Chainguard привлекает 50 млн. долл. для защиты цепочек поставок – TechCrunch

Chainguard, стартап, который занимается обеспечением безопасности цепочек поставок программного обеспечения, объявил сегодня о привлечении раунда финансирования серии A на сумму 50 млн. долл., возглавляемого Sequoia Capital. В этом раунде также приняли участие Amplify, Mantis VC, LiveOak Venture Partners, Banana Capital, K5/JPMC и директора по информационной безопасности из Google и Square.

В дополнение к новому финансированию компания, которой на данный момент всего 8 месяцев, также сегодня запустила свой первый набор базовых образов контейнеров, которые, как обещает Chainguard, не содержат известных уязвимостей и которые будут постоянно обновляться. Эти изображения будут полностью подписаны и будут содержать спецификацию программного обеспечения (SBOM).

«Инженеры по безопасности привыкли рассуждать о корнях доверия, используя системы двухфакторной аутентификации и идентификации, а также устанавливая доверие к оборудованию с помощью ключей шифрования. Но сегодня у нас нет этого для исходного кода и артефактов программного обеспечения», — сказал Дэн Лоренц, соучредитель и генеральный директор Chainguard. «Наше видение состоит в том, чтобы соединить эти корни доверия на протяжении всего жизненного цикла разработки и всей цепочки поставок программного обеспечения, а также дать разработчикам и директорам по информационной безопасности уверенность в коде, который они используют в производстве, и в целостности их систем».

В дополнение к этим новым базовым образам Chainguard уже предлагает свою услугу Enforce для контейнерных рабочих нагрузок. Построенный на основе SigStore, инструментов с открытым исходным кодом для криптографической подписи кода, проверки этих подписей и обеспечения возможности аудита всех этих данных, а также других инструментов с открытым исходным кодом, таких как Knative и других облачных сервисов, Enforce позволяет предприятиям контролировать свои поставки. цепные политики, основанные на структуре SLSA и платформе разработки безопасного программного обеспечения NIST. Благодаря этому они могут, например, определить, какой код и где может выполняться, и гарантировать, что разработчики и специалисты по безопасности знают, что используется для создания программного обеспечения внутри компании.

Поскольку мало кто из разработчиков хочет добавить больше инструментов в свой репертуар (в конце концов, вы можете сдвинуться только настолько далеко влево), команда стремилась сделать установку своего сервиса такой же простой, как запуск одной команды, а также предлагает поддержку систем автоматизации, таких как CloudFormation и Terraform. .

Тот факт, что Chainguard уделяет особое внимание защите облачных технологий, неудивителен. Среди его соучредителей Вилле Айкас, Ким Левандовски, Мэтт Мур (технический директор) и Скотт Никол, которые ранее работали в Google и активно участвовали в сообществе открытого исходного кода.



Я встретился с Айкасом, который был частью ранней команды Kubernetes в Google и техническим руководителем Knative Eventing, на мероприятии KubeCon/CloudNativeCon в Испании в прошлом месяце. Он отметил, что Enforce — это первая часть головоломки для Chainguard.

«Enforce приходит с мыслью, что мы понимаем, что цепочка длинная, и мы собираемся начать решать ее, а не с мыслью: «О, да, круто, вот и ‘защитите мое дерьмо». Мы не строим змеиное масло. Идея состоит в том, что мы создаем прочную технологическую платформу, которую затем можем использовать, добавлять функции и начинать затыкать дыры в различных цепочках. Enforce — это первая часть, а вторая — изображения».

Он также отметил, что общая миссия Chainguard состоит в том, чтобы улучшить опыт разработчиков — и все это при обеспечении безопасности цепочек поставок программного обеспечения.

Неудивительно, что компания планирует использовать новое финансирование для ускорения разработки своего продукта. Но в дополнение к этому Chainguard также планирует вкладывать значительные средства в проекты с открытым исходным кодом, такие как Sigstore, SLSA и OpenSSF, а также в новую программу обучения разработчиков, которая фокусируется на безопасности цепочки поставок.

«Известные атаки на цепочки поставок программного обеспечения, такие как Log4j, высветили необходимость создания основы доверия к программному обеспечению, которое компании запускают в производство», — сказал Богомил Балканский, партнер Sequoia Capital. «Chainguard дает компаниям уверенность в критически важном программном обеспечении с открытым исходным кодом, которое они развертывают, предоставляя простой и удобный для разработчиков способ подписи и проверки артефактов программного обеспечения, чтобы у них был след для отслеживания, если нарушение действительно произойдет. Команда Chainguard — идейные лидеры в этой области, и это правильная команда в нужное время в истории для решения этой проблемы».