可直接执行的图谱,把服务 owner、权限可达性、运行时暴露面和修复安全性塞进同一个决策对象。这家创业公司赢的,是“发现”和“动作”之间的那一刻:团队得决定是 压掉、建票,还是自动修。因为这张图谱从一开始就为安全执行而不是泛分析而建,它最后有机会长成整条技术栈上自主安全工具的授权层。

创业论点
滩头市场 先拿 Series B–D 的 B2B SaaS 公司里、面向互联网服务的修复流程做滩头市场。这里的 AppSec 团队每周发版前,都得判断一条新发现的代码或云配置问题,会不会暴露客户数据、能不能在下次发版前自动修掉。
切入点 切口是一张“变更爆炸半径图谱”:把每个新漏洞或错误配置,直接变成一个 修复包,里面带上 owner、权限路径、生产数据可达性、回滚约束,以及安全修复建议。
非显而易见洞察 安全里的下一个控制点,不是把告警做得更花,而是那张组织专属图谱:它告诉代理,一个发现到底能打到哪、谁能安全修、哪些自动动作被允许。Torq 买下 Jit,说明这张图谱正在从 增强数据,变成行动系统。
风险投资级路径 先从 AppSec 优先级和面向互联网服务的安全修复切进去,再把同一张图谱扩到 SOC 调查、身份风险审查、合规证据,最后变成整个企业里安全代理“能做什么”的授权层。
目标用户
主要用户 主要用户,是 Series B–D 的云原生 B2B SaaS 公司里的资深产品安全和平台安全工程师:团队规模 75–300 名工程师,使用 GitHub、AWS、Kubernetes、Okta,并且每周都有面向互联网的发版节奏。
次要用户 次级用户,是负责面向互联网服务的工程经理;当 AppSec 团队被工单压垮时,他们会接手修复票。
经济买方 典型买方,是一家云原生 B2B SaaS 公司的 VP Engineering、产品安全负责人或 CISO;他们想把修复自动化跑起来,但又不想失去控制。
市场切入种子
首个客户 第一个客户,应该是一家 Series C 的云原生 B2B SaaS 公司:100–250 名工程师,使用 GitHub Enterprise、Terraform、AWS、EKS、Okta,只有 3–8 人的产品安全团队,却要被每周面向互联网服务的发现淹没。
购买触发点 常见购买触发点,是董事会要求引入自主安全分诊,或最近发生过事故、审计、企业客户安全评审,把团队证明爆炸半径和分配 owner 的速度太慢这件事彻底暴露出来。
当前替代方案 现有替代方案,是 CSPM 和 SAST 仪表盘、内部服务目录、电子表格,以及 AppSec 和工程团队之间靠 Slack 人工分诊。
切换理由 第一个客户愿意切过来,是因为这套产品把分诊时间从几小时压到几分钟,同时又给安全负责人一个可审计的办法去批准或限制自动修复,而不是把命运交给彼此割裂的工具。
定价假设 定价假设是平台年费,按面向互联网的生产服务数量和接入的身份域数收费;自主修复审批层再卖一个高阶版本。

待完成任务

任务 当前替代方案 成功指标
当发版前冒出一个新的面向互联网的发现时,帮产品安全工程师判断真实爆炸半径、把票派给正确 owner,这样他们既能尽快修复,也不会拿一堆假高优先级工作去淹没工程团队。 在扫描器仪表盘、云控制台、电子表格和 Slack 之间人工分诊 从发现生成到 owner 被明确分配修复票的时间
当管理层想上自主修复时,帮安全负责人定义哪些修复能安全自动化,这样他们能部署代理,又不把生产风险放飞。 一刀切的人工审批,或零散的内部脚本 符合条件的修复里,自动修复且没有触发回滚事故的比例
变更爆炸半径图谱
flowchart LR
  Scanner[Scanner finding] --> Graph[Code to cloud context graph]
  Graph --> Fix[Fix packet with owner and safe action]
  Fix --> Outcome[Faster remediation and safer automation]
创意评分卡 — 平均4.4 / 5 · 5个维度
信号4/5痛点5/5切入点5/5防御性4/5规模化4/5
  • 信号 · 4/5围绕上下文图谱发生了一笔真实收购,这是很强的验证信号;但同日可信证据仍然只有一篇。
  • 痛点 · 5/5AppSec 团队本来就很难把发现和 owner、爆炸半径连起来;自主修复只会把判错一次的代价再抬高。
  • 切入点 · 5/5入口工作流很窄也很具体:把面向互联网的发现,变成带 owner、可达性和安全动作上下文的 修复包。
  • 防御性 · 4/5护城河来自专有图谱、工作流卡位和策略历史;但大厂安全平台也可能把相邻能力打包进来。
  • 规模化 · 4/5这张图谱可以从 AppSec 一路扩到 SOC、身份、合规和代理治理,最后长成更宽的安全控制平面。
商业模式画布
关键伙伴
  • GitHub
  • 云与身份平台提供商
  • 安全服务伙伴
关键活动
  • 采集并标准化遥测数据
  • 维护图谱准确度和置信度评分
  • 交付修复工作流和策略控制
关键资源
  • code-to-cloud 图谱引擎
  • 跨研发系统和身份系统的深度集成
  • 安全工作流经验
价值主张
  • 只优先处理真正会打到生产环境的发现
  • 把原始告警直接变成可交给负责人的修复包
  • 用可审计的图谱上下文约束自主修复
客户关系
  • 先和共创客户做高触达部署
  • 持续与安全负责人一起调工作流
渠道
  • 创始人主导的安全共创客户
  • AppSec 和平台工程社群
  • 云安全咨询公司和 MSSP
客户细分
  • 云原生 B2B SaaS 安全团队
  • 支撑面向互联网服务的平台工程团队
成本结构
  • 连接器和图谱基础设施研发
  • 客户导入所需的安全领域专家
  • 图谱更新与策略评估的算力和存储
收入来源
  • SaaS 年费订阅
  • 自主修复审批高阶版本
章节

市场

市场规模
TAMSAMSOM TAM · 总体可寻址市场 $700.0M SAM · 可服务市场 $156.0M SOM · 可获得市场 $2.7M
市场规模概览
TAM $700.0M 按 5,000 家北美/欧洲云原生 B2B 软件公司(估算)× 每年 $140k 的混合平台支出建模;锚点来自生态规模/采用代理指标,以及相邻平台的产品打包方式。
SAM $156.0M 假设有 1,200 家英语环境的 Series B–D 或中端 SaaS 公司,复杂度足以为一个狭窄的修复决策层买单,并按 $130k ACV 估算。
SOM $2.7M 第 3 年的可达情景,按 18 个客户、每个约 $150k ARR 计算;销售靠创始人主导,部署先从单一服务组合切进去。

高管要点

  • Torq 收购 Jit,验证了上下文图谱已经成了一层真实的控制面;但这个空间也早就被 ASPM、CNAPP 和资产图谱厂商挤满。
  • 真正没被满足的切口,比泛 ASPM 更窄:把一条面向互联网的发现,直接变成带 owner、权限路径、运行时可达性和安全动作建议的 修复包。
  • 第一款可信产品,赢点不在检测器有多全,而在信任和 见效速度;只有当图谱覆盖和审批逻辑经得起审计,买方才会放开自动化。

市场定义

这个市场,是给 AppSec 和平台团队用的工作流软件:把代码、云、身份和运行时上下文关联起来,优先级排序并安全修复面向互联网的软件风险。它贴着 ASPM、CNAPP 和 CTEM,但真正的切口是“发现”和“动作”之间那个决策对象。

用户与买方

主要用户,是云原生 B2B SaaS 公司里的产品安全和平台安全工程师。真正拍板预算的,多半是产品安全负责人、VP Engineering 或 CISO;他们想把修复速度提上去,又不想让自主工具不受控制地碰到生产环境。

购买触发点

  • 最近的事故、审计或客户评审,暴露出一个软件或云发现的真实爆炸半径,至今还要靠多个工具手工拼好几个小时。 [61][62]
  • AI 辅助开发和更快的部署节奏,把代码量和变更速度抬得比 AppSec 人头增长还快,积压分诊开始让人无法忍受。 [59][60]
  • 管理层想上 agentic 或自主安全运营,但在允许自动修复前,他们需要组织专属上下文和审批护栏。 [5][64][1]

支付意愿

相邻平台品类里已经存在预算。公开定价覆盖了按开发者收费的计划(Snyk)、分层 AppSec 套餐(Endor Labs)、按资产和集成收费的模式(JupiterOne),以及按工作负载模块报价的方式(Wiz)。这说明,只要产品真能把分诊工作收拢起来、并可量化地减少修复人力或 数据泄露风险,买方就会为独立产品买单。 [16][18][31][35][62]

品类动态

增长信号 GitHub 项目总量同比增长 25%(生态代理指标)

顺风因素

  • AI 辅助开发正在抬高软件产出,AppSec 团队越来越难对每一次变更都做带上下文的人工审查。
  • 云原生采用仍然够深,很多目标团队早已同时横跨 repo、CI、云和 Kubernetes 运转。
  • 并购和厂商叙事都在说明,可利用性和上下文已经从“报告附加项”变成主要购买轴。

逆风因素

  • 买方背着削减工具膨胀的压力,因此除非产品能明确替代人工工作,否则独立预算并不好拿。
  • 只要差异化不够,宽套件就能用相邻能力打包,把窄工作流工具压成“可选项”。

验证信号

  • Torq 收购 Jit,明确就是为了把 AI 上下文图谱接进安全运营;这说明上下文已经从 增强元数据,变成一线控制层。
  • Jit 称其已在近 100 家企业客户里部署了数千个 AI 安全代理,说明建立在贴地上下文上的自主安全工作流确实有真实需求。
  • 相邻厂商现在都把 exploitability 优先级和 code-to-cloud 上下文当成核心产品价值来卖,而不是可选的报表功能。
  • Snyk、Endor Labs、JupiterOne 和 Wiz 的公开打包方式表明,企业预算已经存在于相邻的优先级和图谱型安全平台里。

监管与技术约束

  • 自主修复决策必须带可解释控制和治理,因为 AI 风险框架已经明确要求关键工作流里的 AI 使用要可信、可管理。
  • 安全软件开发的要求越来越偏向“可举证的修复实践”和采购时可共享的话语体系。
  • 面向欧洲的软件供应商,在 NIS2 和 Cyber Resilience Act 下,会承受更强的风险管理、secure-by-design 和报告压力。
  • 从技术上看,权限和可达性事实分散在 IAM 策略、网络路径、Kubernetes 授权和身份日志里,因此图谱准确度本身就是核心产品风险。
上下文到动作的安全地图
← Low actionability High actionability → ← Low context depth High context depth → Q2 Q1 · 优势区 Q3 Q4 Proposed startup JupiterOne Snyk Wiz Jit/Torq
章节

竞争

竞争从三个方向同时收拢:想把优先级做得更好的 开发者优先的 AppSec 平台、已经在建 exploitability 模型的 code-to-cloud CNAPP 厂商,以及能跨环境画关系图的 网络资产/CTEM 平台。新进入者必须站在宽平台之下、原始扫描器之上:不是再做一个 仪表盘,而是把单条发现变成安全、可交付修复决策的动作层。

竞争对手 阶段 切入点 定价 优势 相对劣势
Jit / Torq 成长期 AI 上下文图谱 + agentic 安全运营,把代码、云和运行时上下文串在一起。 定制报价 / 演示驱动的企业销售。 围绕组织专属上下文和自主工作流的叙事很强,而且被 Torq 的收购逻辑背书。 合并后的公司会被更宽的 SOC 和平台范围牵着走;一个专做 AppSec 修复决策的产品,能更专注地卡住发版期的 owner、回滚和动作安全上下文。
Snyk 成长期 开发者优先的 AppSec,叠加基于风险的优先级和资产清单。 提供 Free、Team、Ignite 和 Enterprise 计划;公开定价从较低的每开发者门槛起步,再往定制报价走。 开发者分发能力强,积压优先级的故事也讲得清楚。 相比一张专门围绕“谁能在发版前安全修什么”的爆炸半径图谱,它仍然更偏扫描器中心。
Wiz 成长期 把 code-to-cloud exploitability 和 ASPM 放进更宽的 CNAPP 平台。 按工作负载、开发者、日志或传感器模块做定制报价。 云侧安装基数深,而且 code-to-cloud 上下文叙事很强。 它更适合买方统一上宽泛云安全套件;一个窄 AppSec 修复层反而能动得更快,也更聚焦工作流。
Endor Labs 成长期 AI 原生应用安全,强调上下文工程、repo 姿态和修复/升级。 Free、Core、Pro 以及打包平台销售。 AI 时代的 AppSec 站位清楚,repo/package 深度叙事也很强。 它更偏代码库和包管理,而不是一款能跨完整服务栈证明运行时爆炸半径、权限路径和发版安全的产品。
JupiterOne 成长期 网络资产图谱、攻击面管理和 CTEM 驱动的优先级。 按资产量、集成数和刷新频率定制报价。 图谱和资产关系模型更成熟,很打安全团队对可见性缺口的痛点。 它更接近可见性和暴露面管理,而不是 AppSec 和工程团队真正需要的、最后一步可执行 修复包。

为什么现有厂商不会默认胜出

  • 云平台. GitHub、AWS、Kubernetes 和 Okta 已经把 ownership、IAM、事件和策略这些原始信号露出来了,但每个平台只看得到问题的一片,没有谁会默认产出跨域的修复决策包。
  • CNAPP 与 code-to-cloud 平台. Wiz 和 Prisma Cloud 证明了“按可利用性排序优先级”这件事有市场,但它们优化的是整栈的宽暴露面管理,而不是 AppSec 在下次发版前必须派出一个安全变更的那个窄时刻。
  • 开发者优先的 AppSec 扫描器. Snyk 和 Jit 证明买方要的是和业务上下文绑在一起的优先级判断,但扫描器中心的产品,仍得依赖外部的运行时、身份和 ownership 数据,才能证明一个发现到底重不重要。
  • 资产图谱与 CTEM 平台. JupiterOne 证明了关系图谱和攻击路径上下文确实有价值,但修复 owner、发版约束和安全动作策略,今天仍是客户下游自己扛的工作。
  • SOAR 与 AI SOC 厂商. Torq 证明执行层本身很值钱,但 AppSec 修复还需要 repo 级 owner 和发版上下文;一个 SOC-first 平台并不会天然拿下这件事。
章节

商业计划

这家公司一开始应该做成一层“爆炸半径决策层”,专门服务云原生 B2B SaaS 公司里、面向互联网服务的安全修复,而不是一上来就做宽泛的 ASPM、CNAPP,或自主 SOC 平台。第一个客户,是一家 Series B–D 的 SaaS 公司:75–300 名工程师、每周发版、用 GitHub、AWS、Kubernetes、Okta,只有一个小型产品安全团队,却仍要花几个小时证明一个发现能不能打到生产数据、到底该谁修。最直接的购买触发点,通常是最近的事故、审计、企业安全评审,或董事会推动自主安全运营,把缓慢而手工的爆炸半径分析彻底暴露出来。研究支持这是一个聚焦但可信的市场:如果公司能以六位数 ACV 拿下一小批共创客户,模型里可以对应 $700.0M 的 TAM、$156.0M 的 SAM,以及第 3 年 $2.7M 的 SOM。产品应该先把一条扫描器发现转成 可直接派给负责人的修复包,里面带上服务 owner、权限路径、运行时可达性、客户数据暴露面,以及带审批闸的修复建议;等图谱置信度被证明后,再加低风险自动化。这里的刻意取舍是:先比宽平台厂商更快地赢下单一服务组合里“发现交接到动作”的那一段,即便代价是把 SOC、合规和身份治理的扩张先往后放。最大的反证风险有两个:一是买方会觉得 Wiz、Snyk、Prisma Cloud 或 JupiterOne 已经够用;二是图谱完整度太弱,导致 30 天内还撑不起可信建议。独立预算到底能不能单独批出来、自动批准最低需要多高的图谱置信度,这两件事都还是必须尽早验证的假设。

问题

  • AppSec 团队会从代码、云、身份和运行时工具里收到发现,但在把修复票派给一个靠谱 owner 之前,仍得手工重建爆炸半径。
  • 每周发版节奏加上 AI 辅助开发,把变更量抬得比安全人头增长还快,结果积压分诊成了生产风险瓶颈。
  • 宽泛的扫描器和暴露面平台会把风险标出来,却很难稳定产出一个 可直接执行的决策对象,明确告诉团队:下次发版前到底能安全改什么。

解决方案

  • 先围绕一个面向互联网的服务组合,在 GitHub、CI、IaC、AWS、Kubernetes、Okta 和工单元数据之间,搭起一张持续刷新的 code-to-cloud 图谱。
  • 把每一条新的高优先级发现,转成一个 修复包:owner、权限路径、运行时可达性、生产数据暴露面、发版依赖、置信度分数和建议动作,一次说清。
  • 只有当产品已经证明图谱准确、知道怎么回滚、并且能在建议型工作流里留下可审计推理时,才对低风险修复开放带审批闸的自动化。

为什么我们会赢

  • 这个切口卡的正是“发现”和“动作”之间那一刻。比起再做一个宽泛安全仪表盘,这里的买方痛点更尖、预算更急、ROI 也更好量。
  • 跨 repo、云资产、身份和运行时上下文做实体对齐,技术上比在扫描器里再加一个优先级视图更难复制。
  • 审批历史和修复结果会慢慢滚成一层专有策略库:哪些修复可以自动跑,哪些必须保留人工审批。
战略选择
滩头市场 滩头市场先放在北美和英国、英语环境下的 Series B–D 云原生 B2B SaaS 公司:75–300 名工程师、每周发版、3–8 人的产品安全或平台安全团队,专门分诊面向互联网服务的发现。
切入点理由 发版前、面向互联网的安全修复,比泛 ASPM 更窄、也更快证明价值:工作流、触发点、成功指标和买方都非常明确——这个发现会不会打到生产数据、谁是 owner、这周能不能安全发出修复。只要把派单时间和处置时间实打实拉下来,公司在扩到更宽的安全运营前,就已经能交出可量化结果。
推进顺序 先从一个服务组合、以读为主的图谱和建议型 修复包 起步,因为在买方愿意放开低风险自动化之前,必须先把图谱信任和部署速度跑通。只有当公司证明了可重复的 30 天部署、试点转正和稳定的置信度评分,才该继续加连接器、自动修复策略、渠道伙伴和销售编制。
暂不进入 先不碰超出初始 AppSec 修复切口之外的宽泛 SOC 调查工作流 · 先不做没有明确策略闸和人工审批层级的全自动修复 · 先不把合规证据、身份治理和 CTEM 模块拆成独立产品卖 · 在审计能力和数据处理要求没产品化前,先不扩到欧洲大陆
进入市场
切入点 先卖一个付费试点:把一个服务组合里、每周面向互联网的发现,转成带爆炸半径判断的 修复包。等客户跨多个发版周期都在用这套工作流、并批准第一类低风险动作后,再转成年约。
渠道 创始人亲自外呼,面向目标 SaaS 客户里的产品安全负责人、VP Engineering 和平台安全负责人 · 通过 GitHub、AWS 和身份生态做联合销售与技术合作,因为产品必须吃到一手上下文数据 · 安全咨询公司、vCISO 或 AppSec 顾问;事故、审计和企业评审后,往往正是他们最先看见分诊瓶颈
漏斗目标 从 首次沟通 到合格试点 20–30%,合格试点到正式生产 50%+,从试点启动到生产合同控制在 90 天内。
定价 定价按受覆盖的面向互联网生产服务数量和接入的身份域数收费,因为买方买的是分诊人力下降和修复决策更安全,而不是按 席位 计费。初始假设是,付费试点价格在 $25k–$50k,转正式部署后首张生产合同约为 $120k–$160k ACV;后续扩张来自更多服务组合、审批策略和低风险自动化。
产品路线图
MVP MVP 应该先把 GitHub、AWS、Kubernetes、Okta 和工单元数据接起来,覆盖一个服务组合,并为每一条已覆盖发现生成一份带爆炸半径判断的 修复包。产品必须露出置信度评分、可解释的图谱边、发版约束,以及能导出到 Jira 或 Slack 的带审批闸工作流。
6 个月 先在 GitHub、AWS、Kubernetes、Okta 这套核心栈上证明 30 天内可部署;把面向互联网的发现稳定转成 可直接派给负责人的修复包;再相对客户现有的人工基线,量化派单时间和处置时间的改善。
12 个月 扩到更大的服务组合覆盖面,加入置信度阈值控制、低风险修复的打包策略模板,以及可复用集成,把前 5–8 个正式客户的部署工作量压下去。
24 个月 从建议型 修复包 扩到有选择的低风险自动修复,再顺着同一张图谱和策略历史,长到相邻的身份风险审查、合规证据和安全代理授权工作流。
关键押注 只部署一个服务组合,也能在 30 天内打出足够准确的爆炸半径判断,撑起付费试点。 · 比起再看一个日常安全控制台,买方更愿意在现有工作流里收到可直接派给负责人的修复包。 · GitHub、AWS、Kubernetes 和 Okta 这套组合,足以覆盖足够多的早期客户,让公司不用重度定制集成也能拿下前 3–5 个正式客户。 · 在现有厂商把同类“变更安全”工作流打包出来前,审批日志和修复结果会先长成一条持久的策略护城河。
商业模式
收入来源 爆炸半径图谱和修复包工作流的年费订阅 · 低风险自动修复的高级策略与审批模块 · 来自额外服务组合、连接器和审计报表的扩张收入
价值单位 纳入爆炸半径覆盖的一组面向互联网的生产服务组合
目标毛利率 75%
扩张杠杆 先在第一批面向互联网资产上证明价值,再扩更多服务组合 · 从建议型 修复包 扩到已批准的低风险修复工作流 · 在同一张图谱上叠加合规证据、身份风险审查和代理授权控制
战略地图
北极星指标 15 分钟内,把受覆盖的关键发现转成 可直接派给负责人 的修复决策
输入指标 从发现生成到 owner 被分配工单的时间 · 试点转正式生产的转化率 · 无需人工跨工具返工就被接受的 修复包 占比 · 首个服务组合生成图谱覆盖的中位时间 · 在策略约束下获批且未触发回滚事故的低风险修复占比
待构建护城河 跨域实体对齐图谱,把 repo、服务、身份、权限和运行时暴露面连起来 · 绑定具体图谱状态和变更类别的修复结果与审批历史数据集 · 与扫描器、工单系统及云/身份控制面的深度共存集成 · 缩短安全评审和采购周期的置信度评分与可审计推理
终止标准 围绕面向互联网修复这个场景,聊完 30 个目标账户后,付费试点仍少于 3 个 · 前 6 个试点之后,试点转正式生产低于 50% · 试点前 30 天里,owner 派单的中位时间没有至少改善 60% · 超过 70% 的后期客户都说 Wiz、Snyk、Prisma Cloud 或 JupiterOne 已经够用

里程碑

0–12 个月
  • 在核心的 GitHub、AWS、Kubernetes、Okta 栈上启动 3 个付费试点。
  • 在 2 个共创客户上,把 owner 派单时间中位数至少压缩 60%。
  • 至少把 2 个试点转成目标入门 ACV 的年度生产合同。
  • 把初始服务组合切口里的 Jira 或 Slack 工作流交付标准化。
12–24 个月
  • 拿下 8–12 个正式生产客户,并把爆炸半径工作流扩到不止一个服务组合。
  • 为至少一类低风险自动修复上线策略模板和审批控制。
  • 把标准目标栈的部署时间压到 21 天以内。
  • 建立 2 条能持续输送合格线索的生态或顾问渠道。
24–36 个月
  • 正式生产客户数做到约 18 个,与模型里的 SOM 匹配。
  • 把图谱扩到相邻的身份风险、合规证据和代理授权工作流。
  • 证明审批历史能提升安全动作覆盖率,而且不会抬高回滚事故。
战略地图
flowchart LR
  Wedge[Internet-facing remediation wedge] --> MVP[Blast-radius graph MVP]
  MVP --> Proof[Owner-ready fix packets and trust signals]
  Proof --> Expansion[Policy-gated automation and adjacent control workflows]

创始团队

角色 入职时间 理由
创始人/CEO 第 0 月 在这套打法可重复之前,先由创始人亲自拿下共创客户销售、定价、买方发现和早期伙伴拓展。
创始工程师 第 0 月 搭起图谱引擎、连接器框架和第一版 修复包 工作流,把最初的产品证明打出来。
安全图谱工程师 第 1 月 把实体对齐、置信度评分和图谱新鲜度打磨好,先盯紧 GitHub、AWS、Kubernetes、Okta 这套核心栈。
产品负责人 第 4 月 负责工作流设计、Jira/Slack 交付以及试点转正的标准化打包,减少每个客户的定制工作。
安全产品负责人 第 8 月 等建议型用法建立起信任后,再来定义审批策略、审计轨迹和低风险自动化控制。
GTM 负责人 第 10 月 只有当试点转正和产品打包已经被创始人主导销售验证后,才增加 线索 产能。

实验路线图

阶段 实验 假设 成功指标 负责人
0–90 天 买方与触发点发现 目标买方能清楚说出一个具名的、面向互联网修复瓶颈,而且这个瓶颈与事故、审计、企业评审或自动化压力直接相关。 完成 12 场 discovery 访谈,其中至少 8 个账户符合目标技术栈,6 个确认未来 12 个月内存在明确购买触发点。 创始人/CEO
0–90 天 礼宾式 修复包 基准测试 “人工 + 软件”的原型,能在一个服务组合的历史发现上,把 owner 派单时间和处置时间至少压缩 60%。 2 个共创客户各自对至少 25 条发现做基准,owner 派单时间中位改善都高于 60%。 创始工程师
90–180 天 核心栈试点部署 只靠 GitHub、AWS、Kubernetes 和 Okta 集成,就能在不走重服务导入的前提下,在 30 天内上线有用的图谱覆盖。 3 个付费试点上线,产出第一份可信 修复包 的中位时间低于 30 天。 安全图谱工程师
90–180 天 定价与打包测试 “付费试点 + 按服务组合订阅年费”的方案,转化会优于按 席位 或纯 用量 定价。 优选打包方案在 8 场定价对话里至少赢下 5 场,并写进 2 份已签字试点范围文件。 创始人/CEO
6–12 个月 工作流嵌入转化测试 把 修复包 直接送进 Jira 和 Slack,会比单独拉一个分析师控制台更能提升试点转正式的转化。 至少 2 个试点客户,在现有 Jira 或 Slack 工作流里连续跑完 2 个发版周期后完成转正。 产品负责人
12–18 个月 带策略闸的低风险自动化 当建议型阶段已经建立起信任、且图谱置信度阈值透明时,买方会批准一小类低风险修复自动执行。 2 个正式客户开启一类已批准的低风险自动修复,并在一个季度内保持零回滚事故。 安全产品负责人

风险评估

商业计划风险 — 4 已映射
影响 →
R3
R1 R2
R4
可能性 →
  1. R1相邻平台厂商把足够多的爆炸半径上下文打包进去,让独立工具看起来像可选项。 · High可能性 / High影响 — 把 可直接派给负责人的修复包、审批逻辑和工作流嵌入层吃下来——这些恰恰是宽平台最难打包干净的部分。
  2. R2图谱不完整,或 owner 数据过期,导致修复决策里出现错误信心。 · High可能性 / High影响 — 先从一套收得很紧的标准栈起步,露出置信度分数,并在覆盖阈值被验证前卡住自动化。
  3. R3部署变得太依赖集成工程,30 天试点跑不出来,时间到价值被拖垮。 · Medium可能性 / High影响 — 初始打法只盯 GitHub、AWS、Kubernetes 和 Okta,并把一套标准化、最小权限的导入 操作手册 打包出来。
  4. R4即便建议型阶段已经建立信任,买方仍然不愿批准任何自主修复。 · Medium可能性 / Medium影响 — 先让建议型 ROI 本身就足够支撑第一张合同;等策略控制被验证后,再把低风险自动化当扩张项卖。
风险 可能性 影响 缓解措施
相邻平台厂商把足够多的爆炸半径上下文打包进去,让独立工具看起来像可选项。 High High 把 可直接派给负责人的修复包、审批逻辑和工作流嵌入层吃下来——这些恰恰是宽平台最难打包干净的部分。
图谱不完整,或 owner 数据过期,导致修复决策里出现错误信心。 High High 先从一套收得很紧的标准栈起步,露出置信度分数,并在覆盖阈值被验证前卡住自动化。
部署变得太依赖集成工程,30 天试点跑不出来,时间到价值被拖垮。 Medium High 初始打法只盯 GitHub、AWS、Kubernetes 和 Okta,并把一套标准化、最小权限的导入 操作手册 打包出来。
即便建议型阶段已经建立信任,买方仍然不愿批准任何自主修复。 Medium Medium 先让建议型 ROI 本身就足够支撑第一张合同;等策略控制被验证后,再把低风险自动化当扩张项卖。
首个客户
标题 一家云原生 SaaS 公司的产品安全负责人
画像 目标画像,是一家 Series C 的 B2B SaaS 公司:100–250 名工程师,使用 GitHub Enterprise、Terraform、AWS、EKS、Okta,只有 3–8 人的产品安全团队,却要顶住每周与发版绑定的发现。
触发点 最近的事故、审计、企业客户评审,或董事会推动安全自动化,把爆炸半径证明太慢、修复 owner 不清楚的问题直接撕开。
买方 VP Engineering、产品安全负责人或 CISO
初始合同 先在一个面向互联网的服务组合上签 $25k–$50k 的付费试点;跑完两个发版周期、并建立起工作流信任后,再转成约 $120k–$160k 的年 ACV。

必须成立的条件

  • 至少一半合格买方,必须把“证明面向互联网发现的爆炸半径并分配 owner”看成一个已有预算的痛点,且预算来自现有 AppSec 或平台安全盘子。
  • GitHub、AWS、Kubernetes 和 Okta 这套核心栈,必须在至少 3 个早期试点里都能在 30 天内产出有用的 修复包。
  • 客户必须愿意直接在 Jira 或 Slack 里接收 可直接派给负责人的修复包,而不是大多数发现都逼着分析师重新打开多个外部工具。
  • 至少有一批目标买方要明确说,Wiz、Snyk、Prisma Cloud 和 JupiterOne 还没有把最后一步修复决策工作流做够。
  • 在自主修复成为重要扩张驱动力之前,低风险修复必须能被审批规则清楚定义,而且不会引发回滚事故。

待尽调问题

  • 哪一种上下文来源最能最快拉高买方信任:服务 owner、运行时暴露面、IAM 权限,还是客户数据敏感度?
  • 预算被打开,更常见是因为事故或审计,还是更宽的自主安全项目?
  • VP Engineering 或 CISO 愿意放开低风险自动修复前,最低会要求多高的图谱置信度?
  • 在真实评估里,Wiz、Snyk、Prisma Cloud 和 JupiterOne 还卡在哪一步,导致它们做不好 可直接派给负责人的修复工作流?
  • 如果客户偏离标准的 GitHub、AWS、Kubernetes、Okta 栈,部署工作量会增加多少?
投资人判断
结论 Meet / investigate further
信心 切口很强、买方痛点也真实,但要形成更高把握,前提是证明这个产品能独立拿到预算,而且图谱信任能在拥挤的平台夹层里站住。
相信的理由 公司切的是一个窄而可量化的工作流:已有安全预算、买方角色明确、触发点也已经存在。
怀疑的理由 如果现有厂商先把“够用的”爆炸半径上下文打包出来,而这家创业公司还没证明自己部署更快、动作更安全,那么独立窗口会很快收窄。
下一步尽调 重点尽调要看三件事:至少 3 个付费试点;核心标准栈在 30 天内上线;以及真实的面向互联网发现里,owner 派单时间明显下降。
章节

财务模型

三年合计
第 1 年收入 $135K EBITDA $-1.09M · 期末现金 $1.31M
第 2 年收入 $1.22M EBITDA $-1.15M · 期末现金 $158K
第 3 年收入 $2.70M EBITDA $-891K · 期末现金 $-733K
单位经济
年 ARPU $180K
毛利率 75%
CAC $60K 回本期 5.3 个月
LTV / CAC 10.4x 生命周期价值 $625K
融资需求
轮次 种子前轮 · $2.4M
跑道 18 个月
里程碑 做到 7 个正式生产客户,把标准栈部署时间压到 30 天内,并在下一轮融资前保留 6 个月缓冲。

模型合理性

  • 收入引擎. 基准情景的收入,来自 Q4Y2 做到 12 个正式客户、Q4Y3 做到 18 个,同时把单账户混合 ARR 扩到 180K。
  • 必须跑通. 模型要成立,关键是试点转正式的转化率不能掉出计划区间,而且标准的 GitHub + AWS + Kubernetes + Okta 部署必须压在 30 天内。
  • 模型失效条件. 如果销售周期拉长,或 ARPU 扩张偏弱,现金压力会最快冒头;因为哪怕没有严重招聘失误,Y3 现金也已经转负。
  • 下一轮融资证明点. 公司拿下一轮融资的依据,应该是做到约 8–12 个正式客户、部署时间压到 21 天以下,并在标准栈上跑通一条获批的低风险自动化策略。
营收、现金与 EBITDA — 12 个月的 Y1 + 8 个季度的 Y2/Y3
$-1.00M$0K$1.00M$2.00M$3.00MM1M4M7M10Q1Y2Q4Y2Q3Y3Q4Y3
  • 营收(线/面积)
  • 期末现金(虚线)
  • EBITDA(柱,灰色为亏损)
资金用途 — $2.4M 种子前轮
工程 · 45% GTM · 25% G&A · 12% 缓冲(6 个月) · 18%
按角色的人力增长 — 峰值13 FTE
Q1Y13Q2Y14Q3Y15Q4Y16Q1Y26Q2Y26Q3Y26Q4Y210Q1Y310Q2Y310Q3Y310Q4Y313
  • 高管
  • 工程
  • 产品
  • 销售
  • 客户成功
  • G&A
第3年情景:基准 / 下行 / 上行
第3年营收第3年 EBITDA现金最低点说明
下行$1.80M-$1.27M-$1.50M试点转化更慢,主要 logo 客户的增加大约向后推了两个季度,同时扩张 ARPU 也被压住。
基准$2.70M-$891K-$733K创始人主导销售把早期试点转成正式客户:Q4Y2 做到 12 个、Q4Y3 做到 18 个,毛利率维持在 75%。
上行$3.45M-$320K-$220K产品打包和工作流嵌入转化更快,在不明显加快招聘的前提下,把客户数和扩张 ARR 都抬上去。
敏感性——第3年现金与营收影响(按幅度排序)
变量下行上行现金影响营收影响
销售周期试点到正式生产需要 120 天标准栈客户 60 天完成-$320K-$450K
CAC每个新客户 80K每个新客户 45K-$240K$0K
ARPU160K 的混合年 ARPU195K 的混合年 ARPU-$225K-$300K
流失率月度客户流失率 2.5%月度客户流失率 1.2%-$190K-$150K
招聘节奏把 2 个 Y3 招聘前拉到 Y2把 1 个 Y3 招聘延后到下一轮之后-$180K$0K
毛利率72%78%-$90K$0K

情景

情景 第 3 年收入 第 3 年 EBITDA 现金低点 说明 关键变化
下行 $1.80M $-1.27M $-1.50M 试点转化更慢,主要 logo 客户的增加大约向后推了两个季度,同时扩张 ARPU 也被压住。
  • 混合 ARPU 更接近 160K,而不是 180K。
  • 到 Q4Y3 正式客户大约只有 13 个,而不是 18 个。
  • 月度流失率升到约 2.5%,而招聘收缩又不够快。
基准 $2.70M $-891K $-733K 创始人主导销售把早期试点转成正式客户:Q4Y2 做到 12 个、Q4Y3 做到 18 个,毛利率维持在 75%。
  • 初始 ACV 从约 140K 起步,到 Y3 扩到 180K 的混合 ARPU。
  • 在产品打包和工作流嵌入被证明可复制前,团队维持精简招聘。
  • 毛利率维持在商业计划里的 75% 目标。
上行 $3.45M $-320K $-220K 产品打包和工作流嵌入转化更快,在不明显加快招聘的前提下,把客户数和扩张 ARR 都抬上去。
  • 靠第二服务组合和策略模块 upsell,混合 ARPU 提升到约 195K。
  • 到 Q4Y3 客户数做到约 22 个,而核心团队形态不变。
  • 随着工作流嵌进 Jira 和 Slack,月度流失率改善到约 1.2%。

敏感性

变量 下行情景 基准情景 上行情景
ARPU 160K 的混合年 ARPU 180K 的混合年 ARPU 195K 的混合年 ARPU
CAC 每个新客户 80K 每个新客户 60K 每个新客户 45K
流失率 月度客户流失率 2.5% 月度客户流失率 1.8% 月度客户流失率 1.2%
销售周期 试点到正式生产需要 120 天 试点到正式生产低于 90 天 标准栈客户 60 天完成
毛利率 72% 75% 78%
招聘节奏 把 2 个 Y3 招聘前拉到 Y2 当前精简爬坡 把 1 个 Y3 招聘延后到下一轮之后
关键假设 (18)
ID 名称 数值 单位 来源
A1 起始客户数(M1) 0 [BP executiveSummary; BP milestones 0-12 个月]
A2 首个正式部署 ACV 140 每客户每年 USDK [BP gtm.pricing $120k-$160k 每年 ACV]
A3 含扩张后的第 3 年混合 ACV 180 每客户每年 USDK [BP gtm.pricing; BP businessModel.expansionLevers; heuristic: ~15-30% upsell from added service portfolios and policy module]
A4 单个完全爬坡客户的月收入 15.0 每客户每月 USDK [Derived from A3]
A5 毛利率 75 百分比 [BP businessModel.targetGrossMarginPct]
A6 正式客户爬坡节奏 M6 1 个客户;M10 2 个客户;Q4Y2 12 个客户;Q4Y3 18 个客户 [BP funnelTargets under 90 days; BP milestones 2 conversions in Y1, 8-12 customers in Y2, 18 customers in Y3; Research SOM 18 customers]
A7 初始技术团队 模型起始时为创始人/CEO 加 2 名技术 FTE FTE [BP team Founder CEO Month 0; Founding eng Month 0; Security graph engineer Month 1]
A8 产品负责人入职时间 M4 月份 [BP team Product lead Month 4]
A9 安全产品负责人入职时间 M8 月份 [BP team Security product lead Month 8]
A10 GTM 负责人入职时间 M10 月份 [BP team GTM lead Month 10]
A11 第 2 年招聘爬坡 到 Q4Y2 新增 2 名工程师、1 名销售、1 名客户成功 招聘人数 [BP milestones 8-12 production customers; BP operations onboarding without a services-heavy team; heuristic: light post-pilot support buildout]
A12 第 3 年招聘爬坡 到 Q4Y3 新增 1 名工程师、1 名产品和 1 名 G&A 招聘人数 [BP sequencingRationale to slow hiring until packaging is proven; heuristic: preserve capital efficiency post-Y1]
A13 按岗位的全负担薪酬 高管 18K/月;工程 18K/月;产品 17K/月;销售 17K/月;客户成功 13K/月;G&A 12K/月 每 FTE 每月 USDK [BP team plan; heuristic: US security SaaS fully loaded cash comp including payroll burden]
A14 非薪酬 OPEX 爬坡 R&D 非薪酬费用从 Y1 Q1 的 8K/月升到 Y3 的 16K/月;S&M 从 GTM 前的 2K/月升到 Q4Y3 的 14K/月;G&A 从 6K/月升到 8K/月 每月 USDK [BP operations; BP sequencingRationale; heuristic: lean infrastructure and founder-led GTM before scale]
A15 月度客户流失率 1.8 百分比 [Heuristic: early enterprise security SaaS logo retention before deeper multi-product expansion]
A16 混合 CAC 60 USDK per new production customer [BP channels founder-led outbound; BP funnelTargets 20-30% discovery-to-pilot and 50%+ pilot-to-production; heuristic: high-touch early enterprise sales]
A17 pre-seed 轮起始现金 2400 USDK [BP fundingAsk targetFundingRangeUsd $2-4M and runwayMonths 18; modeled near low-middle of range]
A18 现金换算口径 现金消耗近似等于 EBITDA;capex、债务和营运资本波动视为不重要 口径 [Heuristic: simplify early-stage operating model when contracts are subscription-heavy and financing is modeled separately]
单位经济模型流转
flowchart LR
  Leads[Founder-led outbound] --> Pilots[Paid pilots]
  Pilots --> Customers[Production customers]
  Customers --> Revenue[Subscription revenue]
  Revenue --> GrossProfit[75 percent gross profit]
  GrossProfit --> Cash[Runway and financing need]

警示项: 即便是基准情景,Y3 结束前仍然需要一轮后续融资,因为模型里的现金会降到 -$732.7K。 · 收入集中度依然很高:模型假设 Y3 只有 18 个客户,却要靠六位数合同支撑一个竞争拥挤的安全品类。 · 尽管图谱型工作负载很重,毛利率仍按商业计划的 75% 目标来算,因此只要云成本或支持成本超预期,现金跑道就会很快受压。

章节

主要风险

  • 图谱不完整. 如果边缺失、owner 数据过期,产品就可能给团队制造错误信心,把真实爆炸半径说小了。 缓解措施: 先只支持一套收得很紧的标准栈;每条建议都露出置信度分数;在图谱覆盖率过线前,自动化一律要过审批闸。
  • 现有厂商打包. CNAPP、SIEM 或 AppSec 厂商可能补上基础的上下文图谱视图,削弱客户为独立工具买单的意愿。 缓解措施: 把修复决策工作流和自主动作策略层吃下来——在这里,跨工具执行和可审计性比图谱可视化本身更重要。
  • 集成疲劳. 如果部署前得先做几个月连接器工程,安全团队可能根本不愿意再上一个新平台。 缓解措施: 先为常见的 GitHub、AWS、Kubernetes、Okta 栈打包 30 天部署方案,先在一个面向互联网的服务组合上把 ROI 跑出来。
章节

证据

引用来源 (40)

  1. SiliconANGLE. Torq acquires AI security startup Jit to add context graphs to its security operations center platform - SiliconANGLE · https://siliconangle.com/2026/05/19/torq-acquires-ai-security-startup-jit-add-context-graphs-soc-platform
  2. BankInfoSecurity. Torq Purchases Jit to Provide AI-Powered Security Context · https://www.bankinfosecurity.com/torq-purchases-jit-to-provide-ai-powered-security-context-a-31714
  3. Business Insider. Torq, the 'Cursor of Security Operations,' is in advanced talks to acquire Jit for around $50 million · https://www.businessinsider.com/torq-cybersecurity-acquire-jit-2026-4
  4. Jit. Torq Acquires Jit to Advance AI-Powered Security Operations | Jit · https://www.jit.io/blog/jit-joins-torq-to-advance-ai-powered-security-operations
  5. Jit. Context Engine | Jit · https://www.jit.io/aspm-platform/context-engine
  6. Jit. Jit | Agentic Product Security Platform · https://www.jit.io/aspm-platform
  7. Snyk. Risk-Based Prioritization: Focus on What Matters | Snyk AppSec Solutions | Snyk · https://snyk.io/solutions/risk-based-prioritization
  8. Snyk. Snyk Plans and pricing | Try for Free or from $25/month | Get a Custom Quote | Snyk · https://snyk.io/plans
  9. Endor Labs. AURI | AI-Native Application Security Platform | Endor Labs · https://www.endorlabs.com/platform
  10. Endor Labs. Pricing | Endor Labs | AI-Native Application Security Platform · https://www.endorlabs.com/pricing
  11. Endor Labs. Context Engineering for Application Security | Endor Labs · https://www.endorlabs.com/white-paper/context-engineering-for-application-security
  12. Endor Labs. Application Security Posture Management (ASPM) Explained | Blog | Endor Labs · https://www.endorlabs.com/learn/application-security-posture-management-aspm-explained
  13. JupiterOne. Cyber Asset Attack Surface Management with JupiterOne · https://www.jupiterone.com/cyber-asset-attack-surface-management
  14. JupiterOne. Vulnerability Management · https://www.jupiterone.com/vulnerability-management
  15. JupiterOne. JupiterOne Pricing · https://www.jupiterone.com/pricing
  16. Wiz. Wiz pricing - get a custom quote | Wiz · https://www.wiz.io/pricing
  17. Wiz. Understanding ASPM: Validate Risk and Reduce Alert Noise | Wiz · https://www.wiz.io/academy/application-security/application-security-posture-management-aspm
  18. Wiz. How to Select an ASPM Vendor Beyond Feature Checklists | Wiz · https://www.wiz.io/academy/application-security/how-to-choose-an-aspm-vendor
  19. Wiz. CSPM vs. ASPM: What’s The Difference? | Wiz · https://www.wiz.io/academy/application-security/cspm-vs-aspm
  20. Palo Alto Networks. Application Security · https://www.paloaltonetworks.com/prisma/cloud/application-security
  21. Palo Alto Networks. Explore Cortex XSIAM Security Analytics · https://www.paloaltonetworks.com/cortex/cortex-xsiam
  22. GitHub. Octoverse: AI leads Python to top language as the number of global developers surges · https://github.blog/news-insights/octoverse/octoverse-2024
  23. GitLab. GitLab Global DevSecOps Report · https://about.gitlab.com/resources/developer-survey
  24. Verizon. 2026 Data Breach Investigations Report (DBIR) · https://www.verizon.com/business/resources/reports/dbir
  25. IBM. Cost of a data breach 2025 | IBM · https://www.ibm.com/reports/data-breach
  26. CNCF. Cloud Native 2024: Approaching a Decade of Code, Cloud, and Change · https://www.cncf.io/reports/cncf-annual-survey-2024
  27. NIST. AI Risk Management Framework · https://www.nist.gov/itl/ai-risk-management-framework
  28. NIST. SP 800-218, Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities | CSRC · https://csrc.nist.gov/pubs/sp/800/218/final
  29. NIST. SP 800-61 Rev. 2, Computer Security Incident Handling Guide | CSRC · https://csrc.nist.gov/pubs/sp/800/61/r2/final
  30. European Commission. NIS2 Directive: securing network and information systems · https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
  31. European Commission. Cyber Resilience Act · https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
  32. GitHub Docs. About code scanning - GitHub Docs · https://docs.github.com/en/code-security/concepts/code-scanning/about-code-scanning
  33. AWS Docs. Using AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management · https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html
  34. AWS Docs. What is Reachability Analyzer? - Amazon Virtual Private Cloud · https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html
  35. Kubernetes. Using RBAC Authorization · https://kubernetes.io/docs/reference/access-authn-authz/rbac
  36. Okta. Event hooks concepts | Okta Developer · https://developer.okta.com/docs/concepts/event-hooks
  37. Okta. System Log · https://developer.okta.com/docs/api/openapi/okta-management/management/tags/systemlog
  38. JupiterOne. Attack surface and attack paths research - what's next? · https://www.jupiterone.com/blog/attack-surface-and-attack-paths-research-whats-next
  39. JupiterOne. CNAPP Meets the Graph: Why Cloud-Native Security Needs Asset Context | JupiterOne · https://www.jupiterone.com/blog/cnapp-meets-the-graph-why-cloud-native-security-needs-asset-context
  40. JupiterOne. Prioritize Exploitable Vulnerabilities to Protect Assets · https://www.jupiterone.com/blog/prioritizing-exploitable-vulnerabilities-to-protect-your-business-critical-assets

更多具有相近赛道信号、评分结构或相邻创投主题的报告。