Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Endor Labs, которая помогает компаниям защитить свои пакеты с открытым исходным кодом, привлекает 70 миллионов долларов
Endor Labs, которая предлагает платформу, которую разработчики могут использовать для управления и защиты своих зависимостей с открытым исходным кодом, сегодня завершила раунд серии A стоимостью 70 миллионов долларов США, возглавляемый Lightspeed Venture Partners при участии Coatue, Dell Technologies Capital, Division 32 и ряда инвесторов-ангелов.
Новое финансирование — довольно большое для серии А и поступит всего через 10 месяцев после запуска компании — доводит общую сумму привлеченных средств Endor до 95 миллионов долларов. Соучредитель и генеральный директор Варун Бадхвар говорит, что это будет направлено на расширение штата стартапа из 55 человек и «углубление» существующих технических возможностей Endor, одновременно расширяя его инициативы по выходу на рынок.
«Мы гордимся тем, что собрали значительный раунд серии А в то время, когда финансирование было ограниченным, а инвесторы тратят гораздо больше времени на более глубокую комплексную проверку», — сказал Бадхвар TechCrunch в интервью по электронной почте. «Нынешний экономический климат и пандемия стали факторами, усугубившими ситуацию, в которой оказались сегодня многие службы безопасности, а также проблемы, которые Endor Labs поставила перед собой задачу решить».
Endor Labs была основана в 2021 году Бадваром и Дмитрием Стилиадисом, которые ранее основали RedLock и Aporeto соответственно. Управляя командой разработчиков в Palo Alto Networks, они говорят, что изо всех сил пытались сбалансировать производительность разработки и безопасность цепочки поставок программного обеспечения.
«Разработчики регулярно заходили в чат компании, чтобы узнать, какие из компонентов программного обеспечения с открытым исходным кодом в их пакетах можно безопасно обновить, не затрагивая других», — сказал Бадхвар. «Иначе у них не было бы возможности узнать».
Бадхвар отмечает, что открытый исходный код стал неотъемлемой частью того, как компании-разработчики программного обеспечения ведут бизнес, и в то же время представляет собой растущую угрозу безопасности.
Согласно отчету GitHub Octoverse за 2022 год, 97% приложений используют программное обеспечение с открытым исходным кодом, а 90% компаний применяют или используют его тем или иным образом. Хотя это обнадеживает экосистему с открытым исходным кодом — больше предприятий создают сообщества программного обеспечения с открытым исходным кодом, чем в прошлые годы, как говорится в отчете Octoverse, — это также открывает организации для эксплойтов.
Сегодня компании используют тысячи пакетов с открытым исходным кодом, и каждый из этих пакетов имеет десятки и десятки «транзитивных» зависимостей, то есть связей с другим открытым исходным кодом. Большинство уязвимостей — целых 95%, по оценкам Эндора (так что относитесь к этому показателю с долей скептицизма) — обнаруживаются в этих транзитивных зависимостях.
Согласно исследованию Synopsys, с 2019 года количество уязвимостей высокого риска увеличилось как минимум на 42% в компаниях, использующих пакеты с открытым исходным кодом. Исследование, в ходе которого было проверено более 1700 кодовых баз компаний в сфере образовательных технологий, автомобилестроения, Интернета вещей и других смежных отраслей, выявило, что 89% пакетов с открытым исходным кодом в кодовых базах устарели более чем на четыре года.
Громкие хакерские атаки побудили политиков действовать, что привело к принятию таких законов, как Закон США о защите программного обеспечения с открытым исходным кодом и Исполнительный указ 14028.
«Сегодняшняя реальность такова, что большая часть кода в современных приложениях опирается на репозитории с открытым исходным кодом», — сказал Бадхвар. «Большая часть этого кода на самом деле не была выбрана разработчиками; это косвенные зависимости, автоматически вносимые в их кодовую базу. В результате разработчики тратят слишком много времени на изучение предупреждений, интеграцию инструментов безопасности и согласование приоритетов. В то же время команды по безопасности приложений не могут выполнять свою работу, не облагая разработчиков огромным «налогом на производительность».
По словам Бадхвара, Endor был запущен как платформа для выявления «достижимых» и «эксплуатируемых» рисков в открытом исходном коде. С тех пор он расширился и превратился в службу управления конвейерами разработки кода и программного обеспечения, ориентированную на создание надежных программ безопасности приложений.
Панель мониторинга Endor Labs.Кредиты изображений:Эндор Лаборатории
Используя Endor, компании могут контролировать состояние безопасности своих конвейеров разработки, управлять доступом разработчиков к коду и внимательно следить за секретами (например, паролями), жестко запрограммированными в их кодовых базах.