Varun Badhwar 這樣描述當前開發者所面對的“生產力稅”問題：

大量的組織在今天已經不是在做“軟體開發”，而是“軟體組裝” —— 沒有程式設計師希望重複造輪子，因此他們會引入大量可複用的開原始碼。根據 GitHub 的統計，平均單個組織內 90% 的程式碼量實際上都來自於開源包。按照 Varun 的說法，目前典型的企業擁有 4 萬個以上的直接依賴項，平均每個還會帶來 77 個間接依賴項，這引入了極大的複雜性。

更糟糕的是，沒有人實際上為這些複雜性負責。雖然大型企業在第三方採購上有大量的合規流程，但是開發者實際上每一天都在使用陌生人做的開源專案的程式碼。沒有企業專門設立圍繞著排查和維護這些第三方依賴項的崗位。因此一旦發生 Log4j 這樣嚴重的開源安全漏洞，大型組織往往要花費數千個小時排查問題。

靠漏洞資料庫，企業無法規避掉名字混淆攻擊和 core-js 這樣的開源風險 —— 前者意味著攻擊者透過看起來相似但實際上非同一語種的字母誘騙開發者使用其偽造的庫；後者是最流行的開源包之一，但依賴其發起者維護，而這位發起者威脅社群如果不對其進行捐助就將停止維護。

傳統的 SCA 掃描無法提供這些可見性和洞察，可能掃描結果會顯示 function 5 有問題，而這實際上壓根無法觸達應用，也沒有修復以及關注的必要。在使用 Endor Labs 之前，這是大多陣列織內安全和開發團隊面臨的困境，他們缺少針對可觸達性和依賴項的可見性和上下文，在“fix never”的東西上花費了太多時間，以至於耽誤了需要“fix now”的風險或者嚴重阻礙開發流程的進展。

舉個直觀的例子，Endor Labs 評估一個開源包的資訊包括：專案背後有多少維護者？他們有多活躍？提交歷史如何？專案背後的郵箱地址是否還有效？當前版本和分支的程式碼有沒有經過 review、有沒有做單元測試？在有問題被提交後，維護者進行修復和升級的速度有多快？提交的程式碼是否有編寫習慣的明顯改變？

從客戶訪談來看，Endor Labs 的這一套敘事的確切中了當前企業組織內的痛點，那些使用了 Snyk 的組織仍然覺得它的 SCA 給出的警報太多，使用比 Snyk 更陳舊的 SCA 工具的公司則更加苦不堪言。以美國一家商務差旅領域的獨角獸為例，它的安全團隊決策者非常認可 Endor 的價值主張：

傳統的 SCA 只是將開發者使用的第三方庫跟已經的漏洞資料庫做對比，然後將已知漏洞標記出來。有時候一個有歷史遺留問題的庫可能會被標記出上萬條風險，壓根無法處理，而且還損害開發跟安全團隊之間的關係。

上下文和可見性真的非常重要，我需要知道這些漏洞對我們的應用而言真的是嚴重或者高危的嗎？我們呼叫 function 是否受到影響？我們的呼叫是否是面向外部的、是否經過了認證？我們目前在使用另一家 SCA，但會把預算完全轉移到 Endor Labs。Endor Labs 的技術是將靜態分析的邏輯應用到了 SCA，可以提供深度的、有上下文的 SCA。

Endor 自己將當前的產品劃分為 3 類：

使用過 Snyk 的開發者會將它的體驗描述為“無打擾”的。這些開發者無須改變自己的工作習慣，只需要在有風險被掃描出來的情況下去檢視是否需要修復它們即可。而 Endor Labs 自脫離匿名狀態以來，推出的第一個產品是“依賴項生命週期管理平臺”，希望讓開發者在挑選開源包的過程中就開始考慮風險因素，透過 Endor Labs 產品中給出的安全、質量和流行度等指標來決定是否選擇一個包。這是評估的最佳時點，因為開發者還沒有開始編碼和引入依賴項，但是這也需要開發者主動地改變自己的行為模式。

上述這一具體的產品使用體驗上的分野代表著 Endor Labs 對於“端到端” 的定義。經過過去十幾個月的發展，它在開源安全的事前、事中、事後都有完整的功能幫助開發者和安全團隊提效：

• 對於開源生態中每個包的各個版本，Endor Labs 都基於其安全性、質量、流行度、活躍情況給予一個安全評分，幫助開發者和安全團隊事先評估和選擇開源依賴項；

• 對於已經“組裝”好的程式碼，Endor Labs 提供基於可觸達性的 SCA，使用靜態分析的方法，無需執行時代理就可以確定開源依賴項對於應用的實際影響，能夠將誤報率降低 80%；

• 讓客戶在 CI 管道內能夠設定定製化的規則以限制開源依賴項的引入和使用；

• 美國政府在 2022 年開始要求軟體供應商透過提供 SBOM（Software Bill of Materials，軟體材料清單，記錄了軟體構建過程中使用的所有元件、庫和依賴項）為其產品自證安全，Endor Labs 提供了 SBOM Hub 產品來幫助客戶建立、儲存和分析其 SBOM，並且提供 VEX（Vulnerability Exploitability eXchange，漏洞可利用性交流）。

是的，非常高，Endor Labs 團隊匯聚了全球範圍內最強的一批 SCA 以及可觸達性領域的 PhD 和科學家來構建這套方案。

具象來看，這套產品有以下門檻：

• 最大的難度在於開源世界中有太多的包和不同的版本，Endor Labs 需要做即時的跟蹤和可觸達性的分析。在 Endor Labs 之前，其他供應商的分析大多停留在 Metadata 層面，而且能覆蓋的包數量也很有限，JFrog 自己推出的官方認證受信任的 Artifact 數量也只覆蓋了數百個包。如上文介紹過的，Endor Labs 在分析一個包時所使用的資訊遠超過 Metadata 本身；

• 除了包的覆蓋之外，還需要覆蓋多種語言，如下圖所示，Endor Labs 目前已經支援了各種主流語言。Snyk Open Source 推出過類似 Endor Labs 的依賴項分析，但是在相當長一段時間內僅支援 1-2 種語言。甚至連 Endor Labs 自己目前也還不支援一些主流的動態語言，比如 JavaScript 目前並沒有原生支援，也側面證明了這個領域本身在研究層面也是非常前沿的；

有多個層面的原因，最重要的是 Endor Labs 團隊有明確的願景 —— 這家公司目前給人的感覺跟早期的 Datadog 非常像。當其他的可觀測性玩家們還主要致力於滿足客戶的合規訴求時，Datadog 非常富有前瞻性地向下深挖了一步，跟 k8s 和 node.js 進行了深度的結合，從而成為了可觀測性賽道中的領先者。這一點可以解釋為什麼大多數傳統的 SCA 供應商沒有佈局進入 Endor Labs 的產品。

具體到 Endor Labs 和 Snyk 的競爭上，已經是 Snyk 的客戶認為 Snyk Open Source 和 SCA 的誤報率在下降，但是也有客戶認為 Snyk 需要配備更大體量的團隊使用，因為需要有專人為 Snyk 的警報進行分類和尋找上下文，因此他們轉向 Endor Labs。

從我們的調研來看，有多個層面的原因讓 Snyk 暫時還不會將經營的核心轉向與 Endor Labs 的競爭上：

• 雖然 Snyk Open Source 是 Snyk 的第一個產品，但是它目前最核心的產品可能已經變成 Snyk Code，而 Endor Labs 短期還不會對它造成威脅，甚至在某些層面落後於 Snyk，比如 Snyk 對於 Data Flow 的分析及風險掃描有更深的積累；

• Snyk 本身目前成為了一家缺少創始人控制的公司，可能在下一代架構和願景的投入上面更加保守，它目前的重點是延伸至雲安全。它的幾位聯合創始人甚至是一些新興的開源安全公司的天使投資人，比如其前 CTO Adi Sharabani 投資了以色列的開源安全公司 Oligo。

此外 Endor Labs 所進行的研究很前沿而且高門檻，但是 TAM 短期內可能有限（在下一章進行分析），因此 Endor 的 CEO 向 Techcrunch 表示的“Snyk 是最大的競爭對手之一，但 Endor 並沒有直接競爭對手”在目前來看是準確的表達。

SCA，通常是更傳統的 SCA 或者 Snyk Open Source。取代後者的情況下，客戶往往在同時使用 Snyk 的 3-4 個模組的產品。存在相當多的情況是成長期的客戶仍然同時使用 Snyk 和 Endor Labs，他們希望有多重的風險提示來確保萬無一失。

Endor Labs 自身的定價和 Snyk 的思路類似但略有不同，按照提供的模組以及掃描的 Git 倉庫數量定價。一個 1000 名員工的新經濟公司一般能貢獻 10 萬美元左右的 ACV。

這一產品主要為客戶提供程式碼管道的可見性以及對 Secrets 等許可權的控制，目前還不是 Endor Labs 的亮點，客戶普遍反饋 Snyk 在跟程式碼庫和不同環境的自動化整合上面做得更好。

從 Endor Labs 的客戶視角來看，它在跟 GitHub 和 Jira 的整合上做得不錯，特別是跟 GitHub Advanced Security 的整合：

DroidGPT 結合了 Endor Labs 背後的風險及程式碼庫資料與 ChatGPT 的理解與推理能力，透過提供一個對話式的介面幫助客戶快速地研究開源包。

整體而言，這一產品在 GenAI 本身的技術層面沒有太多領先的地方，但是證明了 Endor Labs 團隊在 GenAI 結合、轉 Chat Interface 和進行市場營銷等方面的敏感度。我們在客戶訪談中觀察到大量的客戶已經將 Endor Labs 定義為“在 AI 上領先的供應商”，一些大型金融客戶願意將它納入 POC 列表的原因往往是“它的 SBOM 功能領先並且還有 GenAI 的功能”。

Endor Labs 處在一個被大肆炒作的市場，和多個主題相關：

即應用安全。這一市場在過去 5 年逐漸興起，和雲安全是唯二過去 3 年 CAGR 突破 20% 的安全細分市場。它通常被視作一個 70-80 億美元 TAM 的市場，被 Web 應用防火牆、應用安全測試（Endor Labs 所在的賽道）和漏洞管理三個子方向各自佔據約 1/3 的 TAM。

這是 DevSecOps 實踐的組成部分，即在開發早期就發現漏洞並修復它們。經歷了過去 5 年的發展，目前的 Shift-Left 市場非常分散，採用這種實踐的團隊往往面對十幾種產品給出的數不清的安全警報，因此 Endor Labs 這種提供上下文和可觸達性分析以減輕客戶壓力的產品代表了最近的創新趨勢。

即軟體供應鏈安全，在原始碼的管理、編譯、部署、打包及最終分發安裝的過程中確保安全。20 年底的 SolarWinds 漏洞事件讓 SSCS 成為一個所有 CISO 都在討論的概念，21 年底的 Log4j 漏洞又進一步加深了這一趨勢。

Dell Technology Ventures 的 Tyler Jewell（也是一位 Endor Labs 投資者）在他的 Newsletter Tyler's Musings 對 SSCS 整個市場的各個環節做了詳盡的測算 —— 整個 SSCS 市場目前擁有超 20 億美元 ARR，60% 以上由未上市公司貢獻，Endor Labs 目前所處的 External Supply Chain 賽道擁有接近 4.5 億美元的 ARR。

從上面的分析中可以看出，在不進行大幅度平臺拓展的情況下，Endor Labs 目前的產品處在 25 億美元左右的 TAM 內。

如果它最終進行了成功的平臺拓展，計算它 TAM 的方法將和 Snyk 類似：

• 只考慮 AppSec 的最終滲透，它可以服務全球的 2800 萬開發者，按照 600 美元每年每坐席的定價，對應 168 億美元的 TAM；

• 如果成功切入了雲安全，它將和 Snyk 一樣成為 Palo Alto Prisma Cloud、Wiz 等玩家的競爭對手，角逐獨立安全供應商可能拿到的 250-375 億美元 TAM。

在我們看待安全行業的框架中，公司可以被簡單粗暴地劃分為兩類：

• 在紅海市場中競爭，它們提供的產品和服務需要時間才能被認可並逐漸替換掉原有的供應商。典型的市場是端點安全和網路安全（Network Security），像 Netskope 這樣的公司獲取客戶並替換其原來的供應商很難，但是 TAM 大且確定性強，一旦被客戶認可就能維持住 NDR、Net New ARR 和增速；

• 在新興市場中競爭，它們可以透過創意性的方式快速地獲取大量客戶（比如 Snyk 透過它的 PLG 方式），但是靜態的 TAM 小，依賴這些供應商自己對願景和下一代架構的定義來推動整個市場的增長，並且鑑於引入新工具可以很迅速，客戶替換它們也可以很迅速。

在安全行業內，前者最典型的例子是 Netskope 和 SentinelOne，分別處於各自都長到了數十億美元體量。它們需要擔心的問題不是擴大自己所處的市場，而是證明自己可以替代客戶已有的供應商並提供更好的 ROI。

目前滿足這兩者的企業主要是科技行業以及創新創業的新經濟客群。企業採納開源都是發生在其基礎設施雲化之後的。根據客戶訪談來看，像 JP Morgan 這樣雲旅程還在進行中的客戶，Endor Labs 這樣的產品很難提供跟跨環境的多個庫的整合。因此即使對它進行了 POC，這些傳統客戶對於實際使用它仍然有顧慮。

這意味著傳統的製造、零售、金融服務、醫療等行業客戶對於 Endor Labs 來說將是長尾的，它的 SOM 客戶群量級可以參考 Snyk 和 GitLab，前者截止 2023 年 4 月擁有超 2500 家付費客戶，後者截止 2023 年第二季度擁有接近 8000 個年付費 5000 美元以上的客戶和 810 個年付費 10 萬美元以上的客戶。Endor Labs 目前的代表性客戶 Logo 包括 Snowflake、Rubrik、Mile IQ、Five9、Skyflow、Cowbell、Navan、Netskope、Zoom、Uber 和 Attlassian 等。

如果希望將單個客戶榨取的價值最大化，Endor Labs 需要有更強的平臺延伸。Snyk 事實上已經走了這條路，除了維護程式碼安全、開源安全之外，它還做了容器掃描、SAST、IaC 以及 Wiz 所處的 CSPM 等延伸。

從客戶反饋的角度看，Shift-Left 環節還遠未成熟，企業普遍傾向於購買多個獨立最佳的供應商，而不是一家供應商捆綁銷售的其他產品。不同於網路安全或者端點安全只能選一家供應商的邏輯，目前科技公司在推動 DevSecOps 的過程中非常能接受“overlay”，即購買多個產品然後將它們疊加在一起使用，因此其中的單個產品很難獲得超越其他競品的中樞性位置。

1 億美元 ARR 可以這樣拆解：

• 從 ACV 和客戶數量的角度看，按照平均 ACV 為 10 萬美元來計算，Endor Labs 需要 1000 個客戶來達到 1 億美元 ARR，有充足的空間可實現；

• 從單個開發者所需要付出的成本來看，按照比 Snyk 略低的 500 美元每年的定價來計算，Endor Labs 需要 20-30 萬開發者，即滲透全球開發者的 1% 左右，也不是一個困難的目標。

如果按照 5 億美元的估值進入並預期一個 3x 的回報，在 10x EV/ARR 的情況下，Endor Labs 需要做到 1.5 億美元的 ARR，達到接近目前 Snyk 一半的體量。它需要做到的是：

• 維持住自己目前在開源安全中 Best-of-Breed 第一梯隊的位置；

• 一定程度上突破科技客戶群體，在 GTM 上達到今天 Snyk 的水平，能夠賣給一部分較先進的傳統行業客戶。鑑於其 CEO 在 Prsima Cloud 在 3 年內將 77% 的財富 100 企業轉化為了客戶，他有經驗做到這一點。

Endor Labs 有以下競爭對手，按照競爭的直接和預期激烈程度由低到高排序：

這部分對手目前所服務的市場很容易被 Endor Labs 奪取，但是 GTM 搭配一定程度的市場教育內容，目前看 Endor 走在正確的路徑上。

目前它們將 SCA 這部分的安全功能作為高階版方案的免費捆綁部分提供給客戶，客戶往往會選擇再購買一個更全面的 SCA 或者開源安全產品搭配使用，格局和使用者習慣比較穩定。

GitHub 雖然購買了 Dependabot，但是過去幾年其最核心的業務目標仍然是使用者的活躍、每個庫的活躍，而非提供原生的安全性。與前文分析 Snyk 與 Endor Labs 的競爭局勢類似，GitHub 大幅度投入 Endor Labs 這樣的前沿開源安全研究是個吃力不討好的事情，需要兼顧平臺本身的進展，又得平衡跟生態內安全合作伙伴的關係，短期內不太可能在這方面跟 Endor Labs 直接競爭。

它們和 GitHub/GitLab 的情況類似。JFrog 雖然做了 XRay，但是整體的客戶體驗上跟傳統的 SCA 更接近，客戶往往需要再搭配一個全面的 SCA 或開源安全產品使用。

這些創業公司本身和 Endor Labs 所要保護的企業資產類似，但是切入角度不同，比如 Oligo 更強調資料科學和資料探勘驅動的開源安全，但透過執行時代理來提供解決方案，而 Chainguard 整體更古典，強調對容器和 k8s 的深入理解。鑑於目前的開源安全客戶群還在完善其購買的產品列表，這些產品很可能跟 Endor Labs 及 Snyk 是共存狀態，客戶購買多種產品以獲得多重的保護。

其中 Oligo 是以色列公司，同樣由 LSVP 投資，並且獲得 Snyk 前 CTO 在內的許多美國及以色列安全行業領袖的天使投資。而 Chainguard 是紅杉和 Spark Capital 等頭部基金支援的公司，剛剛完成一輪 6100 萬美元的融資，獲得了前 Wiz CMO Ryan Carlson 的加盟。

Snyk 目前仍然是應用安全和開源安全的代名詞，我們在上文已經分析過了二者的競爭局勢和可能走向。

團隊仍然是 Endor Labs 最大的亮點之一：

他在 2018 年 8 月將自己創立的 RedLock 以 1.73 億美元出售給 Palo Alto Networks，正式開啟了 Palo Alto Networks 在雲安全領域的佈局。在 Prisma Cloud 的 3 年裡，他將業務增長到 3 億美元 ARR，獲得了 2700 名客戶，包含了財富 100 中的 77%。這一增長速度是企業級 SaaS 中最快的之一。

他在 2019 年 11 月將自己作為 CTO 創立的微隔離公司 Aporeto 以 1.5 億美元出售給 Palo Alto Networks，隨後擔任 Prisma Cloud 的 CTO。

Varun 過去的經歷像是安全行業的“呂布”，非常驍勇善戰，在發現新興趨勢、建立領先的產品、透過 GTM 擴大銷售以及最終退出上都有很好的經驗。

他在 Salesforce 1500 人時加入，是安全團隊的第五號員工。隨後他在 2006 年觀察到了 SaaS 興起的趨勢，作為聯合創始人創立了 CASB 領域的 CipherCloud，該公司隨後被 Lookout 併購。在 2015 年觀察到全面雲轉型的趨勢後，他創立了 RedLock 進軍 CSPM，並最終出售給 Palo Alto Networks。在 Palo Alto Networks，他經歷了 Solarwind  事件並親身體會了當時董事會和管理層的慌亂，因此創業開始嘗試解決 SSCS 和開源安全的難題。

這一點依賴於 Endor Labs 的管理團隊迅速鞏固和擴大當前在開源安全的技術架構和產品上的領先優勢。鑑於他們在 Prisma Cloud 打造全面解決方案的經驗，他們可以選擇併購或者快速找到優質人才自建的方式進入 IaC、容器以及 SAST 等應用安全的其他領域。同時，Varun 過去在 CSPM、CASB 方面的經驗可能幫助他找到當前已經格局穩定的雲安全行業中的一些遺留空隙從而提供差異化的產品，比如可能的方向是 API 安全。

這些延伸非常難有機地發生，完全依賴於管理團隊充分利用他們之前的經驗和人脈。但是如果能做到這些延伸，Endor Labs 就從一個 4 億美元市場的領域拓展到了數百億美元 TAM 的廣闊市場，完全可以成為一個做到數十億美元 ARR 的獨立安全巨頭。

Snyk 打了一個很好的模板，如果 Endor Labs 在開源安全上能做到 Snyk Code 這種統治級的狀態，它完全可以複製 Snyk 的策略，哪怕在延伸領域的產品不是完美的，也仍然可以獲得一定的 ARR 補充，並且透過 GTM 銷售到科技行業以外的客戶群，達到 2-3 億美元的 ARR，並且有做到 5 億美元級別的可能性，不論是獨立發展還是賣給微軟、Google 等巨頭都有一定的可能性。甚至不能排除它和 Snyk 做互相的 M&A 的可能性。

儘管不太可能，但是 Endor Labs 領先的技術架構背後的 Know-How 和積累有可能隨著人才流動逐漸擴散到其他公司，這會極大程度地削弱 Endor Labs 的價值主張以及獨立存在的價值。它最大的可能是被 Palo Alto Networks 或者 Snyk 這樣的安全玩家以一個較低的價格收購。