Klíčové body

Bezpečnostní hrozby v dodavatelském řetězci softwaru mohou mít rozsáhlý dopad, jak ukazuje incident Log4Shell
Cloudsmith získal 23 milionů dolarů pro zlepšení platformy správy softwarových balíčků
Cloudsmith se profiluje jako lídr v oblasti zabezpečení softwarového dodavatelského řetězce a efektivní správy balíčků

Tento a podobné případy ukazují, jak závažné následky může mít i jediná bezpečnostní mezera v dodavatelském řetězci.

Právě tento problém si klade za cíl vyřešit severoirský startup Cloudsmith. Společnost nabízí cloudovou „platformu pro správu artefaktů“, která se má stát modernější alternativou k tradičním platformám pro správu dodavatelského řetězce softwaru, jako jsou JFrog nebo Sonatype. Cloudsmith přitom dává důraz na zvýšení bezpečnosti softwaru v různých fázích vývoje a distribuce.

V pondělí oznámil Cloudsmith, že získal 23 milionů dolarů v rámci financování série B, které vedla investiční společnost TCV. K financování se připojili také Insight Partners a další investoři. Tento krok by měl pomoci společnosti zlepšit její platformu a umožnit lepší správu a bezpečnost softwarových balíčků ve všech fázích vývoje.

Co je to artefakt a jak Cloudsmith pomáhá?

V kontextu platformy Cloudsmith se „artefaktem“ rozumí jakýkoli softwarový balíček nebo komponenta, která je součástí procesu vývoje a distribuce softwaru. Mohou to být knihovny a jejich závislosti, konfigurační soubory nebo zkompilované aplikace. Ačkoli většina společností píše svůj vlastní kód, často se spoléhají na balíčky třetích stran uložené v veřejných registrech otevřeného kódu.

Tyto balíčky se používají při sestavování kódu do spustitelného formátu. Nicméně, v některých případech mohou být balíčky změněny nebo odstraněny z původního zdroje, což může způsobit problémy při budoucích sestaveních aplikací.

Cloudsmith tuto mezery vyplňuje tím, že funguje jako „zrcadlo“ pro tyto balíčky. Ukládá je do privátního registru, což znamená, že jsou vždy dostupné pro budoucí sestavení, a to i v případě, že zmizí nebo dojde ke změně v jejich původních zdrojích. Cloudsmith zajišťuje, že sestavení softwaru jsou opakovatelná a spolehlivá, což je klíčové pro týmy DevOps nebo platformové inženýry, kteří potřebují mít přehled o tom, jaké artefakty se používají při tvorbě produkčního softwaru.

Jak Cloudsmith chrání před bezpečnostními hrozbami?

Bezpečnost je klíčovým aspektem, který Cloudsmith do svého řešení zahrnuje. I když jsou některé balíčky stále k dispozici v otevřených registrech, mohou se s časem objevit bezpečnostní problémy. Tyto problémy mohou být způsobeny nedostatečnou údržbou balíčků nebo záměrnými bezpečnostními hrozbami. Aby se předešlo těmto rizikům, Cloudsmith provádí skenování závislostí na zranitelnosti, licenční problémy a malware před tím, než jsou balíčky vystaveny vývojářům.

Jak říká generální ředitel Cloudsmith Glenn Weinstein, Cloudsmith skenuje a kurátoruje všechny artefakty dříve, než se dostanou do produkčního prostředí. Tento proces eliminuje nebezpečné balíčky a zajišťuje, že jsou poskytovány pouze bezpečné a dobře udržované artefakty. „Cloudsmith představuje bezpečnostní kontrolní bod pro závislosti na open source,“ uvedl Weinstein. „Zároveň zajišťuje dohled nad tím, jaké artefakty používají podniky, a to jak u soukromých, veřejných, tak open source balíčků.“

Úspěch a plán do budoucna

Společnost Cloudsmith byla založena v roce 2016 v Belfastu Alanem Carsonem a Leem Skillenem, kteří měli ambice přinést nový přístup k řízení dodavatelského řetězce softwaru. Startup již dříve získal 26 milionů dolarů v rámci financování série A, které bylo rozděleno na dvě části – první část ve výši 15 milionů dolarů byla poskytnuta v roce 2021 a druhá část přišla v roce 2023.

Tento úspěch podpořil příchod Glenn Weinstein jako nového generálního ředitele, který přinesl cenné zkušenosti z oblasti startupů a scale-upů. Díky Weinsteinovu vedení se Cloudsmith zaměřil na větší podniky a jejich problémy se zabezpečením softwarového dodavatelského řetězce.

Většina zaměstnanců společnosti, včetně zakladatelů, sídlí v Belfastu, přičemž stále více než tři čtvrtiny příjmů pocházejí od zákazníků ve Spojených státech. Nové investice by měly umožnit Cloudsmithu expandovat a najímat nové zaměstnance v oblastech prodeje, marketingu a zákaznického úspěchu, stejně jako investovat do výzkumu a vývoje nových aplikací, včetně využívání umělé inteligence.

Weinstein vyjádřil přesvědčení, že Cloudsmith má jedinečnou příležitost využít rozsáhlé databáze o spotřebě softwarových balíčků, které má k dispozici, a přetavit je v cenné poznatky pro vývojáře. Tato data by mohla být využita k doporučením na výběr bezpečnějších a lépe udržovaných open source balíčků, čímž by se ještě více zvýšila bezpečnost a efektivita vývoje softwaru.

Cloudsmith se tedy profiluje jako bezpečnostní lídr v oblasti softwarového dodavatelského řetězce, a to nejen díky své platformě, ale také díky své schopnosti poskytovat efektivní nástroje pro správu a výběr softwarových balíčků. Tento přístup dává vývojářům možnost vybírat bezpečné balíčky s vědomím, že byly důkladně zkontrolovány a jsou spolehlivé, což má pro budoucnost softwarového vývoje klíčový význam.

V současnosti se uvádí, že až 81 % databází kódů obsahuje vysoce rizikové nebo kritické zranitelnosti, které mohou ovlivnit celou strukturu dodavatelského řetězce. I malá zranitelnost může mít dalekosáhlý dopad, jak ukázal například incident s Log4Shell, při němž byly miliony aplikací vystaveny riziku útoků na vzdálené spuštění kódu kvůli bezpečnostní chybě v populární knihovně Log4j. Tento a podobné případy ukazují, jak závažné následky může mít i jediná bezpečnostní mezera v dodavatelském řetězci.Právě tento problém si klade za cíl vyřešit severoirský startup Cloudsmith. Společnost nabízí cloudovou „platformu pro správu artefaktů“, která se má stát modernější alternativou k tradičním platformám pro správu dodavatelského řetězce softwaru, jako jsou JFrog nebo Sonatype. Cloudsmith přitom dává důraz na zvýšení bezpečnosti softwaru v různých fázích vývoje a distribuce.V pondělí oznámil Cloudsmith, že získal 23 milionů dolarů v rámci financování série B, které vedla investiční společnost TCV. K financování se připojili také Insight Partners a další investoři. Tento krok by měl pomoci společnosti zlepšit její platformu a umožnit lepší správu a bezpečnost softwarových balíčků ve všech fázích vývoje.Co je to artefakt a jak Cloudsmith pomáhá?V kontextu platformy Cloudsmith se „artefaktem“ rozumí jakýkoli softwarový balíček nebo komponenta, která je součástí procesu vývoje a distribuce softwaru. Mohou to být knihovny a jejich závislosti, konfigurační soubory nebo zkompilované aplikace. Ačkoli většina společností píše svůj vlastní kód, často se spoléhají na balíčky třetích stran uložené v veřejných registrech otevřeného kódu. Tyto balíčky se používají při sestavování kódu do spustitelného formátu. Nicméně, v některých případech mohou být balíčky změněny nebo odstraněny z původního zdroje, což může způsobit problémy při budoucích sestaveních aplikací.Cloudsmith tuto mezery vyplňuje tím, že funguje jako „zrcadlo“ pro tyto balíčky. Ukládá je do privátního registru, což znamená, že jsou vždy dostupné pro budoucí sestavení, a to i v případě, že zmizí nebo dojde ke změně v jejich původních zdrojích. Cloudsmith zajišťuje, že sestavení softwaru jsou opakovatelná a spolehlivá, což je klíčové pro týmy DevOps nebo platformové inženýry, kteří potřebují mít přehled o tom, jaké artefakty se používají při tvorbě produkčního softwaru.Jak Cloudsmith chrání před bezpečnostními hrozbami?Bezpečnost je klíčovým aspektem, který Cloudsmith do svého řešení zahrnuje. I když jsou některé balíčky stále k dispozici v otevřených registrech, mohou se s časem objevit bezpečnostní problémy. Tyto problémy mohou být způsobeny nedostatečnou údržbou balíčků nebo záměrnými bezpečnostními hrozbami. Aby se předešlo těmto rizikům, Cloudsmith provádí skenování závislostí na zranitelnosti, licenční problémy a malware před tím, než jsou balíčky vystaveny vývojářům.Jak říká generální ředitel Cloudsmith Glenn Weinstein, Cloudsmith skenuje a kurátoruje všechny artefakty dříve, než se dostanou do produkčního prostředí. Tento proces eliminuje nebezpečné balíčky a zajišťuje, že jsou poskytovány pouze bezpečné a dobře udržované artefakty. „Cloudsmith představuje bezpečnostní kontrolní bod pro závislosti na open source,“ uvedl Weinstein. „Zároveň zajišťuje dohled nad tím, jaké artefakty používají podniky, a to jak u soukromých, veřejných, tak open source balíčků.“Úspěch a plán do budoucnaSpolečnost Cloudsmith byla založena v roce 2016 v Belfastu Alanem Carsonem a Leem Skillenem, kteří měli ambice přinést nový přístup k řízení dodavatelského řetězce softwaru. Startup již dříve získal 26 milionů dolarů v rámci financování série A, které bylo rozděleno na dvě části – první část ve výši 15 milionů dolarů byla poskytnuta v roce 2021 a druhá část přišla v roce 2023. Tento úspěch podpořil příchod Glenn Weinstein jako nového generálního ředitele, který přinesl cenné zkušenosti z oblasti startupů a scale-upů. Díky Weinsteinovu vedení se Cloudsmith zaměřil na větší podniky a jejich problémy se zabezpečením softwarového dodavatelského řetězce.Většina zaměstnanců společnosti, včetně zakladatelů, sídlí v Belfastu, přičemž stále více než tři čtvrtiny příjmů pocházejí od zákazníků ve Spojených státech. Nové investice by měly umožnit Cloudsmithu expandovat a najímat nové zaměstnance v oblastech prodeje, marketingu a zákaznického úspěchu, stejně jako investovat do výzkumu a vývoje nových aplikací, včetně využívání umělé inteligence.Weinstein vyjádřil přesvědčení, že Cloudsmith má jedinečnou příležitost využít rozsáhlé databáze o spotřebě softwarových balíčků, které má k dispozici, a přetavit je v cenné poznatky pro vývojáře. Tato data by mohla být využita k doporučením na výběr bezpečnějších a lépe udržovaných open source balíčků, čímž by se ještě více zvýšila bezpečnost a efektivita vývoje softwaru.Cloudsmith se tedy profiluje jako bezpečnostní lídr v oblasti softwarového dodavatelského řetězce, a to nejen díky své platformě, ale také díky své schopnosti poskytovat efektivní nástroje pro správu a výběr softwarových balíčků. Tento přístup dává vývojářům možnost vybírat bezpečné balíčky s vědomím, že byly důkladně zkontrolovány a jsou spolehlivé, což má pro budoucnost softwarového vývoje klíčový význam.