麦迪逊小盘基金2025年第四季度表现 - 基金（I类）在2025年第四季度回报率为-0.4%，落后于其基准罗素2000指数2.2%的回报率[1] - 行业配置对基金本季度表现产生负面影响，其中医疗保健是最疲软的板块[1] - 基金认为投机市场正在失去动力，但保持谨慎态度[1] GitLab Inc. (GTLB) 近期市场表现 - 截至2026年3月12日，GitLab股价收于每股22.82美元[2] - 其一个月回报率为-22.77%，过去52周股价下跌了56.18%[2] - 公司当前市值为38.81亿美元[2] GitLab Inc. (GTLB) 业务与基本面分析 - 公司为软件开发生命周期（覆盖DevSecOps生命周期阶段）开发软件[2] - 公司是一个Dev/Sec/Ops软件平台供应商，帮助开发者规划、构建和监控新旧应用程序的代码[3] - 其战略软件工具帮助开发者管理从规划到构建、部署和监控的整个软件开发流水线，并在整个生命周期内保障专有软件安全[3] - 公司拥有具吸引力的15%左右的中段营业利润率，资产负债表状况良好，并在一个巨大且增长的市场中以两位数速率增长[3] - 公司与微软的GitHub平台构成了一个有吸引力的双头垄断格局[3] GitLab Inc. (GTLB) 投资论点与估值 - 基金在2025年第四季度新建了GitLab的投资仓位[3] - 股价近期承压，主要源于市场认为AI驱动的“氛围编码”软件公司将取代GitLab的解决方案，但基金从根本上反对此观点[3] - 基金认为，随着软件开发变得更简单高效，生成的代码将更多，从而增加对GitLab等规划、开发和监控工具的需求，最终将提升而非削弱GitLab的价值[3] - 基金估算GitLab的内在价值为每股75美元，认为当前股价反映了有吸引力的投资机会[3] - 基金对近期任命的首席执行官Bill Staples表示信任，认为他是优秀的资本管理者[3]

公司概况与业务模式 * 公司是JFrog (NasdaqGS:FROG)，一家专注于软件供应链管理和安全的公司[1] * 公司核心业务是管理二进制文件，这是软件供应链中的关键环节，为开发者和企业提供工具[6][7] * 公司最初是一个点解决方案，现已发展为一个平台，超过56%的收入来自其完整平台Enterprise+[11] * 公司业务分为云业务和自托管业务，云业务在2025年实现了45%的增长[13] * 公司的货币化模式：云业务通过存储和数据消耗量收费，自托管业务通过服务器数量收费，而非按开发者席位收费，这使其在市场中具有防御性[13][14] 财务表现与增长战略 * 公司遵循“40法则”，在增长和利润率之间取得平衡[18][20] * 公司是一家成长型公司，专注于收入增长，并愿意为驱动增量增长而牺牲几个百分点的利润率[16][19] * 公司在2025年实现了增长加速，并改变了其业绩指引哲学，现在仅基于云业务的最低承诺额进行指引，将超出承诺的使用量和大型交易视为潜在的业绩超预期因素[26][27][29] * 公司将2026年的业绩指引视为一个“底线”，任何超出最低承诺的使用量以及大型交易的完成时间和规模都将带来业绩超预期[29][30] * 公司实现了连续第六个季度剩余履约义务增长超过40%[71] * 公司的总客户留存率高达97%，客户粘性极强[78] 安全业务发展 * 安全业务在2025年表现强劲，占年度经常性收入的比例从2024年的5%翻倍至10%[31] * 安全产品包括：作为基础软件成分分析工具的Xray、作为防火墙式产品的Curation、以及涵盖多种技术的软件供应链安全产品Advanced Security[34][35][41] * Curation产品在2025年下半年一次重大的开源存储库黑客事件后需求强劲，该事件让企业意识到此类产品的价值[36][37] * Advanced Security产品主要驱动因素包括秘密检测、上下文分析和容器安全，其采用是一个更长期的、逐步替换现有工具的过程[41][46] * 公司与GitHub合作，为首席信息安全官提供统一的漏洞和修复视图，旨在逐步替换8-10个工具[44] * 安全产品管线势头强劲，公司预计这一势头将持续[48] 技术演进与市场定位 * 公司正从平台安全扩展到合规与治理领域，投资于DevGovOps，以应对人工智能普及带来的治理和合规需求[12] * 公司新推出的治理产品AppTrust目前处于早期阶段，尚未纳入业绩指引，若取得突破将带来额外增长[69] * 公司将自己定位为软件供应链的“系统记录”，并相信自己是当前成为人工智能公司系统记录的市场领导者[11][59] * 公司强调其“普适性”，任何源代码管理工具（如GitHub、Atlassian Bitbucket，甚至未来的Claude或OpenAI工具）都需要与JFrog集成，这构成了公司的护城河[92] * 公司将自己比作企业基础设施中的“管道”，具有高度粘性，不易被替换，这使其免受人工智能工具吸收软件预算趋势的影响[80][85] 竞争格局与行业观点 * 针对Claude Code Security等人工智能代码安全工具的竞争，公司认为其角色是“法官”，为人工智能或人类开发者设定的规则提供治理检查点，而不仅仅是代码编写者或审查者[55][57][58] * 公司认为，企业不会允许代码编写者（无论是机器还是人类）自行批准代码，因此需要像JFrog这样的独立治理检查点[61] * 关于OpenAI可能开发替代GitHub的代码仓库的传闻，公司认为这主要影响源代码领域，对JFrog而言只是增加了另一个需要集成的“合作伙伴”，进一步证明了其作为核心基础设施的价值[86][88][92] * 公司认为，当前开发运维领域正在向开发安全运维转变，尽管外部环境存在混乱和干扰，公司仍将保持专注，执行其战略[102]

业绩总结 - 财年2026的总收入为9.55亿美元，同比增长26%[36] - 第四季度收入为2.6亿美元，同比增长23%[40] - 财年2026的非GAAP运营利润率为17%，同比增长681个基点[36] - 财年2026的非GAAP毛利率为89%[54] - 财年2026的非GAAP净收入为165,535千美元，较FY 2025的124,841千美元增长32.5%[59] - FY 2026的非GAAP净收入率为17%，相比FY 2025的16%有所提升[59] - FY 2026的经营现金流为232,856千美元，较FY 2025的(63,971)千美元实现显著改善[60] - FY 2026的调整后自由现金流为219,550千美元，较FY 2025的119,999千美元增长83%[60] - FY 2026的调整后自由现金流率为23%，高于FY 2025的16%[60] 用户数据 - 财年2026的客户基础持续增长，超过282个客户的年收入超过10万美元[40] - GitLab Ultimate产品占总ARR的56%[25] 未来展望 - 财年2027第一季度的收入指导范围为2.53亿至2.55亿美元[50] - 财年2027的收入指导范围为10.99亿至11.18亿美元[50] - 财年2026的非GAAP调整后净收入每股为0.76至0.80美元[50] 负面信息 - FY 2026的股票补偿费用为214,951千美元，较FY 2025的185,899千美元增加15.6%[59] - FY 2026的外汇损失为19,465千美元，而FY 2025则为(9,416)千美元[59] - FY 2026的所得税调整为(35,454)千美元，较FY 2025的(80,468)千美元有所改善[59] - FY 2026的每股收益（GAAP）为(55,956)千美元，较FY 2025的(6,326)千美元显著增加[59]

公司业绩与财务预测 - GitLab Inc 预计将于2026年3月3日发布季度财报，华尔街分析师预计其每股收益为0.23美元，营收约为2.522亿美元 [1] - 公司对2026财年第四季度营收的指引区间为2.51亿至2.52亿美元，这较上年同期增长19% [2][6] - 公司预计2026财年全年营收将增长24.66% [4][6] - 在上一财年同一季度，公司报告的每股收益为0.33美元 [3] 增长驱动因素 - 业绩增长主要由AI驱动的DevSecOps和SaaS领域的进步以及强劲的客户留存率推动 [2][6] - 公司的美元净留存率高达119% [2][3] - 年度经常性收入超过10万美元的客户数量同比增长了23% [2] - 在第三季度，公司的SaaS收入同比增长了36%，且企业客户数量持续增长 [3] - 与亚马逊云科技的合作增强了其对包括财富100强公司和公共部门机构在内的广泛组织的吸引力，巩固了其在DevSecOps平台领域的领导地位 [4][6] 市场表现与竞争 - 尽管有积极的业务进展和增长预测，但GTLB的股价在过去六个月中大幅下跌了41.7% [4][6] - 公司在DevSecOps领域面临激烈的竞争 [5] - 公司的流动比率约为2.66，表明其流动资产是流动负债的两倍多，流动性状况强劲 [5]

行业核心趋势 - 行业正经历更广泛的转变，安全风险在软件交付生命周期中持续增加，风险正越来越多地由软件供应链及构建和部署应用的工具所塑造，而不仅仅是生产环境中运行的代码[2] - 软件构建方式已发生根本性改变，但安全实践未能跟上，DevSecOps团队陷入两难境地：行动过慢会导致过时软件积累已知漏洞，行动过快则自动化可能引入未经审查的代码[4] 安全风险现状 - 近九成（87%）的组织在其已部署的服务中至少存在一个已知的可利用漏洞[1][7] - 42%的服务依赖于不再积极维护的库[7] - 使用生命周期终止语言版本的服务，在50%的情况下会面临可利用漏洞，而使用受支持版本的服务这一比例为31%[7] 软件供应链与依赖风险 - 软件依赖的更新速度跟不上其老化速度，软件依赖的中位数现已过时278天，比去年落后了63天[2] - 半数（50%）的组织会在新库版本发布后24小时内采用，这增加了安装恶意或受损软件的风险[3][7] - 仅有4%的组织使用提交哈希将所有公共GitHub Actions固定到特定版本，这使得CI/CD流水线容易受到第三方代码静默更改的影响[3][7] - 构建和部署流水线越来越多地暴露于第三方代码的静默更改之下，使得CI/CD系统成为关键的供应链风险[3] 风险识别与优先级挑战 - 漏洞警报量持续上升，但大多数并不代表直接的业务风险，一旦应用运行时上下文，仅有18%被标记为“严重”的漏洞仍保持严重级别[5] - 警报泛滥掩盖了真实风险，导致团队被噪音干扰，而真正的威胁却可能被忽略，缺乏上下文使得优先级排序更加困难[6]

战略转型与商业模式 - 公司已从单一产品的量子计算公司转型为覆盖计算、网络、传感和安全的全栈平台提供商 [4] - 公司定位为面向更广泛行业的“商业供应商”，向竞争对手和政府承包商提供与模式无关的网络组件和原子钟 [4] - 商业成功归因于“解决方案时间”优势，据称在特定优化任务上性能比超导系统快高达10,000倍 [4] 财务表现与增长驱动 - 2025年收入实现202%的同比增长，主要受第五代100量子比特Tempo系统强劲需求驱动 [4] - 采用“先切入后扩展”策略，初始硬件销售演变为多年、多代产品路线图的合作伙伴关系 [4] - 2026年收入指引为2.25亿至2.45亿美元，假设商业客户群持续全球化和扩张 [4] - 预计有机计算平台增长可能超过100%的同比增长，因当前需求超过可用供应 [4] - 2025年第四季度报告了9.5亿美元的非现金按市价计价的认股权证收益，显著影响了GAAP净收入，但不反映运营基本面 [4] 技术领先与研发路线 - 保持了显著的技术领先优势，双量子比特门保真度达到99.99%，管理层称这解决了核心物理问题，使公司能专注于规模扩展 [4] - 目标是在2026年第四季度展示第六代256量子比特操作系统，采用基于半导体的制造路线图 [4] - 研发重点聚焦于“一次构建，多次销售”的应用，如高频交易、电网优化和生命科学，以推动未来高利润收入 [4] - 计划利用成熟制程半导体制造，使全规模系统成本比超导竞争对手低约两个数量级 [4] 战略收购与组织调整 - 宣布计划收购SkyWater Technology，以将量子制造业务回流本土，并为联邦客户确保安全、可信的供应链 [4] - 收购了Seed Innovations，以整合用于三字母政府机构的机密任务控制软件和DevSecOps能力 [4] - 在近期快速扩张后，成立了专门的并购整合团队，以统一人力资源、财务和IT职能 [6] 市场拓展与政府合作 - 加强了高管团队，引入了高级别的联邦和国防领域资深人士，以驾驭复杂的主权合同要求和地缘政治动态 [4] - 参与了价值1510亿美元的SHIELD政府倡议 [7]

公司增长动力与市场地位 - 客户基础持续扩大且多样化 包括财富100强公司、公共部门机构及国际企业 这巩固了其在DevSecOps领域的领导地位 [1] - 年经常性收入超过5千美元的客户数在2026财年第三季度增至10,475个 同比增长10% 年经常性收入超过10万美元的客户数增至1,405个 同比增长23% 显示出公司吸引和留住大型企业客户的能力 [2] - 丰富的合作伙伴网络包括谷歌云和亚马逊AWS等云平台 有助于其扩大在大型企业客户中的市场覆盖 [3] - 与亚马逊AWS达成为期三年的战略合作协议 旨在通过GitLab Dedicated为受监管行业和公共部门提供安全的DevSecOps解决方案 [4] 行业竞争格局 - 公司面临高度竞争环境 主要竞争对手是微软及其GitHub 其他竞争者包括Atlassian等专注于软件开发生命周期不同阶段的DevSecOps平台 [5] - 微软通过GitHub与Azure DevOps的无缝集成加强了其市场地位 Atlassian凭借Jira、Bitbucket和Bamboo等强大工具套件在DevSecOps领域扩张 为开发和DevOps工作流（包括CI/CD）提供了坚实基础 [6] 财务表现与市场估值 - 公司股价在过去六个月中暴跌41.7% 表现逊于同期Zacks计算机与技术板块10.6%的回报率 [7] - 尽管股价表现不佳 但市场预计公司2026财年收入将达到9.4645亿美元 同比增长24.66% [9][13] - 公司股票目前交易存在溢价 其未来12个月市销率为3.92倍 接近行业平均的3.93倍 价值评分为F [11] - 市场对2026财年每股收益的一致预期为0.89美元 在过去30天内保持不变 意味着同比增长20.27% [13]

股价表现与市场比较 - Gitlab股票在过去六个月中暴跌34.8%，表现远逊于同期Zacks计算机与科技板块7.9%的涨幅，也逊于Zacks互联网软件行业22.4%的跌幅[1] - 公司股价目前估值不菲，其价值评分为F表明估值处于高位，其未来12个月市销率为4.4倍，高于Zacks互联网软件行业平均的3.9倍[19] 面临的挑战与竞争 - 公司表现不佳归因于美国公共部门因政府停摆和持续预算限制导致的决策延迟，以及对价格敏感的中小企业市场持续疲软[2] - 公司面临来自Atlassian和微软等公司的激烈竞争，微软通过GitHub与Azure DevOps的无缝整合加强了其在DevSecOps领域的地位[2][16][17] - Atlassian正通过其强大的工具套件（如Jira、Bitbucket和Bamboo）扩大在DevSecOps领域的影响力[18] 业务增长与客户基础 - 市场对其DevSecOps平台的需求强劲，其解决方案如GitLab Ultimate、Dedicated和GitLab Duo在推动客户采用和扩大现有客户关系方面发挥重要作用[5] - 在2026财年第三季度，年度经常性收入超过5千美元的客户数增至10,475个，同比增长10%；ARR超过10万美元的客户数增至1,405个，同比增长23%，显示出公司吸引和留住大型企业客户的能力[6] - 旗舰产品GitLab Ultimate已成为关键增长催化剂，目前占总ARR的54%，并且在2026财年第三季度前十大净ARR交易中，有七笔交易由其驱动[9] 产品组合与AI战略 - 公司增长的主要驱动力之一是专注于将AI能力集成到其平台中，GitLab Duo Agent平台的推出值得关注[7] - 2026年1月，公司宣布GitLab Duo Agent Platform全面上市，旨在通过智能代理、自动化流程、深度项目上下文和企业级治理，在整个DevSecOps生命周期引入智能AI编排[8] 合作伙伴关系 - 公司受益于丰富的合作伙伴网络，包括Alphabet的谷歌云和亚马逊的AWS等云平台，这些平台帮助其扩大在大型企业客户中的影响力[10] - 公司与亚马逊AWS达成了为期三年的战略合作协议，旨在通过GitLab Dedicated为受监管行业和公共部门提供安全的DevSecOps解决方案[11] 财务业绩与展望 - 对于2026财年第四季度，公司预计收入在2.51亿至2.52亿美元之间，表明同比增长约19%；非GAAP每股收益预计在0.22至0.23美元之间[12] - 对于整个2026财年，公司预计收入在9.46亿至9.47亿美元之间，表明同比增长约25%；非GAAP每股收益预计在0.88至0.89美元之间[13] - Zacks一致预期预计公司2026财年第四季度每股收益为0.23美元，同比下降30.3%；预计第四季度收入为2.516亿美元，同比增长19%[14] - Zacks一致预期预计公司2026财年每股收益为0.89美元，同比增长20.27%；预计全年收入为9.4645亿美元，同比增长24.66%[15]

**涉及行业与公司** * **行业**：北美系统软件，特别是网络安全行业[1] * **公司**：报告中提及的网络安全公司包括**Palo Alto Networks (PANW)**、**CrowdStrike (CRWD)**、**Zscaler (ZS)**、**Fortinet (FTNT)** 和 **Check Point (CHKP)**[2]；同时提及了**Datadog (DDOG)** 在应用安全领域的跨学科货币化尝试[5] **核心观点与论据** **前沿AI对网络安全的冲击与行业防御性评估** * 过去两周，前沿AI公司明确表达了进军网络安全领域的意图，这打破了市场对网络安全独立软件供应商拥有强大防御性和高业务/技术/估值护城河的固有认知[1] * 网络安全最多只是AI创新浪潮中的一个“减速带”，最坏情况下则是一种“采用税”，但AI公司有强烈的动机和决心去降低这一采用障碍[1] * 网络安全行业的整体表现不佳，但报告认为这种冲击可能被遏制，并分析了最易受颠覆的领域[1] **具备强大护城河的网络安全领域与公司** * 最健康的护城河存在于硬件业务以及拥有多产品、多环境部署优势的大型网络安全公司，特别是在网络、终端、云控制点方面[2] * 这些供应商（如PANW, CRWD, ZS, FTNT, CHKP）的优势在于能提供极其丰富的专有用户/网络行为数据，这些数据具有上下文敏感性，可用于支撑关键的网络和网络运维工作流[2] * 这些多产品供应商的第一方遥测/警报数据生态系统构成了抵御大型语言模型颠覆的深厚护城河，尤其是PANW和CRWD，它们正致力于成为安全运营中心新的分析神经系统[2] * 这些公司通过事件响应、漏洞修复和威胁情报服务获得的第一方情报，不仅创造了积极的研发反馈循环，其“围墙花园”式的信息环境与“人在回路”模式相结合，还增强了信任、可信度和制度逻辑，进一步拓宽了护城河[2] * 主要的网络安全架构类别（网络、终端、云）由于其关键性、高度嵌入性和固有的复杂性，可能仍能很好地抵御原生AI公司的冲击，因为替换这些系统将带来极高的运营/业务风险[2] **最易受AI颠覆的网络安全领域** * **应用安全**：OpenAI的Codex和Anthropic的Claude等编码助手能够以机器速度“开箱即用”地识别和修补软件代码漏洞，几乎无需专门工具或提示干预[5]。这可能会重新定义应用安全（包括静态、动态、运行时应用测试，甚至延伸到WAF和API）的范围，并可能抑制像DDOG这类公司追求的跨学科货币化[5] * **漏洞管理/评估**：传统的漏洞评估/优先级排序、管理和修复（如RPD）是下一个最易受冲击的领域[6]。因为LLM能够以更高的速度和规模识别已知漏洞、找出过时的操作系统/应用程序，并自动交付补丁，且不受特定数据/上下文障碍的限制[6] * **渗透测试服务**：重要但高度依赖人工的渗透测试领域（如红队/蓝队/紫队演练）也可能受到AI增强自动化带来的间接颠覆，这是一个目前规模超过**1000亿美元**的市场[6] * **云安全（配置管理）**：云安全，特别是云原生应用保护平台中的态势管理用例，可能会受到一些冲击[7]。虽然大型企业不太可能为关键云环境冒险使用“通用”LLM基线，但LLM有能力识别常见的云配置漂移和不安全接口，这可能导致CNAPP领域定价权下降或价格商品化速度加快[7] **其他重要但可能被忽略的内容** * 报告认为，应用安全领域的AI化是应对AI生成代码和开源代码在企业内部高速传播所带来的“供应链”风险的一种合乎逻辑的响应路径[5] * 报告指出，漏洞管理领域已经处于长期下滑趋势[6]

行业并购动态 - 2026年1月23日 有报道称科技行业可能出现整合 一批软件公司被视为潜在的收购目标[2] - 投资者正在寻找能从交易相关上涨中获益的机会 GitLab与C3 AI、Bill Holdings和Datadog一同被列入潜在收购目标名单[2] - 此前在2025年11月 路透社报道称该行业部分领域已在进行探索性出售讨论 目前战略买家日益活跃 估值重置和平台规模资产成为焦点[2] 公司产品进展 - 2026年1月15日 公司宣布其GitLab Duo Agent Platform全面上市[3] - 此举将智能体AI能力扩展至整个DevSecOps生命周期 旨在通过将自动化从代码生成延伸至规划、安全、CI/CD和代码审查工作流 来解决所谓的AI生产力悖论[3] - 通过该平台 公司在DevOps工作流中集成了预构建、客户和外部AI智能体 同时新的基于使用量的信用模式降低了现有客户的采用摩擦[3] 公司业务与价值主张 - 公司通过其智能DevSecOps平台 帮助组织更快地规划、构建、保护和部署软件[4] - 因此 公司提高了整个软件开发生命周期中的开发人员生产力、运营效率和安全合规性[4] - GitLab被列为凯茜·伍德(Cathie Wood)十大具有巨大上涨潜力的股票选择之一[1]