Podle jednoho z nedávných průzkumů se 88 % společností domnívá, že špatné zabezpečení dodavatelského řetězce softwaru představuje pro jejich organizace „celopodnikové riziko“.

Komponenty dodavatelského řetězce otevřeného softwaru jsou obzvláště rizikové díky logistickým překážkám při udržování jednotlivých komponent v dobrém stavu. Bezpečnostní firma Synopsys ve své zprávě 2023 zjistila, že 89 % kódových základen podniků obsahuje nástroje s otevřeným zdrojovým kódem starší než čtyři roky.

Zpráva Ponemon Institute z roku 2024 zjistila, že více než polovina organizací zažila útok na dodavatelský řetězec softwaru. Podle odhadů společnosti Juniper Research by tyto útoky mohly do roku 2026 stát ekonomiku téměř 81 miliard dolarů v podobě ušlých příjmů a škod.

Startup Socket, který poskytuje nástroje pro odhalování bezpečnostních chyb v otevřeném zdrojovém kódu, získal 40 milionů dolarů, aby pomohl tento problém řešit.

Generální ředitel Feross Aboukhadijeh založil společnost Socket v roce 2020. Aboukhadijeh, plodný správce open source a lektor webové bezpečnosti na Stanfordu, říká, že dospěl k přesvědčení, že tradiční bezpečnostní nástroje nestačí k řešení problémů moderního vývoje softwaru.

„Rozsáhlá síť závislostí – čítající tisíce – představuje významné bezpečnostní riziko, které tradiční nástroje nedokážou zmírnit,“ uvádí Aboukhadijeh. Závislosti jsou části softwaru nebo knihovny, na které aplikace spoléhá, aby mohla fungovat. „I při důsledných interních kontrolách kódu přinášejí externí závislosti riziko útoků na dodavatelský řetězec softwaru, které je obtížné odhalit a řídit,“ pokračoval Aboukhadijeh.

Řešením společnosti Socket je skener, který vyhledává škodlivé aktivity, jako jsou zadní vrátka a obfuskovaný kód, v komponentách s otevřeným zdrojovým kódem a upozorňuje vývojáře, když jsou závislosti a balíčky aktualizovány nebo přidány.

Díky integraci s generativními rozhraními API umělé inteligence od společností Anthropic a OpenAI může Socket také generovat souhrny zranitelností (doufejme, že s minimem halucinací). Kromě toho může platforma volitelně kontrolovat, zda je kód s otevřeným zdrojovým kódem řádně licencován – a tedy legální – pro opakované použití.

„Socket je určen pro inženýrské týmy a týmy zabývající se bezpečností aplikací, které se ve velké míře spoléhají na software s otevřeným zdrojovým kódem,“ řekl Aboukhadijeh. „Bezproblémově se integruje do pracovního procesu vývojářů a poskytuje poznatky v reálném čase během revizí kódu a aktualizací závislostí, aniž by uživatele zahlcoval falešně pozitivními výsledky.“

Na open source se spoléhá více softwarových společností než kdy dříve. Ve zprávě 2023 zveřejněné ve spolupráci s Open Source Initiative a Eclipse Foundation 95 % respondentů uvedlo, že jejich organizace v uplynulém roce zvýšily – nebo alespoň udržely – využívání open source.
Vzhledem k tomu, že se očekává, že trh s platformami pro zabezpečení dodavatelského řetězce softwaru vzroste do roku 2027 až na 3,5 miliardy dolarů, není překvapivé, že Socket má konkurenty.

Společnost Oligo, která se zaměřuje na zabezpečení a pozorovatelnost běhu aplikací, vystoupila v únoru z utajení a byla podpořena 28 miliony dolarů. Společnost Endor se vynořila z režimu stealth s 25 miliony dolarů loni v říjnu poté, co společnost Chainguard získala 50 milionů dolarů na začátku června.

Aboukhadijeh tvrdí, že Socket se odlišuje tím, že dokáže zachytit případný škodlivý kód, který jiné nástroje přehlížejí – zejména kód pro exfiltraci citlivých dat. Socket podle něj každý týden odhalí více než 100 útoků nulového dne na dodavatelský řetězec softwaru.

Působivý seznam podporovatelů – a klientů – Socketu naznačuje, že těmto tvrzením lze věřit.

Podnikatel Elad Gil a společnost Andreessen Horowitz se podíleli na sérii B společnosti Socket, spolu se spoluzakladatelem společnosti Yahoo Jerrym Yangem, předsedou OpenAI Bretem Taylorem, spoluzakladatelem Twilio Jefem Lawsonem a spoluzakladatelem a generálním ředitelem společnosti Shopify Tobiasem Lütkem.

Mezi zákazníky společnosti Socket mezitím patří Anthropic, Harvey, Figma, Vercel, jedna ze čtyř největších bank v USA a „největší a nejznámější společnost zabývající se umělou inteligencí“. (To poslední si vykládejte, jak chcete.)

Aboukhadijeh označil nové kolo série B za „předstihové“ a tvrdí, že Socket stále ještě neutratil peníze ze série A, které získal loni v srpnu.

„Jsme na cestě k tomu, abychom v roce 2024 zvýšili tržby o 400 %,“ uvedl Aboukhadijeh. „Socket má v současné době více než 100 zákazníků a chrání více než 7 500 organizací, chrání 300 000 úložišť kódu a podporuje více než 1 milion vývojářů po celém světě.“

Nová hotovost zvyšuje celkovou částku, kterou Socket získal během období, které Aboukhadijeh označil za klíčový okamžik v historii open source, na 65 milionů dolarů. Poukázal na to, že umělá inteligence se používá k psaní stále většího množství kódu, což přináší možnost vzniku bezpečnostních děr.

„Nyní nastal ten správný čas pro získání těchto prostředků,“ řekl Aboukhadijeh. „Nové vektory útoků na umělou inteligenci vytvořily naléhavou potřebu, aby Socket přinesl bezpečnostní záruky pro kód generovaný těmito nástroji poháněnými umělou inteligencí. Technologie společnosti Socket řeší tuto kritickou mezeru na trhu a dodatečné financování pomůže rozšířit její dopad.“

Společnost Socket, která má dnes 32 zaměstnanců, plánuje do konce roku rozšířit svůj tým na 50 lidí se zaměřením na inženýrskou, produktovou, designovou a obchodní stránku společnosti se sídlem ve Stanfordu.