Цепочка поставок программного обеспечения, включающая компоненты и процессы, используемые для разработки программного обеспечения, стала нестабильной. Согласно одному недавнему опросу, 88% компаний считают, что плохая безопасность цепочки поставок программного обеспечения представляет «риск для всего предприятия» для их организаций.
Компоненты цепочки поставок с открытым исходным кодом особенно опасны из-за логистических препятствий для поддержания каждого компонента в хорошем состоянии. Охранная фирма Synopsys в своем отчете за 2023 год обнаружила, что 89% кодовых баз компаний содержат инструменты с открытым исходным кодом, устаревшие более четырех лет назад. Отчет Института Ponemon за 2024 год показал, что более половины организаций подверглись атакам на цепочку поставок программного обеспечения. По оценкам Juniper Research, к 2026 году эти атаки могут стоить экономике почти 81 миллиард долларов в виде упущенной выгоды и ущерба.
Socket, стартап, предоставляющий инструменты для обнаружения уязвимостей безопасности в открытом исходном коде, собрал 40 миллионов долларов, чтобы помочь решить проблему.
Генеральный директор Ферос Абухадие основал Socket в 2020 году. Будучи плодовитым специалистом по поддержке открытого исходного кода и преподавателем веб-безопасности в Стэнфорде, Абухадие говорит, что пришел к выводу, что традиционных инструментов безопасности недостаточно для решения проблем современной разработки программного обеспечения.
«Разветвленная сеть зависимостей, исчисляемая тысячами, представляет собой серьезную угрозу безопасности, которую традиционные инструменты не могут смягчить», — сказал Абухадие TechCrunch. Зависимости — это части программного обеспечения или библиотеки, от которых зависит функционирование приложения. «Даже при тщательной внутренней проверке кода внешние зависимости создают риск атак на цепочку поставок программного обеспечения, которые трудно обнаружить и контролировать», — продолжил Абухадидже.
Решение Socket — это сканер, который ищет вредоносную активность, такую как бэкдоры и запутанный код, в компонентах с открытым исходным кодом и предупреждает разработчиков, когда зависимости и пакеты обновляются или добавляются.
Благодаря интеграции с генеративными API-интерфейсами искусственного интеллекта от Anthropic и OpenAI, Socket также может генерировать сводные данные об уязвимостях (надеюсь, с минимальными галлюцинациями). Кроме того, платформа может дополнительно проверить, что открытый исходный код надлежащим образом лицензирован (и, следовательно, законен) для повторного использования.
«Socket предназначен для инженерных групп и групп по безопасности приложений, которые в значительной степени полагаются на программное обеспечение с открытым исходным кодом», — сказал Абухадидже. «Он легко интегрируется в рабочий процесс разработчика, предоставляя информацию в режиме реального времени во время проверок кода и обновлений зависимостей, не перегружая пользователей ложными срабатываниями».
Больше компаний-разработчиков программного обеспечения полагаются на открытый исходный код, чем когда-либо прежде. В отчете за 2023 год, опубликованном в сотрудничестве с Open Source Initiative и Eclipse Foundation, 95% респондентов заявили, что их организации увеличили — или, по крайней мере, сохранили — использование открытого исходного кода в прошлом году.
Поскольку ожидается, что к 2027 году рынок платформ безопасности цепочек поставок программного обеспечения вырастет до 3,5 миллиардов долларов, неудивительно, что у Socket есть конкуренты.
Oligo, компания, которая специализируется на безопасности и наблюдаемости приложений во время выполнения, вышла из скрытности в феврале, получив поддержку в 28 миллионов долларов. Эндор вышел из стелса с 25 миллионами долларов в октябре прошлого года после того, как Chainguard поднял 50 миллионов долларов в начале июня.
Что отличает Socket, утверждает Абухадие, так это его способность улавливать потенциально вредоносный код, который пропускают другие инструменты, в частности код для кражи конфиденциальных данных. По его словам, Socket каждую неделю обнаруживает более 100 атак нулевого дня в цепочке поставок программного обеспечения.
Впечатляющий список сторонников и клиентов Socket позволяет предположить, что этим утверждениям есть некоторая достоверность.
Предприниматель Элад Гил и Андриссен Горовиц участвовали в Socket Series B вместе с соучредителем Yahoo Джерри Янгом (раскрытие информации: Yahoo является материнской компанией TechCrunch), председателем OpenAI Бретом Тейлором, соучредителем Twilio Джефом Лоусоном и соучредителем и генеральным директором Shopify Тобиасом. Лютке.
В то же время клиентами Socket являются Anthropic, Harvey, Figma, Vercel, один из четырех крупнейших банков США и «крупнейшая и наиболее известная компания в области искусственного интеллекта». (Интерпретируйте последнее по своему усмотрению.)
Абухадиа охарактеризовал новый раунд серии B как «превентивный», заявив, что Socket до сих пор не потратила деньги серии A, собранные в августе прошлого года.
«Мы находимся на пути к увеличению выручки на 400% в 2024 году», — сказал Абухадие TechCrunch. «В настоящее время Socket имеет более 100 клиентов и защищает более 7500 организаций, защищая 300 000 репозиториев кода и поддерживая более 1 миллиона разработчиков по всему миру».
Благодаря новым деньгам общая сумма привлеченных средств Socket достигла 65 миллионов долларов, что произошло, по словам Абухадии, как поворотный момент в истории открытого исходного кода. Он отметил, что искусственный интеллект используется для написания все большего количества кода, что создает потенциальные дыры в безопасности.
«Сейчас было подходящее время для сбора этих средств», — сказал Абухадие. «Новые векторы атак на ИИ вызвали у Socket острую необходимость обеспечить гарантии безопасности кода, генерируемого этими инструментами на базе ИИ. Технология Socket устраняет этот критический пробел на рынке, а дополнительное финансирование поможет масштабировать ее влияние».
Socket, в которой сегодня работают 32 сотрудника, планирует к концу года увеличить свою команду до 50 человек, сосредоточив внимание на разработке, разработке продуктов, дизайне и продажах Стэнфордской компании.