CRML:网络安全终于有了自己的 "Terraform"
2026-02-10 | Product Hunt | GitHub | 官网
界面解读:左侧是 "Risk as Code"(风险即代码)的核心卖点文案,右侧是 YAML 代码编辑器,包含 VALIDATE(验证)、SIMULATE(模拟)、PORTFOLIO(组合)三个功能标签。整体设计面向开发者,采用暗色代码编辑器搭配亮色结果面板的经典 SaaS 布局。
30 秒快速判断
这工具是干嘛的:CRML 是一种开源的声明式语言,让你能用编写 YAML 的方式定义网络风险模型——就像 Terraform 定义基础设施、SQL 定义数据查询一样,CRML 专门用于定义网络风险。
值不值得关注:如果你在网络安全或 GRC(治理、风险与合规)领域,非常值得关注。这是第一次有人尝试把“风险量化”从 Excel 表格搬进代码仓库,理念非常超前。但目前产品处于极早期(GitHub 仅 15 星),更适合作为行业趋势来观察,而非立即投入生产使用的工具。
与我有关三问
与我有关吗?
目标用户是谁:CISO(首席信息安全官)、安全工程师、GRC 合规团队、网络风险分析师。简单来说,就是那些需要向董事会解释“我们的网络风险到底值多少钱”的人。
我是目标用户吗:如果你满足以下任一条件:
- 你的工作涉及网络风险量化,经常与 FAIR 框架、蒙特卡罗模拟打交道
- 你在做安全合规,受够了用 Excel 管理混乱的风险模型
- 你是安全产品的开发者,需要一种标准化的风险描述格式
那么你就是目标用户。如果你不在网络安全行业,这个产品对你意义不大。
什么场景会用到:
- 场景 1:给董事会做季度网络风险报告 --> 用 CRML 将风险模型代码化,每次只需运行模拟而非手动修改 Excel。
- 场景 2:跨团队协作风险评估 --> CRML 文件存放在 Git 仓库,谁修改了什么假设一目了然。
- 场景 3:对接不同风险引擎 --> CRML 与引擎无关,一套模型既可以跑 FAIR 也可以跑贝叶斯分析。
- 场景 4:你只是个普通开发者 --> 你可能不需要这个。
对我有用吗?
| 维度 | 收益 | 代价 |
|---|---|---|
| 时间 | 风险模型版本化、可复现,告别从零构建 Excel | 学习 YAML 语法和 CRML 规范,约需 2-4 小时上手 |
| 金钱 | 完全免费开源,基于 MIT 协议 | 零成本,但需要自行搭建或集成引擎 |
| 精力 | 假设透明化、可对比(diff),提升团队协作效率 | 早期社区较小,文档有限,遇到问题需自行探索 |
投资回报率(ROI)判断:如果你已经在从事 CRQ(网络风险量化)工作,花半天时间了解 CRML 是值得的,至少能帮你把握行业趋势。如果你不在此领域,完全可以跳过。
喜闻乐见吗?
爽点在哪:
- “终于可以 diff 风险模型了”:以前风险假设隐藏在 Excel 单元格里,根本无法追溯变更。CRML 让风险模型像代码一样拥有版本历史。
- FAIR 与贝叶斯的统一:以前选了 FAIR 就只能做静态分析,选贝叶斯又太复杂。CRML 首次尝试将两者装进同一个 YAML 规范中。
用户评价:
“风险即代码的方法太精妙了——从电子表格迁移到 Git 版本化的 YAML/JSON 解决了审计追踪和协作中的许多痛点。” — Product Hunt 评论者
“风险模型活在电子表格里意味着每个假设都是隐性的,没人能对比它们的差异。我们已经有了基础设施即代码、网络即代码,但风险领域一直缺位。” — Product Hunt 评论者
“真正的考验在于安全团队是否愿意采用这一规范,还是继续在 Python notebook 里构建定制化模型。” — Product Hunt 评论者
给独立开发者
技术栈
- 语言:Python
- 数据格式:YAML / JSON(声明式)
- 验证:JSON Schema 严格验证(crml_validator.py)
- 版本:CRML 1.1 规范
- 许可证:MIT License
- 安装方式:
pip install crml-lang
界面解读:这是 CRML 的 Web 验证工具,左侧是暗色 YAML 编辑器,右侧是验证结果面板,显示 "Validation Passed"(验证通过)和模型元数据。支持文件上传、实时验证和下载功能。
核心功能实现
CRML 本质上是一套 YAML schema 规范。你用 YAML 描述资产、控制措施、依赖关系、不确定性假设和影响路径,然后交给任何兼容的模拟引擎去运行。核心能力包括:
- 控制措施有效性建模(量化安全控制如何降低风险)
- 对数正态分布的中位数参数化
- 多币种支持(支持 15 种以上货币)
- 原始损失数据自动校准
- 场景化建模(场景可互换,研究者可以发布场景供他人校准使用)
开源情况
- 是否开源:是,MIT 协议,完全开放
- GitHub:Faux16/crml,目前 15 Stars、9 Forks、3 Contributors
- 类似开源项目:目前没有直接竞品——这是第一个针对“风险即代码”的 DSL(领域特定语言)
- 开发难度:中等。核心是一套规范加上验证器,技术门槛不高。真正的难点在于如何让行业接受并采用你的规范。预计 1-2 人月可以做出类似的验证器,但建立生态需要数年时间。
商业模式
- CRML 本身:完全免费,纯开源项目
- 背后公司 Zeron:采用 SaaS 订阅制的网络风险情报平台。CRML 作为开源的基础设施层,Zeron 平台则是商业化的上层应用——这是经典的“开源核心 + 商业平台”模式。
- Zeron 收入:年收入约 92.7 万卢比(约 1.1 万美元),仍处于极早期阶段。
巨头风险
这个赛道已经存在大玩家。SAFE Security 已融资超过 1.7 亿美元并收购了 Balbix,RiskLens(FAIR 框架的商业化平台)也非常成熟。但 CRML 的定位不同——它不是一个平台,而是一种语言规范。就像 Terraform 不与 AWS 竞争而是成为基础设施描述标准一样,CRML 想做风险建模界的 "Terraform"。
风险在于:如果 SAFE 或 RiskLens 决定推出类似的开放规范,CRML 的先发优势可能不足。此外,FAIR Institute 已是行业标准,CRML 需要证明自己比纯粹的 FAIR 框架更具实用价值。
给产品经理
痛点分析
- 解决什么问题:CISO 在向董事会汇报网络风险时,答案往往是模糊的——因为风险模型散落在不同的工具、不同人的脑子里以及各种 Excel 文件中。缺乏一种统一的“语言”来描述风险。
- 痛点程度:高频且刚需(对 CISO 和 GRC 团队而言)。每次董事会风险报告都是一次痛苦的“翻译”过程。虽然 95% 的高管认可风险量化的价值,但仅有 15-20% 部署了自动化方案,这说明市场需求巨大但供给不足。
用户画像
- 核心用户:CISO 和安全风险团队,尤其是需要向董事会或监管机构提交财务化风险报告的群体。
- 次要用户:安全产品开发者(需要一种标准化的风险建模格式)。
- 使用场景:季度风险报告、合规审计、安全投资 ROI 论证、网络保险定价。
功能拆解
| 功能 | 类型 | 说明 |
|---|---|---|
| YAML/JSON 风险建模 | 核心 | 使用声明式语法描述风险场景、资产和控制措施 |
| JSON Schema 验证 | 核心 | 确保模型格式的准确性和一致性 |
| FAIR+贝叶斯双模式 | 核心 | 首次在同一规范中统一了两种主流建模方法 |
| 多币种支持 | 核心 | 支持 15+ 货币,满足跨国企业的全球化需求 |
| 控制有效性建模 | 核心 | CRML 1.1 新增,量化安全控制对风险的削减效果 |
| 实时遥测集成 | 锦上添花 | 直接接入实时数据源,使风险模型能够持续更新 |
| Web 验证器 | 锦上添花 | 支持在浏览器内直接编辑和验证 CRML 文件 |
竞品差异
| 维度 | CRML | FAIR/RiskLens | SAFE Security | Kovrr |
|---|---|---|---|---|
| 类型 | 开源语言/规范 | 行业标准 + 商业平台 | AI 驱动的 SaaS 平台 | 商业化 CRQ 平台 |
| 价格 | 免费 | RiskLens 高额付费 | 企业级付费 | 企业级付费 |
| 核心差异 | 引擎无关的建模语言 | 行业标准方法论 | 自动化 + AI 深度分析 | 保险精算级模型 |
| 锁定风险 | 零(开源开放) | 绑定 FAIR 框架 | 专有平台锁定 | 专有平台锁定 |
| 成熟度 | 极早期 | 行业最成熟 | 高(Forrester 领导者) | 高(Gartner 认可) |
可借鉴的点
- “X 即代码”的范式迁移:将任何领域从 GUI 或 Excel 迁移到声明式代码,是一个被反复验证的成功产品模式(如 IaC、GitOps、策略即代码)。如果你的领域还在依赖 Excel,这个思路值得借鉴。
- 开源规范 + 商业平台的双层模式:通过 CRML 免费开放来构建生态,利用 Zeron 平台收费实现商业化——这是 Docker 和 Terraform 验证过的经典路线。
- 场景化设计:CRML 的场景可互换、可发布机制,类似于 Terraform Registry 的模块共享思路。
给科技博主
创始人故事
- 创始人:Sanket Sarkar,印度裔,哈佛大学网络安全学位,沃顿在线创业学背景。
- 背景:自称“企业家、黑客、数学极客”。曾任 TeamCognito CEO。
- 创业初衷:Sanket 和团队在一次安全测试中发现了 86 个网站漏洞,但商业领袖们完全忽视了警告——因为现有的风险量化模型太模糊、太主观。他想找一个网络风险引擎集成到自己的平台,结果翻遍互联网也没找到,于是决定自己造一个。
- 合作伙伴:毕马威(KPMG)印度已经与 Zeron 展开合作,共同推进网络风险评估业务。
争议点/讨论角度
- 角度 1 - “风险即代码”是否过于理想化? 安全团队大多不是开发者,让他们写 YAML 真的现实吗?PH 上就有用户质疑:“真正的考验是安全团队是否愿意采用这一规范,还是继续在 Python notebook 里建模型。”
- 角度 2 - 开源 DSL 对阵商业巨头:SAFE Security 融资 1.7 亿美元,而 CRML 的母公司 Zeron 融资不到 150 万美元。开源规范能靠社区力量打败“钞能力”吗?
- 角度 3 - Terraform 类比是否成立? Terraform 的成功是因为基础设施确实需要标准化。网络风险的碎片化程度是否高到足以支撑起一个标准语言?
热度数据
- PH 排名:149 票,热度中等。
- GitHub:15 Stars——处于极早期,社区生态尚未建立。
- 媒体曝光:PR Newswire 发布了新闻稿,FOSS United 社区有相关展示帖。
- 搜索趋势:整体讨论量较低,尚未在大众圈层破圈。
内容建议
- 适合的角度:"为什么网络安全是最后一个没有实现 'as code' 的领域"——探讨从 IaC 到策略即代码,再到风险即代码的演进逻辑。
- 蹭热点机会:结合 SEC/EU 对网络安全披露监管的收紧,以及 AI 带来的安全新挑战,将 CRML 包装为应对监管的“数字化利器”。
给早期采用者
定价分析
| 层级 | 价格 | 包含功能 | 够用吗? |
|---|---|---|---|
| 开源版 | 免费 | CRML 语言规范、验证器、示例模型、PyPI 包 | 对技术型用户完全够用 |
| Zeron 平台 | 未公开 | 商业化 CRQ 平台、仪表板、高级报告 | 适合需要企业级服务的公司 |
上手指南
- 上手时间:30 分钟(熟悉 YAML 的话),2-4 小时(如果需要补习 FAIR/贝叶斯基础概念)。
- 学习曲线:中等偏高(需要网络安全和风险量化背景)。
- 操作步骤:
- 执行
pip install crml-lang安装 Python 包。 - 克隆 GitHub 仓库,参考
spec/examples/下的示例文件。 - 使用
crml_validator.py验证你的 YAML 模型。 - 或者直接访问 Web 验证器在浏览器中尝试。
- 阅读
docs/目录下的完整规范文档。
- 执行
坑点与吐槽
- 社区极小:GitHub 仅 15 星,3 个贡献者。遇到问题可能只能发邮件联系创始人。
- 缺乏配套引擎:CRML 定义了语言,但你得自己找或写引擎来运行模拟。这种“引擎无关”既是优点也是门槛。
- 非开发者门槛:团队承认学习曲线对非技术背景的风险分析师不友好。
- 文档待完善:作为 v1.1 版本,文档的覆盖深度还有提升空间。
安全与隐私
- 数据存储:完全本地化(YAML 文件存在你自己的 Git 仓库中)。
- 隐私政策:开源项目,不收集任何用户数据。
- 安全审计:基于 MIT 协议开源,代码完全透明可审计。
替代方案
| 替代品 | 优势 | 劣势 |
|---|---|---|
| RiskLens (FAIR) | 行业标准,最成熟的 CRQ 平台 | 价格昂贵,系统封闭,绑定 FAIR 框架 |
| SAFE Security | AI 驱动,自动化程度高,行业领导者 | 价格极高,属于专有平台 |
| 自建 Python 模型 | 完全自定义,灵活性最高 | 难以复现、无法版本化、缺乏标准 |
| Excel + FAIR 手册 | 零成本,上手快 | 假设隐性、不可对比、协作困难 |
给投资人
市场分析
- 赛道规模:CRQ 市场 2024 年规模 12 亿美元,预计 2033 年达 35-79 亿美元。
- 增长率:复合年增长率(CAGR)约为 12.8-23.1%。
- 驱动因素:网络攻击频发、监管压力(SEC 披露要求)、FAIR 框架采用率提升(从 52% 增至 68%)、AI 带来的新安全挑战。
- 渗透率:95% 的高管认可其价值,但仅 15-20% 部署了自动化方案——市场存在巨大的供需缺口。
竞争格局
| 层级 | 玩家 | 定位 |
|---|---|---|
| 头部 | SAFE Security、RiskLens/FAIR | 企业级全栈 CRQ 平台 |
| 腰部 | Kovrr、CyberSaint、SecurityScorecard | 垂直领域的 CRQ 或评分平台 |
| 新进入者 | CRML/Zeron | 开源基础设施层(语言与规范) |
时机(Timing)分析
- 为什么是现在:1) 工程领域全面“代码化”,网络风险是最后一块拼图;2) 监管要求更精确的风险披露;3) AI 时代手动评估已无法应对复杂度。
- 技术成熟度:FAIR 框架已成为公认标准,CRML 在此基础上扩展,技术底座扎实。
- 市场准备度:需求明确(95% 认可),但自动化工具匮乏,处于早期市场窗口期。
团队背景
- 创始人:Sanket Sarkar,哈佛网络安全 + 沃顿创业背景,连续创业者。
- 核心团队:48 人(Zeron 整体),总部位于孟买。
- 过往成绩:毕马威印度合作伙伴,客户覆盖加拿大、新加坡、英国、菲律宾等国。
融资情况
- 已融资:约 65.4 万 - 147 万美元(种子轮)。
- 投资人:Varanium Capital、Yatra Angel Network、100X.VC、NetApp Excellerator 等。
- 年收入:约 1.1 万美元(截至 2024 年 3 月)——处于极早期商业化阶段。
结论
CRML 做了一件“正确但极早”的事:为网络安全领域造了一门语言。 就像 SQL 之于数据、Terraform 之于基础设施,CRML 试图成为网络风险建模的通用语言。理念一流,但执行仍处于起步阶段——社区极小、公司极早期、行业采纳仍需时间。
| 用户类型 | 建议 |
|---|---|
| 开发者 | 关注并点个 Star。如果你在开发安全产品,研究一下 CRML 的设计思路,MIT 协议可以直接复用。但不建议在生产环境重度依赖。 |
| 产品经理 | 关注“X 即代码”的范式迁移。如果你的领域还有大量 Excel 或手动流程,这个方向值得借鉴。 |
| 博主 | 值得一写。“风险即代码”是一个很好的叙事角度,配合监管收紧的背景有内容深度。但目前热度有限,不是流量爆款。 |
| 早期采用者 | 保持观望。除非你是安全工程师且对 FAIR/贝叶斯有深厚背景,否则上手门槛较高。建议等社区成熟后再入场。 |
| 投资人 | 谨慎关注。赛道极佳(CRQ 市场高增长),但公司极早期,开源 DSL 的商业化路径仍需进一步验证。 |
资源链接
| 资源 | 链接 |
|---|---|
| 官网 | zeron.one |
| GitHub | Faux16/crml |
| PyPI | crml-lang |
| Product Hunt | CRML |
| FOSS United | 展示帖 |
| 新闻稿 | PR Newswire |
| 深度介绍 | 什么是 CRML? |
| 创始人 | Sanket Sarkar - LinkedIn |
2026-02-10 | Trend-Tracker v7.3