Coraz większe zagrożenia w łańcuchu dostaw oprogramowania
Łańcuch dostaw oprogramowania, składający się z komponentów i procesów wykorzystywanych do tworzenia aplikacji, staje się coraz bardziej niebezpieczny. Jak wynika z niedawnych badań, aż 88% firm uważa, że słabe zabezpieczenia w łańcuchu dostaw oprogramowania stanowią zagrożenie na poziomie całej organizacji.
Szczególnie problematyczne są komponenty open source, których utrzymanie stanowi logistyczne wyzwanie. Firma zajmująca się bezpieczeństwem, Synopsys, odkryła w swoim raporcie z 2023 roku, że aż 89% kodu wykorzystywanego w przedsiębiorstwach zawiera narzędzia open source, które są przestarzałe o ponad 4 lata. Co więcej, raport Ponemon Institute z 2024 roku wskazuje, że ponad połowa organizacji doświadczyła ataku na łańcuch dostaw oprogramowania. Takie ataki mogą do 2026 roku kosztować gospodarkę światową prawie 81 miliardów dolarów w postaci utraconych przychodów i kosztów naprawczych.
Innowacyjne podejście Socket
W odpowiedzi na te wyzwania, startup Socket, założony przez Ferossa Aboukhadijeh w 2020 roku, postanowił skupić się na wykrywaniu luk w zabezpieczeniach w kodzie open source. Feross, znany z działalności jako opiekun wielu projektów open source oraz wykładowca bezpieczeństwa sieci na Uniwersytecie Stanforda, zauważył, że tradycyjne narzędzia bezpieczeństwa nie są wystarczające, aby sprostać współczesnym wyzwaniom związanym z tworzeniem oprogramowania.
Jak stwierdził sam Aboukhadijeh, złożoność współczesnych aplikacji, które opierają się na tysiącach zewnętrznych zależności, wprowadza istotne ryzyka związane z bezpieczeństwem, których obecne narzędzia nie potrafią skutecznie wykrywać. „Nawet przy rygorystycznych wewnętrznych przeglądach kodu, zewnętrzne zależności mogą wprowadzać ryzyko ataków na łańcuch dostaw, które są trudne do wykrycia i zarządzania”, wyjaśnia.
Rozwiązaniem Socket jest skaner, który monitoruje komponenty open source pod kątem złośliwych działań, takich jak ukryte backdoory czy zaciemniony kod, a także ostrzega deweloperów, gdy zależności lub pakiety są aktualizowane lub dodawane do projektu.
Integracja z technologiami AI
Dzięki integracjom z API sztucznej inteligencji, takimi jak te oferowane przez Anthropic i OpenAI, Socket potrafi generować podsumowania luk w zabezpieczeniach. To innowacyjne podejście pozwala na szybkie zrozumienie potencjalnych zagrożeń przez zespoły inżynierskie i bezpieczeństwa, bez nadmiaru fałszywych alarmów.
Co więcej, platforma Socket może również sprawdzać, czy kod open source jest odpowiednio licencjonowany, co zapewnia zgodność z prawem podczas ponownego wykorzystywania kodu.
Rosnące wykorzystanie open source i konkurencja w rynku
Coraz więcej firm korzysta z oprogramowania open source. W raporcie opublikowanym w 2023 roku, prowadzonym wspólnie przez Open Source Initiative oraz Eclipse Foundation, aż 95% respondentów zadeklarowało, że ich organizacje zwiększyły lub przynajmniej utrzymały poziom wykorzystania narzędzi open source w ostatnim roku.
Z kolei rynek platform zapewniających bezpieczeństwo łańcucha dostaw oprogramowania ma wzrosnąć do 3,5 miliarda dolarów do 2027 roku. Wzrost ten nie jest zaskoczeniem, biorąc pod uwagę nie tylko rosnącą liczbę ataków, ale również fakt, że Socket ma już na rynku kilka konkurencyjnych firm. Przykładem może być Oligo, która zabezpiecza biblioteki open source w czasie rzeczywistym i pozyskała 28 milionów dolarów na rozwój swojego produktu. Z kolei Endor oraz Chainguard zdobyły odpowiednio 25 i 50 milionów dolarów na podobne przedsięwzięcia.
Kluczowe przewagi Socket
Aboukhadijeh podkreśla, że to, co wyróżnia Socket na tle konkurencji, to zdolność do wykrywania niebezpiecznego kodu, który może zostać przeoczony przez inne narzędzia. Socket ma na swoim koncie wykrywanie ponad 100 ataków typu zero-day na łańcuch dostaw oprogramowania tygodniowo.
Platforma cieszy się dużym zainteresowaniem ze strony inwestorów i klientów. Wśród jej użytkowników znajdują się m.in. Anthropic, Figma, Vercel oraz jeden z czterech największych banków w USA. Socket współpracuje także z jedną z najbardziej rozpoznawalnych firm związanych z AI na świecie.
Plany rozwoju i przyszłość
Niedawna runda inwestycyjna serii B przyniosła Socket 40 milionów dolarów, co zwiększa łączną sumę zebranych środków do 65 milionów dolarów. Aboukhadijeh zdradza, że firma nadal nie wydała środków z poprzedniej rundy finansowania, co pokazuje ich efektywne zarządzanie funduszami.
W 2024 roku firma planuje wzrost przychodów o 400% oraz rozbudowę swojego zespołu do 50 osób. W szczególności planują zatrudniać nowych pracowników w dziedzinach inżynierii, projektowania oraz sprzedaży. Dodatkowe środki zostaną wykorzystane także do skalowania działalności, zwłaszcza w kontekście nowych wyzwań związanych z bezpieczeństwem kodów generowanych przez narzędzia AI.
Aboukhadijeh zaznacza, że w momencie, gdy sztuczna inteligencja tworzy coraz więcej kodu, rośnie również ryzyko wprowadzenia luk bezpieczeństwa. Socket, dzięki swojemu zaawansowanemu technologicznie podejściu, jest na dobrej drodze, aby stać się kluczowym graczem w zapewnianiu bezpieczeństwa kodu open source, zwłaszcza w erze AI.
—
Socket to przykład jak innowacyjne podejście i nowoczesne technologie mogą pomóc w rozwiązywaniu problemów związanych z dynamicznie rozwijającym się rynkiem oprogramowania open source. Dla firm, które polegają na takich rozwiązaniach, inwestowanie w bezpieczeństwo staje się priorytetem, a narzędzia takie jak Socket są kluczowym elementem tej układanki.
