一个开源项目，为什么能得到红杉与红点共同投资？

本文来自微信公众号：我思锅我在（ID：angelplusdevil），作者：我思锅我在GN，原标题《红杉与红点加持，r2c能让程序员更安心写代码吗？》，头图来自：unsplash

10月29号，美国一家为程序员提供代码缺陷及安全检测的SaaS公司——r2c，宣布完成1300万美金的A轮融资，由红杉资本和红点创投共同投资。

r2c背后是GitHub上的一个开源项目“Semgrep”，“r2c”则是团队经过一段时间打磨后，正式运营的一家商业化公司。

简单来说，Semgrep通过一套标准且可自定义的规则引擎（rule engine），实现以下三大功能：

• 运行错误（runtime error）纠正：包括基本的语法（syntax）或逻辑错误等；

  
  

• 安全风险（security vulnerability）规避：例如预警一段错误的代码可能把前面一整段代码全部抹除，或者避免访问存在安全隐患或不可访问的数据库等；

  
  

• 性能表现（performance）监测：例如遵从良好的编程习惯即best practice，用最简洁的代码运行最复杂的程序等。

平台已经比较成熟地支持至少八种语言，包括Java、Javascript、Go、Python等，还有包括C、PHP在内的四种语言在alpha阶段。

（来源：r2c）

客户方面，已经有包括Dropbox、Snowflake、Chef等在内的知名互联网公司使用这款产品。而开源项目Semgrep在GitHub已经有上千位关注者，累积超过10万镜像下载。

这个项目最早源自Facebook，原创作者Yoann Padioleau也加入了团队。通常，大厂如Facebook、Amazon或Google等对代码管理有一套自上而下系统性的检测及风控体系，代码也不应该在最后测试或上线的时候才暴露出重大隐患，更不用说缺陷，尤其在愈发重要的安全问题上。

然而传统的安全软件是结果导向，不可能对运行程序进行穿刺并指出问题位置。因此，大厂往往召集一个小团队，开发一套符合自身内部安全要求且可自定义的代码规则工具。

那么，如果将这套规则工具做得更加通用，将大厂的那些best practice开放出来给全世界工程师及IT团队呢？

Semgrep便孕育而生。

回到产品本身，通过GitHub账号登录即可体验，主页面包含以下操作：

• Write：根据已有或自定义规则，对代码进行精准或模糊检测；

• Explore：浏览规则库，包含安全原则、代码质量等；

• Manage：项目导入和管理；

• Docs：帮助文档。

（产品首页截图）

再看团队，Semgrep刚开始由三位MIT毕业生创立。CEO与CTO是同宿舍舍友，都来自MIT的EECS系，同时都是红点创投的EIR（Entrepreneur in Residence，驻场准创业者），也就是说早就有备而来。两位联创CTO与CPO都曾在Palantir工作，一位负责网络安全保险平台的搭建，另一位在Palantir带领内部的开发者工具团队。

既懂安全，又懂产品，还有相关大厂经验和知名高校背景，可谓完美组合。而在最新一篇官方博客里，是这样一句话真正诠释了我想要看到的价值定位：

“...we raised a $13M Series A round of funding to build a security tool that developers might actually love.”（我们完成了1300万美金A轮融资，希望提供一个真正让开发者喜欢的安全服务工具）

这段话直指公司的两个核心价值：

首先，从安全切入解决刚性需求：不管代码检测（俗称“debug”）或遵循best practice都有许多可替代方案，更重要的是前者是程序员最不想遇到的，后者是需要管理者自上而下驱动，两者都在违抗实际使用者即程序员的天性。

但安全是公司和产品的底线，出问题很可能职位不保，因此越是在底层写代码的员工，越重视这个刚性问题，而且也同样希望越早发现越好；

其次，从管理到效率提升才可能让使用者喜欢：如果仅仅是测试阶段进行安全检测，同样有大量可替代方案。Semgrep在解决刚需的基础上通过建立一套不断扩展的规则引擎，实时地对托管代码进行检测和警示，同时开放集成Slack或Github等账号，覆盖从第一行代码到集成开发环境（IDE）整个生命周期。

在我看来，只有发挥效率型工具的“鲶鱼”效应——像鲶鱼一样无缝植入工作流的每个环节，才能不断挖掘更多低效的场景或问题，并逐个击破。使用者才会感到时间的节省和效率的真正提升，最终进行自下而上地传播，形成网络效应。

近年来诞生的大多数SaaS产品，都具备一个重要的特征：

由管理型向效率型升级。

其实两者最终目的是一样的，但价值定位从如何帮助公司老板或管理层更好地驯服员工，转为如何真正通过一款优质的产品让员工体会到工作效率的改善，从而更加专注在创新上。

最后，我们来看下定价：

• 社区版免费；

• 团队版付费：40美金/月/开发者账号。

一位早期员工现任安全研究所负责人，回忆第一次到r2c跟CTO面试的场景，他说：

“当时我有些冒昧地对他说：这个项目很酷，但你知道更酷的是什么吗？是程序员可以在一个在线的IDE环境下，自定义任何规则（而不像现在只有离线模式）……”

没想到，两天后他收到CTO的短信，告诉他：“Hey，这个开发环境上线了，你可以点击以下链接测试。”，这顿时让他刮目相看，果断选择加入公司。

在这里，我们又看到了熟悉的车库文化。

我曾在去年关注到这个领域，并与国内相关创业者有过交流。而过程中表达的疑虑在上述r2c的价值定位中找到了部分答案。我将持续关注相关公司的发展。

本文来自微信公众号：我思锅我在（ID：angelplusdevil），作者：我思锅我在GN