Endor 以 2500 万美元从卧底中脱颖而出,以保护软件供应链 • TechCrunch

越来越多的公司使用代码来开发开源软件。 2018 年 探索性的研究 通过软件供应链管理平台 Tidelift,92% 的专业软件开发人员表示他们的应用程序包含开源库。 虽然这是一个积极的趋势 – 开源提供了很多好处,其中最重要的是透明度 – 它也有其缺点,例如代码是否包含漏洞的可见性较差。

许多供应商正在解决开源安全问题,提供扫描元数据和包描述以查找已知漏洞的工具。 但 Varun Padwar 认为他们走得还不够远。 他是联合创始人 室内实验室,一家拥有 30 多名员工的初创公司,它使用图形分析技术来了解如何在组织内使用依赖关系并创建风险指标。

为显示出投资者的兴趣,Endor(今天从秘密测试版中推出)迄今已从 Lightspeed Enterprise Companions、Dell Applied sciences Capital、Sierra Ventures 和天使投资人(包括 Palo Alto Networks 首席执行官 Nikesh Arora)吸引了 2500 万美元。 Badhwar 告诉 TechCrunch,此前未披露的资金用于支持增长,同时继续扩大 Endor 的研发。

“如果软件供应链的风险还不是董事会的优先事项,那么它们很快就会成为优先事项,”Badwar 在电子邮件采访中告诉 TechCrunch。 “开源软件为开发速度提供了丰富的资源,但大量的依赖关系阻碍了开发并增加了攻击面。这些数字确实令人震惊:一个典型的大型组织——比如拥有超过 10,000 名员工的组织——总共有超过 200 万依赖关系。因此,开发人员难以维护依赖关系、故障排除、更新并浪费大量时间来处理误报带来的警报疲劳。与此同时,安全团队缺乏真正的洞察力……虽然这个问题似乎是技术性的,但在此应用驱动时代,它影响到运营的方方面面。

以巴德瓦尔的观点,谈谈 报告 美国国土安全部发布的一份报告发现,美国政府机构花了几个月的时间来响应 Apache 的 Log4j2 库中的一个漏洞,这是一个基于 Java 的日志记录实用程序,部分原因是安全团队无法在 . 他们的软件环境。 白宫已表明其致力于解决更广泛的软件供应链安全问题,并公开宣布它是 国家安全 问题和文件发布 行政命令 旨在设定缓解标准。

在共同创立 Endor 之前,Badhwar 主持了 RedLock,这是一家云基础设施安全初创公司,于 2018 年被 Palo Alto Networks 收购。收购后,他与首席技术官 Dimitri 一起担任 Palo Alto Networks 的高级副总裁兼 Prisma Cloud 总经理Stiliadis,他通过公司收购来到帕洛阿尔托 为了他 启动,阿普里托。 Stiliadis 还是投资部门 Alcatel-Lucent 和 Nuage Networks 的首席技术官,后者是一家开发软件定义网络解决方案的技术公司。

Badwar 表示,在 2020 年 SolarWinds 漏洞之后,他们有动力开发一项服务,以更好地分析软件更新和部署代码的潜在影响。 两人都认为,当前的工具缺少“整个类别”的供应链攻击,并且公司正淹没在关于漏洞的误报中——例如由善意的开发人员代码中的错误引起的漏洞——而没有提供优先修复的方法。

图片来源: 室内实验室

“由于现代应用程序中 80% 的代码不是由内部开发人员编写的,而是从 Web 上的开源包中提取的未经任何验证,我们确定平均而言,组织通常依赖于超过 40,000 个开源包。 Padwar 说,指的是调查显示安全团队 浸泡和脱敏 通过警报。 “这会导致大规模的、无法控制的扩张,减缓进化速度,同时增加攻击面。”

为了尝试解决这个问题,Endor 应用了 Badhwar 所谓的“深度程序分析”来为企业软件创建依赖关系图。 该图显示了如何在组织内使用依赖项——特别是哪些依赖项是从代码中调用的,哪些是未使用的以及哪些易受攻击的包是可利用的。 每个依赖项都会根据质量、安全性、管理员活动、受欢迎程度和 CI/CD 参考数据获得分数。

Endor 还提供了衡量安全和运营风险以及删除未使用或未维护的依赖项的工具。 Badhwar 指出,该图表可用于创建软件材料列表,并为公司的软件清单创建真实来源。

“我们的依赖生命周期管理平台具有对整个依赖图的全面深入的视图,提供了一个多维信号来识别风险并确定风险的优先级,并帮助客户更好地识别、保护、监控和维护大规模的依赖,”Badwar 说。 “我们已经创建并继续开发的是一个平台,可以实现智能决策和快速开发,包括更快、更轻松、更安全的大规模软件重用。”

虽然 Badhwar 强调 Endor 平台比大多数平台更全面,但新的竞争对手正在定期出现在该领域。 就在 9 月,提供服务以加强企业软件供应链的 Ox Safety 以 3400 万美元的资金秘密启动。 另一个竞争对手 Chainguard 已经筹集了数百万美元来构建开源软件的安全工具。 还有 Cycode 和 Dustico,后者于 2021 年 8 月被 Checkmarx 收购,收购金额未披露。

这不仅仅是 Endor 在帕洛阿尔托处理的初创公司。 5月,它包括一个工业集团 谷歌亚马逊、爱立信、英特尔、微软和 VMware 承诺提供 3000 万美元与 Linux 基金会和开源安全基金会合作,以提高开源软件的安全性。 但拒绝透露有关 Indore 客户群或收入的任何指标的 Badwar 并不认为这对业务构成威胁。

这不一定是一种鲁莽的心态。 互联网领域的风险投资资金仍然强劲,到 2022 年上半年,风险投资在 531 笔交易中投资了 125 亿美元, 根据 To Momentum Cyber​​​​​​ – 与 2021 年上半年(126 亿美元)相似的交易量。

Padwar 说:“我们非常渴望在一个非常大的市场中解决具有挑战性的技术问题。过去一年,Indore 一直在秘密工作,在那段时间里,它一直在吸引关键客户和潜在客户。” “时机证明是完美的,因为开源软件安全成为全国乃至全球的焦点……在过去一年中,超过 75 个组织向我们提供了反馈,表明我们已将其集成到产品中,并且目前正在与许多拥有 200 至 35,000 名员工的公司进行私人测试。”

#Endor #以 #万美元从卧底中脱颖而出以保护软件供应链 #TechCrunch

Leave a Comment

Your email address will not be published. Required fields are marked *