Společnost Socket získala investici 20 mil. USD na pomoc firmám se zabezpečením softwaru
Společnost Socket, startup, který poskytuje skenovací nástroj pro odhalování bezpečnostních chyb v otevřeném zdrojovém kódu, dnes oznámila, že získala 20 milionů dolarů v rámci kola A vedeného společností Andreessen Horowitz.
Na této tranši se podílely společnosti Abstract Ventures, Wndrco, Unusual Ventures a působivě vysoký seznam andělských investorů, včetně spoluzakladatelů společností Box (Aaron Levie), Figma (Dylan Field), Okta (Frederic Kerrest), Vercel (Guillermo Rauch) a Eventbrite (Julia a Kevin Hartzovi).
Generální ředitel Feross Aboukhadijeh uvedl, že nová hotovost – spolu s předchozí počáteční investicí ve výši 4,6 milionu dolarů, díky níž společnost získala celkem 24,6 milionu dolarů – bude použita na rozšíření týmu společnosti Socket a rozšíření podpory dalších programovacích jazyků a integrací.
„Za posledních deset let je jasné, že open source software zvítězil,“ řekl Aboukhadijeh v e-mailovém rozhovoru pro TechCrunch. „Volné sdílení kódu výrazně zlevnilo a zrychlilo tvorbu softwaru a díky tomu se zrychlily technologické inovace. Bezpečnost však byla často opomíjena. Nové technologie se šíří, protože jsou užitečné, ne proto, že jsou bezpečné. Zločinci využívají důvěry v software s otevřeným zdrojovým kódem k bezostyšným útokům, které šíří destruktivní malware.“
S tímto názorem je těžké polemizovat. Podle nedávného průzkumu společnosti Tidelift si je pouze 15 % organizací velmi jistých svými postupy správy otevřeného softwaru. (Připouštíme, že Tidelift je konkurentem Socketu, a proto není nejobjektivnějším zdrojem). Z průzkumu vyplývá, že většina z nich má určité obavy o udržení aktuálnosti, bezpečnosti a dobré údržby softwaru s otevřeným zdrojovým kódem.
Tyto organizace mají důvod k obavám. Bezpečnostní firma Synopsys ve své studii trendů pro rok 2023 zjistila, že 89 % firemních databází obsahuje open source, který je více než čtyři roky zastaralý. Přitom 91 % používalo komponenty otevřeného softwaru, které nebyly nejnovější dostupnou verzí.
„Počet útoků na dodavatelský řetězec softwaru se stále zvyšuje astronomickou rychlostí,“ řekl Aboukhadijeh. „V kombinaci s přísnějšími regulačními sankcemi za porušení předpisů, povinnými pravidly pro podávání zpráv a také s prudkým nárůstem využívání otevřeného softwaru v organizacích nebyla rizika – a povědomí o nich – nikdy větší.“
Aboukhadijeh – správce otevřeného softwaru a lektor bezpečnosti webu na Stanfordu – tvrdí, že Socket je řešením těchto bezpečnostních problémů otevřeného softwaru. To je docela pádné tvrzení, uvážíme-li, že totéž tvrdí i řada dalších začínajících a zavedených firem.
Zdroj: Unsplash
Společnost Oligo, která se zaměřuje na zabezpečení běžících aplikací a pozorovatelnost s cílem odhalovat a předcházet zranitelnostem otevřeného softwaru, se v únoru dostala do utajení a získala 28 milionů dolarů rizikového kapitálu. Společnost Endor se vynořila z utajení s 25 miliony dolarů loni v říjnu poté, co společnost Chainguard získala na začátku června 50 milionů dolarů. Jinde jsou to společnosti Stacklok, Arnica a Ox Security, které dohromady získaly více než 50 milionů dolarů.
Společnost Google také poskytuje službu Assured Open Source Software, která má vývojářům pomoci bránit se proti útokům na bezpečnost dodavatelského řetězce pravidelným skenováním a analýzou zranitelností některých nejpopulárnějších softwarových knihoven.
Aboukhadijeh říká, že Socket se liší tím, že neprovádí pouze vyhledávání softwaru, který zákazník používá, aby zjistil, zda byly zranitelnosti nahlášeny do veřejných databází. Místo toho jde hlouběji a snaží se omezit šumy, které se mohou objevit při analýze tisíců řádků kódu třetích stran.
„Na rozdíl od tradičního bezpečnostního skeneru dokáže Socket skutečně odhalit aktivní útok na dodavatelský řetězec a pomoci vám ho zablokovat,“ vysvětlil Aboukhadijeh. „A na rozdíl od tradičního nástroje statické analýzy poskytuje Socket místo stovek nesmyslných upozornění zpětnou vazbu o riziku závislosti.“
Konkrétně Socket hledá v softwaru varovné signály na vysoké úrovni, jako je malware, překlepy (registrace běžně chybně napsaných doménových jmen pro škodlivé účely), zavádějící balíčky a neudržovaný kód, kromě toho neznámé správce a nadměrná oprávnění. Platforma nabízí funkci vyhledávání, která uživatelům umožňuje ponořit se do kódové základny a najít a sledovat změny v závislostech, a dále bezplatné rozšíření pro webové prohlížeče, které se snaží určit, zda je balíček s otevřeným zdrojovým kódem bezpečný a důvěryhodný.
Zdroj: Gettyimages
V souladu s trendem generativní umělé inteligence společnost Socket nedávno představila konektor pro ChatGPT, chatbota s umělou inteligencí společnosti OpenAI, který shrnuje potenciální problémy v softwarových balíčcích, zejména „neobvyklé“ vzory kódu.
„Většina bezpečnostního softwaru je obvykle prodávána vedoucím pracovníkům, takže jeho skutečné používání bývá na nic,“ řekl Aboukhadijeh. „My jsme zvolili jiný přístup – vytvořili jsme produkt, který vývojáři skutečně milují. A z tohoto důvodu jsme viděli, že bezpečnostní týmy jsou skutečně nadšené, když mohou Socket nasadit svým vývojářům, což je v tomto odvětví bohužel poměrně vzácné.“
Ale je to všechno jen chvástání? Byl jsem v pokušení si to myslet, cynický novinář jsem – ale možná ne. Od svého založení v roce 2020 přilákala společnost Socket se sídlem v San Francisku zákazníky zvučných jmen, včetně společností Brave, Figma a Vercel (všimněte si, že spoluzakladatelé posledních dvou jmenovaných společností nakonec do Socketu investovali). A pokud si společnost udrží současnou trajektorii, Aboukhadijeh očekává, že během několika příštích měsíců zdvojnásobí svou velikost, alespoň co se týče počtu zaměstnanců. Zaměřuje se na růst inženýrských, bezpečnostních, provozních, prodejních a marketingových týmů společnosti Socket.
„V oblasti bezpečnosti se více než v jiných odvětvích daří ústnímu podávání informací,“ dodal Aboukhadijeh. „Jsme hrdí na to, že naši uživatelé mají Socket rádi, a to je příčinou vysoké poptávky.“
Společnost Socket, startup, který poskytuje skenovací nástroj pro odhalování bezpečnostních chyb v otevřeném zdrojovém kódu, dnes oznámila, že získala 20 milionů dolarů v rámci kola A vedeného společností Andreessen Horowitz.
Na této tranši se podílely společnosti Abstract Ventures, Wndrco, Unusual Ventures a působivě vysoký seznam andělských investorů, včetně spoluzakladatelů společností Box (Aaron Levie), Figma (Dylan Field), Okta (Frederic Kerrest), Vercel (Guillermo Rauch) a Eventbrite (Julia a Kevin Hartzovi).
Generální ředitel Feross Aboukhadijeh uvedl, že nová hotovost - spolu s předchozí počáteční investicí ve výši 4,6 milionu dolarů, díky níž společnost získala celkem 24,6 milionu dolarů - bude použita na rozšíření týmu společnosti Socket a rozšíření podpory dalších programovacích jazyků a integrací.
"Za posledních deset let je jasné, že open source software zvítězil," řekl Aboukhadijeh v e-mailovém rozhovoru pro TechCrunch. "Volné sdílení kódu výrazně zlevnilo a zrychlilo tvorbu softwaru a díky tomu se zrychlily technologické inovace. Bezpečnost však byla často opomíjena. Nové technologie se šíří, protože jsou užitečné, ne proto, že jsou bezpečné. Zločinci využívají důvěry v software s otevřeným zdrojovým kódem k bezostyšným útokům, které šíří destruktivní malware."
S tímto názorem je těžké polemizovat. Podle nedávného průzkumu společnosti Tidelift si je pouze 15 % organizací velmi jistých svými postupy správy otevřeného softwaru. (Připouštíme, že Tidelift je konkurentem Socketu, a proto není nejobjektivnějším zdrojem). Z průzkumu vyplývá, že většina z nich má určité obavy o udržení aktuálnosti, bezpečnosti a dobré údržby softwaru s otevřeným zdrojovým kódem.
Tyto organizace mají důvod k obavám. Bezpečnostní firma Synopsys ve své studii trendů pro rok 2023 zjistila, že 89 % firemních databází obsahuje open source, který je více než čtyři roky zastaralý. Přitom 91 % používalo komponenty otevřeného softwaru, které nebyly nejnovější dostupnou verzí.
"Počet útoků na dodavatelský řetězec softwaru se stále zvyšuje astronomickou rychlostí," řekl Aboukhadijeh. "V kombinaci s přísnějšími regulačními sankcemi za porušení předpisů, povinnými pravidly pro podávání zpráv a také s prudkým nárůstem využívání otevřeného softwaru v organizacích nebyla rizika - a povědomí o nich - nikdy větší."
Aboukhadijeh - správce otevřeného softwaru a lektor bezpečnosti webu na Stanfordu - tvrdí, že Socket je řešením těchto bezpečnostních problémů otevřeného softwaru. To je docela pádné tvrzení, uvážíme-li, že totéž tvrdí i řada dalších začínajících a zavedených firem.
Zdroj: Unsplash
Společnost Oligo, která se zaměřuje na zabezpečení běžících aplikací a pozorovatelnost s cílem odhalovat a předcházet zranitelnostem otevřeného softwaru, se v únoru dostala do utajení a získala 28 milionů dolarů rizikového kapitálu. Společnost Endor se vynořila z utajení s 25 miliony dolarů loni v říjnu poté, co společnost Chainguard získala na začátku června 50 milionů dolarů. Jinde jsou to společnosti Stacklok, Arnica a Ox Security, které dohromady získaly více než 50 milionů dolarů.
Společnost Google také poskytuje službu Assured Open Source Software, která má vývojářům pomoci bránit se proti útokům na bezpečnost dodavatelského řetězce pravidelným skenováním a analýzou zranitelností některých nejpopulárnějších softwarových knihoven.
Aboukhadijeh říká, že Socket se liší tím, že neprovádí pouze vyhledávání softwaru, který zákazník používá, aby zjistil, zda byly zranitelnosti nahlášeny do veřejných databází. Místo toho jde hlouběji a snaží se omezit šumy, které se mohou objevit při analýze tisíců řádků kódu třetích stran.
"Na rozdíl od tradičního bezpečnostního skeneru dokáže Socket skutečně odhalit aktivní útok na dodavatelský řetězec a pomoci vám ho zablokovat," vysvětlil Aboukhadijeh. "A na rozdíl od tradičního nástroje statické analýzy poskytuje Socket místo stovek nesmyslných upozornění zpětnou vazbu o riziku závislosti."
Konkrétně Socket hledá v softwaru varovné signály na vysoké úrovni, jako je malware, překlepy (registrace běžně chybně napsaných doménových jmen pro škodlivé účely), zavádějící balíčky a neudržovaný kód, kromě toho neznámé správce a nadměrná oprávnění. Platforma nabízí funkci vyhledávání, která uživatelům umožňuje ponořit se do kódové základny a najít a sledovat změny v závislostech, a dále bezplatné rozšíření pro webové prohlížeče, které se snaží určit, zda je balíček s otevřeným zdrojovým kódem bezpečný a důvěryhodný.
Zdroj: Gettyimages
V souladu s trendem generativní umělé inteligence společnost Socket nedávno představila konektor pro ChatGPT, chatbota s umělou inteligencí společnosti OpenAI, který shrnuje potenciální problémy v softwarových balíčcích, zejména "neobvyklé" vzory kódu.
"Většina bezpečnostního softwaru je obvykle prodávána vedoucím pracovníkům, takže jeho skutečné používání bývá na nic," řekl Aboukhadijeh. "My jsme zvolili jiný přístup - vytvořili jsme produkt, který vývojáři skutečně milují. A z tohoto důvodu jsme viděli, že bezpečnostní týmy jsou skutečně nadšené, když mohou Socket nasadit svým vývojářům, což je v tomto odvětví bohužel poměrně vzácné."
Ale je to všechno jen chvástání? Byl jsem v pokušení si to myslet, cynický novinář jsem - ale možná ne. Od svého založení v roce 2020 přilákala společnost Socket se sídlem v San Francisku zákazníky zvučných jmen, včetně společností Brave, Figma a Vercel (všimněte si, že spoluzakladatelé posledních dvou jmenovaných společností nakonec do Socketu investovali). A pokud si společnost udrží současnou trajektorii, Aboukhadijeh očekává, že během několika příštích měsíců zdvojnásobí svou velikost, alespoň co se týče počtu zaměstnanců. Zaměřuje se na růst inženýrských, bezpečnostních, provozních, prodejních a marketingových týmů společnosti Socket.
"V oblasti bezpečnosti se více než v jiných odvětvích daří ústnímu podávání informací," dodal Aboukhadijeh. "Jsme hrdí na to, že naši uživatelé mají Socket rádi, a to je příčinou vysoké poptávky."
