Yazılım tedarik zinciri her taraftan tehditlerle karşı karşıyadır. 2024 rapor Ponemon Enstitüsü tarafından yapılan araştırmaya göre kuruluşların yarısından fazlası bir yazılım tedarik zinciri saldırısına maruz kalmış, bunların %54’ü ise son bir yıl içinde bu tür bir saldırıyla karşılaşmış.
Tedarik zinciri saldırıları genellikle bir şirketin teknoloji yığınını oluşturan üçüncü taraf satıcıların hizmetlerini veya açık kaynaklı yazılımları hedef alır ve bir kuruluşu finansal olarak mahvedebilir. Binaen Juniper Research’ün bir araştırmasına göre, tedarik zinciri siber saldırıları 2026 yılına kadar küresel ekonomiye yaklaşık 81 milyar dolarlık gelir kaybı ve zarara neden olabilir. Beyaz Saray, yazılım tedarik zinciri güvenliğinin daha geniş sorununu ele alma taahhüdünde bulunarak bunu açıkça bir Ulusal Güvenlik sorun ve serbest bırakma yürütme emri hafifletici standartlar oluşturmayı amaçlıyor.
Tehdit, bir işletmenin yazılım tedarik zincirine yönelik saldırıları tespit etmek ve mükemmel bir dünyada azaltmak için kullanılabilen platformlara olan talebi artırdı. Böyle bir platform oluşturan bir girişim, Hat (yarı fonetik bir “soy” yazımı) bugün 20 milyon dolarlık A Serisi finansman turunu kapattı.
2021 yılında Javed Hasan ve Anand Revashetti tarafından kurulan Lineaje, bir organizasyonun tedarik zincirinde kurcalanmış yazılımları ve güncelliğini yitirmiş, potansiyel olarak savunmasız açık kaynaklı yazılımları tespit etmek için araçlar geliştirir. Lineaje olası bir güvenlik açığı bulduğunda, varsa düzeltmeleri önerir ve yazılımı bozabilecek olanları uygulamaktan kaçınır.
Lineaje’nin CEO’su Hasan, TechCrunch’a “Yazılımlarının hem kendi kuruluşları hem de müşterileri için yarattığı riski önemseyen kuruluşlar için bu riske odaklanmak ve yönetmek kritik öneme sahiptir,” dedi. “Lineaje, nerede inşa edildiğine bakılmaksızın yazılımları keşfetmek, yönetmek ve güvence altına almak için doğdu.”
Hem Hasan hem de Revashetti, Symantec, McAfee ve Norton gibi tedarikçilerde çalışmış siber güvenlik sektöründen geliyor. Revashetti’nin bir meslektaş ve baş mimar olduğu McAfee’de yolları kesişti.
Hasan, “Yazılım tedarik zinciri saldırıları ve endişeleri giderek artıyor,” dedi. “Bu alana baktığımızda, tedarik zincirinin CISO’lar ve ABD hükümeti için en önemli üç endişeden biri olduğu açıktı.”
Lineaje kalabalık bir pazara sahiptir. Rakipleri arasında Kusari, Ox Security, Chainguard, Dustico ve Endor yer almaktadır ve büyük teknoloji şirketleri Google, Amazon ve Microsoft gibi şirketler genel açık kaynaklı yazılım güvenliğini iyileştirmek için çabalarını artırıyor.
Ancak Lineaje’nin öne çıkma çabalarından biri de savunma işini benimsemektir. Hasan, şirketin ABD Hava Kuvvetleri ile kendi savunmasını desteklemek için bir sözleşmesi olduğunu iddia ediyor “Kartal Gözler” terörle mücadele programı ve diğer ismi belirtilmeyen federal kurumlarla olan ilişkiler.
Kamu sektörü kuruluşları, özel sektörün gördüğüne benzer yazılım tedarik zinciri zorluklarıyla kesinlikle başa çıkıyor. Yakın zamanda rapor ABD İç Güvenlik Bakanlığı tarafından yayımlanan bir raporda, ABD hükümetine bağlı bir kurumun, Java tabanlı bir günlük kaydı yardımcı programı olan Apache’nin Log4j2 kütüphanesindeki bir güvenlik açığına müdahale etmek için aylar harcadığı, bunun bir nedeninin de güvenlik ekiplerinin yazılım ortamlarında güvenlik açığı bulunan paketlerin nerede bulunduğunu tespit etmekte zorluk çekmesi olduğu belirtildi.
Hasan, Lineaje’nin toplam sermayesini 27 milyon dolara çıkaran A Serisi yatırımlarından elde edilen gelirin, daha fazla ABD kamu sektörü müşterisi edinme çabalarını destekleyeceğini söyledi.
“Seri A finansman turu bizi en azından 2027’nin başına kadar koruyacak,” dedi ve geçen yılın Lineaje’nin ilk gelir yılı olduğunu ekledi. “Şu anda yaklaşık 30 çalışanımız var ve yıl sonuna kadar çalışan sayısını ikiye katlamayı planlıyoruz.”
Prosperity7 Ventures, Neotribe ve Hitachi’nin eş liderliğinde gerçekleşen turda Tenable Ventures, Carahsoft, Wipro Ventures, SecureOctane ve AlumniVentures şirketleri de katılım sağladı.