Zpráva Ponemon Institute 2024 zjistila, že více než polovina organizací zažila útok na dodavatelský řetězec softwaru, přičemž 54 % z nich zažilo útok v posledním roce.

Útoky na dodavatelský řetězec se obvykle zaměřují na služby dodavatelů třetích stran nebo na open source software, které tvoří technologický stack společnosti, a mohou organizaci finančně zničit. Podle studie společnosti Juniper Research by kybernetické útoky na dodavatelský řetězec mohly do roku 2026 způsobit celosvětové ekonomice ztrátu příjmů a škody ve výši téměř 81 miliard dolarů.

Bílý dům dal najevo odhodlání řešit širší problém bezpečnosti dodavatelského řetězce softwaru tím, že jej otevřeně prohlásil za problém národní bezpečnosti a vydal exekutivní příkaz zaměřený na stanovení zmírňujících standardů.

Tato hrozba podpořila poptávku po platformách, které lze použít k odhalení – a v ideálním světě i ke zmírnění – útoků na dodavatelský řetězec softwaru v podniku. Jeden ze startupů, který takovou platformu vytváří, Lineaje (polofonický přepis slova „lineage“), dnes uzavřel kolo financování Series A v hodnotě 20 milionů dolarů.

Společnost Lineaje, kterou v roce 2021 založili Javed Hasan a Anand Revashetti, vyvíjí nástroje pro odhalování softwaru v dodavatelském řetězci organizace, s nímž bylo manipulováno, a také zastaralého, potenciálně zranitelného softwaru s otevřeným zdrojovým kódem. Jakmile Lineaje najde pravděpodobnou zranitelnost, doporučí opravy – pokud jsou nějaké k dispozici – a varuje před implementací těch, které by mohly software poškodit.

„Pro organizace, kterým záleží na riziku, které jejich software vytváří pro jejich organizace i zákazníky, je zaměření a řízení tohoto rizika kritické,“ řekl Hasan, generální ředitel společnosti Lineaje. „Společnost Lineaje se zrodila proto, aby objevovala, spravovala a zabezpečovala software bez ohledu na to, kde je vytvořen.“

Hasan i Revashetti pocházejí z odvětví kybernetické bezpečnosti, pracovali u dodavatelů, jako jsou Symantec, McAfee a Norton. Jejich cesty se zkřížily během působení ve společnosti McAfee, kde Revashetti působil jako spolupracovník a hlavní architekt.

„Útoky na dodavatelský řetězec softwaru a obavy z nich neustále rostou,“ řekl Hasan. „Když jsme se na tuto oblast podívali, bylo jasné, že dodavatelský řetězec je pro ředitele CISO a americkou vládu na prvním místě v žebříčku obav.“

Společnost Lineaje působí na přeplněném trhu. Mezi jeho konkurenty patří společnosti Kusari, Ox Security, Chainguard, Dustico a Endor a velké technologické společnosti, jako jsou Google, Amazon a Microsoft, vyvíjejí úsilí o zlepšení obecného zabezpečení softwaru s otevřeným zdrojovým kódem.

Jedním ze způsobů, jak se Lineaje snaží vyniknout, je však zapojení do obranné práce. Hasan tvrdí, že společnost má smlouvu s americkým letectvem na podporu jeho protiteroristického programu „Eagle Eyes“ a také vztahy s dalšími nejmenovanými federálními agenturami.

Agentury veřejného sektoru se jistě potýkají s podobnými problémy v oblasti dodavatelského řetězce softwaru jako soukromý sektor. Nedávná zpráva vydaná americkým ministerstvem vnitřní bezpečnosti zjistila, že jedna z vládních agentur USA strávila měsíce reakcí na zranitelnost v knihovně Log4j2 od Apache, což je nástroj pro logování založený na Javě, částečně proto, že její bezpečnostní týmy měly problémy s identifikací, kde se zranitelné balíčky v jejich softwarových prostředích nacházejí.

Výnosy ze série A společnosti Lineaje, díky nimž startup získal celkem 27 milionů dolarů, podpoří jeho úsilí o získání ještě většího počtu klientů z amerického veřejného sektoru, pokračoval Hasan.

„Finanční prostředky z kola Series A nám vystačí nejméně do začátku roku 2027,“ uvedl a dodal, že loňský rok byl prvním rokem, kdy společnost Lineaje dosáhla příjmů. „V současné době máme asi 30 zaměstnanců, přičemž do konce roku plánujeme počet zaměstnanců zdvojnásobit.“

Na tomto kole se podílely společnosti Prosperity7 Ventures, Neotribe a Hitachi a účastnily se ho společnosti Tenable Ventures, Carahsoft, Wipro Ventures, SecureOctane a AlumniVentures.