В наши дни все хотят говорить о рисках цепочки поставок программного обеспечения, будь то группы безопасности, разработчики или государственные чиновники. Поэтому неудивительно, что венчурные капиталисты, несмотря на нынешнюю экономическую ситуацию, продолжают финансировать стартапы и в этой сфере. Одним из новых членов этого клуба является Arnica, стартап, который смотрит на безопасность цепочки поставок несколько шире, чем большинство его конкурентов, и помогает компаниям. Сегодня компания объявила, что привлекла посевной раунд на 7 млн. долл..
Раунд возглавили Joule Ventures и First Rays Venture Partners. В этом раунде также приняли участие несколько бизнес-ангелов, в том числе Ави Шуа (соучредитель и генеральный директор Orca Security), Дрор Давидофф (соучредитель и генеральный директор Aqua Security) и Барух Садогурски (глава отдела по связям с разработчиками в JFrog).
Команда основателей Арники. Кредиты изображений: Арника
«Как бывший покупатель продуктов для обеспечения безопасности приложений, я протестировал более дюжины решений для защиты цепочки поставок программного обеспечения моей предыдущей компании, но зашел в тупик. По словам генерального директора и соучредителя Arnica Нира Вальтмана, большинство продуктов представляли собой дорогие информационные панели, основанные на различных определениях «лучших практик». «Мы решили предоставить эту видимость бесплатно, для неограниченного количества пользователей, навсегда. Однако мы пошли дальше и разработали комплексное решение, позволяющее не только выявлять риски, основанные на историческом и аномальном поведении, но и снижать их. Мы делаем это, используя автоматизированные рабочие процессы с устранением последствий одним щелчком мыши, которые позволяют разработчикам самостоятельно обеспечивать безопасность с помощью инструментов, которые они уже используют».
Команда утверждает, что атаки на цепочку поставок успешны из-за неэффективного управления доступом разработчиков или неспособности обнаружить аномальную личность или поведение кода. Вот тут-то и появляется Arnica. Ее подход, основанный на поведении, сочетает в себе управление доступом и службу, которая может обнаруживать аномальное поведение разработчиков, которое может быть результатом взлома.
«Каждый из наших алгоритмов машинного обучения имеет тысячи функций, которые определяют, действительно ли это был разработчик, который написал отправленный код», — пояснил Вальтман. «При обнаружении аномалии немедленно запускается рабочий процесс, чтобы проверить ее с разработчиком простым и безопасным способом. Это хорошо не только для компании, но и для разработчиков».
Существует также секретное обнаружение, чтобы избежать их утечки, служба, которая постоянно отслеживает безопасность и соответствие требованиям, а также инструменты для идентификации библиотек с открытым исходным кодом, используемых в организации, которые также могут составлять полную спецификацию программного обеспечения (SBOM).
Компания планирует использовать новое финансирование для ускорения выхода на рынок и исследований и разработок, уделяя особое внимание расширению своих автоматизированных рабочих процессов и возможностей по смягчению последствий.
«На рынке, полном решений для обеспечения безопасности, добавляющих лишь дополнительную ценность, подход Arnica, ориентированный на мгновенное разрешение проблем, меняет правила игры для команд корпоративных разработчиков», — сказал Брайан Розенцвейг, партнер Joule Ventures. «Arnica выходит за рамки простого выявления проблем с безопасностью — каждую обнаруженную проблему можно немедленно решить с помощью предоставленного исправления одним щелчком мыши. Это позволяет компаниям быстро защитить свою цепочку поставок программного обеспечения от атак, а обнаружение на основе поведения обеспечивает ее безопасность в долгосрочной перспективе. Прагматичный подход Arnica и передовые технологии позволяют компаниям избегать дорогостоящих нарушений без ущерба для гибкости».