SonarSource привлекает 412 млн. долл. для сканирования кодовых баз на наличие ошибок и уязвимостей – TechCrunch

Поддержка исходного кода — одна из самых сложных задач, с которой сталкиваются разработчики программного обеспечения. В опросе 2020 года, проведенном Sourcegraph, 51% разработчиков заявили, что их объем кода более чем в 100 раз превышает объем кода, который был у них десять лет назад, а 92% говорят, что потребность в более быстром выпуске программного обеспечения возросла. Растущие обязанности могут привести к тому, что некачественный код попадет в производственную среду, что приведет к увеличению затрат. В одном отчете ущерб от программного обеспечения с ками оценивается в 2,84 триллиона долларов в год.

За прошедшие годы появились продукты для решения проблемы сопровождения кода, в том числе облачная служба управления качеством кода SonarSource. Компания SonarSource, чья технология выявляет проблемы с надежностью и ью в коде, сегодня объявила о привлечении 412 млн. долл. в рамках раунда финансирования под совместным руководством Advent International и General Catalyst при оценке в 4,7 млрд. долл..

«Организации во всех отраслях давно поняли, что программное обеспечение имеет решающее значение для ведения их бизнеса. В последнее время они начали осознавать и признавать, что исходный код является ключевым компонентом их программного обеспечения — исходный код определяет, как программное обеспечение будет себя вести, а также работать — и поэтому ему следует уделять должное внимание», — сказал TechCrunch генеральный директор SonarSource Оливье Годен по электронной почте. «SonarSource позволяет компаниям улучшить качество исходного кода».

Обнаружение проблем в исходном коде

Годен говорит, что он запустил SonarSource, чтобы дать разработчикам возможность применять передовые методы обеспечения качества кода, которые теоретически могут помочь исправить проблемный код. Это острая проблема. Тревожный отчет Veracode и Enterprise Strategy Group показал, что почти половина организаций сознательно поставляет уязвимый код, несмотря на использование инструментов кибербезопасности, часто для того, чтобы уложиться в сроки выпуска. Отдельный опрос, проведенный Veracode, показывает, что большинство недостатков библиотек программного обеспечения — 92% — можно исправить с помощью обновления, но в 79% случаев разработчики никогда не обновляют библиотеки после их добавления в кодовую базу, опасаясь нарушения функциональности.

Годен имеет опыт работы в финансовой отрасли: он работал в JP Morgan в качестве разработчика и в Deutsche Bank в качестве руководителя группы программного обеспечения, прежде чем стать соучредителем SonarSource. Фредди Маллет, второй соучредитель SonarSource, был архитектором проекта в E-Trade и техническим директором стартапа Hortis, работающего в сфере сельскохозяйственных технологий. Третий соучредитель Саймон Брандхоф также работал в Hortis и был ведущим разработчиком торговой онлайн-платформы CPR Online.



Одна из панелей анализа кода в SonarQube.

«SonarSource был создан, чтобы учесть возможное осознание рынком того, что программное обеспечение — и его исходный код — является основой бизнеса и должно управляться как таковое», — сказал Годен. «С самого начала миссия SonarSource заключалась в том, чтобы дать возможность каждому разработчику — и, следовательно, каждой организации — создавать правильное программное обеспечение».

SonarSource была зарегистрирована в 2008 году, и одним из ее первых продуктов была программа с открытым исходным кодом SonarQube. Разработанный для выполнения статического анализа кода, т. е. отладки путем проверки кода программы без фактического выполнения программы, SonarQube встраивает чистый код в процесс разработки, поддерживая языки программирования, включая Python, Java, C# и JavaScript.

В 2010 году проект SonarSource с открытым исходным кодом достиг рубежа в более чем 2000 загрузок в месяц. Стартап стремился извлечь выгоду из своего успеха с View, коммерческим плагином для управления портфелем проектов. После выпуска большего количества подключаемых модулей и программного обеспечения, включая SonarCloud (который анализирует проекты с открытым исходным кодом) и SonarLint (интегрированное расширение среды разработки для статического анализа), SonarSource расширила возможности своих анализаторов, чтобы охватить стандарты, охватывающие ремонтопригодность, надежность и безопасность.

«Многие конкуренты сосредотачиваются только на одной части предоставления чистого кода, например на аспекте безопасности. Это обещание отделу рисков или комплаенса», — сказал Годен. «У SonarSource другой подход — мы собираемся помочь команде инженеров лучше выполнять работу по доставке кода и помочь им инвестировать время, которое они тратят на написание нового кода, а не на отладку старого кода. Мы предлагаем решение, которое позволяет этим отделам улучшить свою игру и предоставить более качественный код. Больше времени уходит на инновации и решение сложных проблем для организации».

Ускорение импульса

SonarSource конкурирует с рядом компаний на рынке программного обеспечения для статического анализа кода, стоимость которого, по прогнозам одной из фирм, к концу 2026 года может составить 1,74 млрд. долл. (по сравнению с 643 миллионами долларов в 2022 году). Например, R2C и DeepSource сосредоточены на анализе кода с точки зрения безопасности и производительности, а ShiftLeft пытается автоматически исправлять любые обнаруженные уязвимости в коде.

Все продукты для статического анализа кода имеют недостатки. Они не могут поддерживать все языки программирования, иногда дают ложные положительные и отрицательные результаты и могут создавать ложное ощущение безопасности. В конце концов, они настолько хороши, насколько хороши правила, которые они используют для сканирования, поэтому они вряд ли заменят группы обеспечения качества в ближайшее время.

SonarSource не утверждает, что преодолел их. В той мере, в какой они у нее есть, преимущества компании заключаются в форе и сильной отраслевой тяге. SonarSource увеличила свою коммерческую клиентскую базу более чем на 2000% за последние четыре года до более чем 16 000 организаций. Тем временем более 300 000 организаций, включая 80 компаний из списка Fortune 100, используют как коммерческие, так и бесплатные продукты компании.

SonarSource

Кредиты изображений: SonarSource

Профиль валовой прибыли SonarSource превышает 90%, а годовой регулярный доход составляет 175 млн. долл., которые, по прогнозам компании, достигнут 240 млн. долл. в этом году. По словам Годена, SonarSource планирует увеличить численность персонала с 290 до «к северу от 400» для достижения этой цели.

«SonarSource будет использовать [the latest] инвестиции, чтобы удвоить свой торговый персонал в 2022 году и расширить свою маркетинговую команду в существующих офисах в Женеве, Швейцария; Анси, Франция; Бохум, Германия, и Остин, Техас… Кроме того, SonarSource откроет новую региональную штаб-квартиру в Сингапуре, что позволит компании развивать свой бизнес на растущем рынке Азиатско-Тихоокеанского региона», — добавил Годен. «Многие конкуренты сосредотачиваются только на одной части предоставления чистого кода, например на аспекте безопасности. Это обещание отделу рисков или комплаенса. У SonarSource другой подход — мы собираемся помочь команде инженеров лучше выполнять работу по доставке кода и помочь им инвестировать время, которое они тратят на написание нового кода, а не на отладку старого кода».

Insight Partners и Permira также участвовали в последнем раунде финансирования SonarSource.