Все больший процент кода, который компании используют для разработки программного обеспечения, является открытым исходным кодом. В опросе 2018 года, проведенном Tidelift, платформой управления цепочками поставок программного обеспечения, 92% профессиональных разработчиков программного обеспечения заявили, что их приложения содержат библиотеки с открытым исходным кодом. Хотя это и положительная тенденция — открытый исходный код дает множество преимуществ, не последним из которых является прозрачность, — у него могут быть и свои недостатки, например, низкая видимость того, может ли код содержать уязвимости.
Ряд поставщиков решают проблему безопасности с открытым исходным кодом, предлагая инструменты, которые сканируют метаданные и дескрипторы пакетов для поиска известных эксплойтов. Но Варун Бадхвар утверждает, что они не заходят достаточно далеко. Он является соучредителем Endor Labs, стартапа, в котором работает чуть более 30 сотрудников и который использует технологию анализа графов, чтобы узнать, как зависимости используются в организации, и создать индикаторы риска.
В знак интереса инвесторов компания Endor, которая запустила сегодня внезапную частную бета-версию, на сегодняшний день привлекла 25 млн. долл. от Lightspeed Venture Partners, Dell Technologies Capital, Sierra Ventures и бизнес-ангелов, включая генерального директора Palo Alto Networks Никеша Арора. Бадхвар сообщает TechCrunch, что ранее нераскрытое финансирование используется для поддержки роста при продолжении расширения исследований и разработок Endor.
«Если риски для цепочки поставок программного обеспечения еще не являются приоритетом совета директоров, то вскоре они станут им», — сказал Бадхвар в интервью TechCrunch по электронной почте. «Программное обеспечение с открытым исходным кодом предлагает богатый ресурс для скорости разработки, но огромное количество зависимостей препятствует разработке и увеличивает поверхность атаки. Цифры действительно ошеломляют: типичное крупное предприятие, например, с более чем 10 000 сотрудников, имеет более двух миллионов общих зависимостей. В результате разработчики изо всех сил пытаются поддерживать, устранять неполадки и обновлять зависимости и теряют много часов, пытаясь справиться с усталостью от предупреждений из пожарного шланга ложных срабатываний. Между тем, командам безопасности не хватает реальной видимости… Хотя проблема кажется технической, в эту эпоху, управляемую приложениями, она затрагивает все аспекты операций».
По мнению Бадхвара, в недавнем отчете, опубликованном Министерством внутренней безопасности США, говорится, что одно правительственное учреждение кабинета министров США потратило месяцы на реагирование на уязвимость в библиотеке Apache Log4j2, утилиты для ведения журналов на основе Java, отчасти потому, что у его групп безопасности возникли проблемы. определение того, где в их программных средах находились уязвимые пакеты. Белый дом заявил о своей приверженности решению более широкой проблемы безопасности цепочки поставок программного обеспечения, открыто объявив ее проблемой национальной безопасности и издав указ, направленный на установление смягчающих стандартов.
До того, как стать соучредителем Endor, Бадхвар возглавлял RedLock, стартап по обеспечению безопасности облачной инфраструктуры, который был приобретен Palo Alto Networks в 2018 году. пришел в Пало-Альто в результате приобретения компанией его запуск, Апорето. Стилиадис также ранее был техническим директором в венчурном подразделении Alcatel-Lucent и Nuage Networks, технологической компании, разрабатывающей программно-определяемые сетевые решения.
Бадхвар говорит, что после взлома SolarWinds в 2020 году они были вынуждены разработать сервис, который мог бы лучше анализировать потенциальное влияние обновлений программного обеспечения и развертывания кода. Они оба считали, что существующие инструменты упускают из виду «целый класс» атак на цепочку поставок и утопают компании в ложных срабатываниях об уязвимостях — например, возникающих из-за ошибок в благонамеренном коде разработчиков — без возможности расставить приоритеты по исправлению.
«Учитывая, что 80% кода в современных приложениях пишутся не разработчиками внутри компании, а извлекаются из пакетов с открытым исходным кодом в Интернете без какой-либо проверки, мы определили, что в среднем предприятия часто полагаются на более чем 40 000 пакетов с открытым исходным кодом. . Каждый из них, в свою очередь, приводит в среднем к 77 дополнительным зависимостям», — сказал Бадхвар, ссылаясь на опросы, которые показывают, что команды безопасности перегружены и лишены чувствительности к оповещениям. «Это приводит к массовому и неконтролируемому разрастанию, что замедляет разработку и увеличивает поверхность атаки».
Чтобы попытаться решить эту проблему, Эндор применяет то, что Бадхвар называет «глубоким анализом программы», чтобы построить граф зависимостей для программного обеспечения организаций. На графике показано, как зависимости используются в организации — в частности, какие зависимости вызываются из кода, какие не используются и какие уязвимые пакеты можно использовать. Каждая зависимость получает оценку на основе качества, безопасности, активности сопровождающего, популярности и перекрестных ссылок на данные CI/CD.
Endor также предоставляет инструменты для измерения безопасности и операционных рисков, а также для удаления неиспользуемых или неподдерживаемых зависимостей. Бадхвар отмечает, что график можно использовать для создания списка материалов для программного обеспечения, устанавливая источник достоверности для инвентаризации программного обеспечения компании.
«Наша платформа управления жизненным циклом зависимостей обеспечивает целостную и глубокую видимость всего графа зависимостей, предоставляет многомерный сигнал, который точно определяет риски и приоритизирует их, а также помогает клиентам выбирать, защищать, отслеживать и поддерживать лучшие зависимости в масштабе», — сказал Бадхвар. «То, что мы создали и продолжаем развивать, — это платформа, которая позволяет принимать интеллектуальные решения и разрабатывать со скоростью и скоростью, включая повторное использование программного обеспечения в масштабе быстрее, проще и намного безопаснее».
В то время как Бадхвар утверждает, что платформа Эндора более целостна, чем у большинства, новые конкуренты в этом пространстве появляются регулярно. Только в сентябре компания Ox Security, предлагающая услуги по укреплению цепочек поставок корпоративного программного обеспечения, неожиданно запустилась с финансированием в размере 34 млн. долл.. Другой конкурент, Chainguard, привлек несколько млн. долл. на создание инструментов безопасности для программного обеспечения с открытым исходным кодом. Есть также Cycode и Dustico, последний из которых Checkmarx приобрел за нераскрытую сумму в августе 2021 года.
Endor из Пало-Альто идет рука об руку не только со стартапами. В мае отраслевая группа, в которую входит Google, AmazonЭрикссон, Интел, Microsoft и VMware пообещали выделить 30 млн. долл. на работу с Linux Foundation и Open Source Security Foundation для повышения безопасности программного обеспечения с открытым исходным кодом. Но Бадхвар, который отказался раскрыть какие-либо показатели клиентской базы или доходов Endor, не считает это угрозой для бизнеса.
Это не обязательно безрассудное мышление. По данным Momentum Cyber, в первой половине 2022 года венчурное финансирование остается сильным: венчурные капиталисты инвестировали 12,5 млрд долларов в 531 сделку в первой половине 2022 года — объем, сопоставимый с первой половиной 2021 года (12,6 млрд долларов).
«У нас есть большое стремление решить сложные технические проблемы на чрезвычайно большом рынке… Endor работал скрытно в течение прошлого года и за это время привлек значительных клиентов и потенциальных клиентов», — сказал Бадхвар. «Время оказалось идеальным, поскольку безопасность программного обеспечения с открытым исходным кодом оказалась в центре внимания на национальном, если не глобальном уровне… За последний год более 75 организаций предоставили нам отзывы, которые мы включили в продукт. , и в настоящее время проходят частное бета-тестирование в нескольких компаниях, в которых работает от 200 до 35 000 сотрудников».