Yazılım geliştirmek için kullanılan bileşenlerden ve süreçlerden oluşan yazılım tedarik zinciri istikrarsız hale geldi. Yakın tarihli bir söylentiye göre anketŞirketlerin %88’i, zayıf yazılım tedarik zinciri güvenliğinin, kuruluşları için “kurum çapında bir risk” oluşturduğuna inanıyor.
Açık kaynak tedarik zinciri bileşenleri, her bir bileşenin bakımlı tutulmasının önündeki lojistik engeller nedeniyle özellikle endişe vericidir. Güvenlik firması Synopsys kurmak 2023 raporunda işletmelerin kod tabanlarının %89’unun dört yıldan fazla süredir güncel olmayan açık kaynak araçlar içerdiğini belirtti. 2024 rapor Ponemon Enstitüsü tarafından yapılan bir araştırma, kuruluşların yarısından fazlasının bir yazılım tedarik zinciri saldırısına maruz kaldığını tespit etti. Bu saldırılar ekonomiye 2026 yılına kadar neredeyse 81 milyar dolarlık gelir ve zarar kaybına neden olabilir. tahminler Ardıç Araştırması.
SoketAçık kaynak kodundaki güvenlik açıklarını tespit etmeye yönelik araçlar sağlayan bir girişim olan , sorunun çözülmesine yardımcı olmak için 40 milyon dolar topladı.
CEO Feross Aboukhadijeh, Socket’i 2020’de kurdu. Stanford’da üretken bir açık kaynak bakımcısı ve web güvenliği eğitmeni olan Aboukhadijeh, geleneksel güvenlik araçlarının modern yazılım geliştirmenin zorluklarını çözmekte yetersiz olduğuna inanmaya başladığını söylüyor.
Aboukhadijeh, TechCrunch’a şunları söyledi: “Binlerce sayıdaki geniş bağımlılık ağı, geleneksel araçların hafifletemediği önemli güvenlik riskleri oluşturuyor.” Bağımlılıklar, bir uygulamanın çalışması için bağlı olduğu yazılım veya kitaplık parçalarıdır. Aboukhadijeh şöyle devam etti: “Zorlu dahili kod incelemelerinde bile, dış bağımlılıklar, tespit edilmesi ve yönetilmesi zor olan yazılım tedarik zinciri saldırıları riskini beraberinde getiriyor.”
Socket’in çözümü, açık kaynak bileşenlerinde arka kapılar ve gizlenmiş kodlar gibi kötü amaçlı etkinlikleri arayan ve bağımlılıklar ve paketler güncellendiğinde veya eklendiğinde geliştiricileri uyaran bir tarayıcıdır.
Soket, Anthropic ve OpenAI’nin üretken AI API’leriyle entegrasyonlar sayesinde güvenlik açıklarının özetlerini de üretebilir (minimum halüsinasyonlarla, bir umut). Ayrıca platform isteğe bağlı olarak açık kaynak kodunun yeniden kullanım için uygun şekilde lisanslandığını ve dolayısıyla yasal olup olmadığını kontrol edebilir.
Aboukhadijeh, “Socket, ağırlıklı olarak açık kaynaklı yazılıma güvenen mühendislik ekipleri ve uygulama güvenliği ekipleri için tasarlandı” dedi. “Geliştirici iş akışına sorunsuz bir şekilde entegre oluyor ve kullanıcıları yanlış pozitiflerle bunaltmadan, kod incelemeleri ve bağımlılık güncellemeleri sırasında gerçek zamanlı bilgiler sağlıyor.”
Daha fazla yazılım şirketi her zamankinden daha fazla açık kaynağa güveniyor. 2023 yılında rapor Açık Kaynak Girişimi ve Eclipse Vakfı işbirliğiyle yayınlanan ankette katılımcıların %95’i kuruluşlarının geçen yıl açık kaynak kullanımını artırdığını veya en azından koruduğunu söyledi.
Yazılım tedarik zinciri güvenlik platformu pazarının artması bekleniyor büyümek 2027 yılına kadar 3,5 milyar dolara çıkacak olan Socket’in rakiplerinin olması şaşırtıcı değil.
Çalışma zamanı uygulama güvenliği ve gözlemlenebilirliğine odaklanan bir şirket olan Oligo, Şubat ayında 28 milyon dolarlık destekle gizlilikten çıktı. Endor, Chainguard’ın Haziran başında yaptığı 50 milyon dolarlık artışın ardından geçen Ekim ayında 25 milyon dolar ile gizlilikten çıktı.
Aboukhadijeh, Socket’i farklı kılan şeyin, diğer araçların gözden kaçırdığı olası zararlı kodları, özellikle de hassas verileri sızdırmaya yönelik kodları yakalama yeteneği olduğunu savunuyor. Soket’in her hafta 100’den fazla sıfır gün yazılım tedarik zinciri saldırısını tespit ettiğini iddia ediyor.
Socket’in etkileyici destekçiler ve müşteriler listesi, bu iddiaların bir miktar inandırıcılığı olduğunu gösteriyor.
Girişimci Elad Gil ve Andreessen Horowitz, Yahoo’nun kurucu ortağı Jerry Yang (açıklama: Yahoo, TechCrunch’ın kurumsal ana şirketidir), OpenAI başkanı Bret Taylor, Twilio kurucu ortağı Jef Lawson ve Shopify kurucu ortağı ve CEO’su Tobias ile birlikte Socket’in B Serisine katıldı. Lütke.
Bu arada Socket’in müşterileri arasında ABD’nin en büyük dört bankasından biri olan ve “en büyük ve en tanınmış yapay zeka şirketi” olan Anthropic, Harvey, Figma ve Vercel yer alıyor. (Sonuncuyu istediğiniz gibi yorumlayın.)
Aboukhadijeh, yeni B Serisi turunu “önleyici” olarak nitelendirdi ve Socket’in geçen Ağustos ayında topladığı A Serisi parayı hâlâ harcamadığını iddia etti.
Aboukhadijeh, TechCrunch’a “2024’te gelirimizi %400 artırma yolunda ilerliyoruz” dedi. “Socket şu anda 100’den fazla müşteriye sahip ve 7.500’den fazla kuruluşu koruyor, 300.000 kod deposunu koruyor ve dünya çapında 1 milyondan fazla geliştiriciyi destekliyor.”
Yeni nakit, Aboukhadijeh’in açık kaynak tarihinde önemli bir an olarak tanımladığı dönemde Socket’in toplamını 65 milyon dolara çıkardı. Yapay zekanın giderek daha fazla kod yazmak için kullanıldığına dikkat çekti. tanıtma için potansiyel güvenlik delikleri.
Aboukhadijeh, “Şimdi bu fonları toplamanın doğru zamanıydı” dedi. “Yeni AI saldırı vektörleri, Socket’in bu AI destekli araçlar tarafından oluşturulan koda güvenlik güvenceleri getirmesi konusunda acil bir ihtiyaç yarattı. Socket’in teknolojisi pazardaki bu kritik açığı kapatıyor ve ek fon, bunun etkisinin artmasına yardımcı olacak.”
Bugün 32 çalışanı bulunan Socket, Stanford merkezli şirketin mühendislik, ürün, tasarım ve satış taraflarına odaklanarak ekibini yıl sonuna kadar 50 kişiye çıkarmayı planlıyor.