Silikon Vadisi girişim sermayesi (VC) ezici Sequoia, şirketlerin gürültüyü filtrelemesine ve gerçek bir tehdit olan güvenlik açıklarını belirlemesine yardımcı olmayı vaat eden yeni nesil bir yazılım kompozisyon analizi (SCA) aracı oluşturmak için Danimarkalı yeni bir girişime destek veriyor.
Bağlam açısından, çoğu yazılım en azından bazı açık kaynak bileşenlerini içerir, çoğu güncelliğini yitirmiş ve düzensiz olarak – eğer bakım yapılıyorsa – bakımı yapılıyor. Bu, açık kaynak Java kayıt çerçevesini etkileyen Log4Shell gibi her türlü güvenlik kusuruna yol açmıştır. Log4j ve hatayı düzeltmeyi başaramayan ABD Federal kurumu gibi yüksek profilli kuruluşları etkileyen ihlallere yol açtı. Bu da bir dizi şeye yol açıyor yeni düzenlemeişletmeleri daha sıkı bir yazılım tedarik zinciri çalıştırmaya teşvik etmek için tasarlanmıştır.
Sorun şu ki, yazılım tedarik zincirine nüfuz eden milyonlarca bileşen varken, belirli bir uygulamanın belirli bir bileşeni kullanıp kullanmadığını bilmek her zaman kolay değildir. Elbette, Snyk’ten Synopsis’e kadar şirketleri teknoloji yığınlarındaki bilinen güvenlik açıkları konusunda uyaran birçok yazılım kompozisyon analizi (SCA) aracı var; ancak bu, özellikle bir uygulama aktif olarak çalıştırılmıyorsa çok fazla gürültü yaratabilir. Bu bileşenin kullanılması güvenlik ekiplerinin gerçekten önemli olan güvenlik açıklarına öncelik vermesini zorlaştırıyor.
İşte Danimarka siber güvenlik girişiminin olduğu yer burası Coana Kullanıcılarının alakasız uyarıları ayırmasına ve yalnızca önemli olanlara odaklanmasına yardımcı olmak için “kod uyumlu” SCA’yı kullanarak bir fark yaratmayı amaçlıyor.
Coana: Örnek uyarılar
2021 yılında Danimarka’da kurulan Coana, bir bilgisayar bilimi profesörünün eseridir (Anders Møller) ve iki doktora (Martin Torp Ve Benjamin Barslev NielsenDanimarka’nın Aarhus Üniversitesi’ndeki bir araştırma grubunun parçasıyken, büyük, JavaScript tabanlı uygulamaları analiz etmek ve anlamak için yeni bir teknik keşfettiklerini söyleyenler, “teknik bir ilerlemeye” ulaştıklarını söylüyorlar. CEO Anders Søndergaard 2022 yılında üçlüye kurucu ortak olarak katıldı. Resilio adlı önceki biyometri teknolojisi girişiminden çıktı önceki yıl.
Coana, şirketlerinin erken erişim aşamasından tam ticarileşmeye kadar fonlanmasına yardımcı olmak için bugün, Sequoia Capital liderliğindeki, Essence VC’nin ve aralarında mevcut ve eski meleklerin de bulunduğu çok sayıda meleğin katılımıyla tohum öncesi finansman turunda 1,6 milyon dolar topladığını duyurdu. Google, Red Hat ve GitHub’dan yöneticiler.
Üçüncü şahıs
Tipik bir uygulamanın %90 kadarı üçüncü taraf kitaplıklardan oluşabilir; bunların çoğunluğu açık kaynaktır ve herhangi bir sayıda gönüllü geliştirici tarafından korunur (ya da korunmaz).
Dolayısıyla bir şirket geliştirme yazılımı, bu sayısız kitaplıktan yararlanan kendi uygulama katmanını oluşturabilir ve işlevlerle birbirine bağlanan uzun bir bağımlılık zinciri oluşturabilir. Geleneksel olarak, bir SCA aracı belirli bir bağımlılığın sürüm numarasına bakar ve bunu bilinen güvenlik açıklarından oluşan bir veritabanıyla eşleştirir ve ardından bir eşleşme bulursa geliştiricilere rapor verir. Ancak çoğu durumda bir uygulama, 50 kitaplık bir kitaplıktan yalnızca bir veya iki işlevi kullanabilir; dolayısıyla, kitaplığın uygulamanın hiçbir zaman çağırmadığı bir bölümünde bir güvenlik açığı varsa, bu durum o uygulamayı gerçekten etkilememelidir.
Şirketler, uygulama kodunu ve bağımlılıkları kapsayan, veri akışı yollarını anlamak için tüm uygulamanın “çağrı grafiği” olarak adlandırılan şeyi oluşturmak ve ardından bunu yanlış pozitifleri ortadan kaldırmak için Coana’yı kullanabilir.
Søndergaard, TechCrunch’a şunları söyledi: “Kullanılan paketlerin miktarı ve kod satırları son derece yüksek hacimli olabilir, bu nedenle gerçekten karmaşık statik analizler gerektirir.” “Çağrı grafiği, farklı bağımlılıklar arasındaki tüm olası yollar üzerinde büyük bir analiz yapmamızı sağlıyor. Yüzlerce veya binlerce bağımlılıktan oluşan bir uygulama hayal edin; hangilerinin gerçekten savunmasız olduğunu ve hangilerinin olmadığını anlamak için bu bağımlılıklar arasındaki tüm yolları belirleyebiliriz.”
Coana’nın Ekim ayında ilk ödeme yapan müşterileri için ürününün ilk yinelemesini (B Serisi ve C Serisi aşamadaki startup’ların ve ölçeklendirmelerin bir karışımı) tanıtması için henüz çok erken. Ancak şirket bu yıl desteğini JavaScript’in ötesine, Java ve Python’a genişletmeye çalışıyor; bu da daha geniş bir müşteri tabanını hedeflemesine yardımcı olacak.
Søndergaard, “Ürünümüz olgunlaştıkça ve şirketimiz olgunlaştıkça, pazarda yukarılara doğru hareket ediyoruz ve sonunda büyük işletmeleri hedefliyoruz, ancak dil desteği konusunda bu seviyeye ulaşmak için gerekli gelişmişliğe sahip olmamız biraz zaman alacak” dedi.
Bugün Coana’yı incelemek isteyen şirketler hemen erken erişime başvurun.