Cloudsmith, отримано 72 мільйони доларів інвестицій... Розповсюдження ШІ спричиняє зростання попиту на безпеку ланцюгів постачання

Програмне забезпечення управління компонентами стартап Cloudsmith успішно залучив 72 мільйони доларів нових інвестицій. За курсом у йєнах це приблизно 1063,8 мільярдів ієн. На тлі швидкого поширення відкритого коду та розробки штучного інтелекту, зростає попит підприємств на “безпеку ланцюга постачання програмного забезпечення”, що вважається однією з основних причин цього раунду інвестицій.

Цей раунд фінансування C-етапу очолила компанія TCV. TCV була також найбільшим інвестором у попередньому раунді фінансування Cloudsmith минулого року. У цьому раунді інвестували також існуючі інвестори та Insight Partners. Таким чином, загальна зовнішня фінансова підтримка Cloudsmith перевищила 110 мільйонів доларів.

Штаб-квартира Cloudsmith розташована у Белфасті, Північна Ірландія, і пропонує хмарну платформу, яка дозволяє команді розробників централізовано керувати різноманітними компонентами та файлами застосунків, що використовуються. Простими словами, це більше схоже на платформу для зберігання та верифікації, орієнтовану на підприємства, для централізованого управління відкритими проектами, конфігураційними скриптами, моделями штучного інтелекту, файлами операційних систем та іншими “програмними активами”.

Ця послуга привертає увагу через ускладнення сучасного корпоративного середовища. Розробники не лише завантажують компоненти з GitHub, а й з кількох зовнішніх репозиторіїв. Наприклад, моделі штучного інтелекту часто отримують з незалежних платформ, таких як Hugging Face. Проблема полягає в тому, що з точки зору безпеки, потрібно витрачати багато часу та ресурсів на перевірку кожного зовнішнього елемента на відповідність стандартам кібербезпеки.

Cloudsmith зосереджений на зменшенні цієї навантаженості. Його концепція полягає в тому, що адміністратор не повинен окремо моніторити розподілені на різних сайтах зовнішні репозиторії, а може керувати компонентами централізовано на платформі. Особливістю є те, що платформа підтримує не лише просте зберігання коду, а й обробку різноманітних “виробів”. Вироби — це загальний термін для файлів, що використовуються у програмних проектах.

Інтеграція перевірки контейнерів та моделей AI

Cloudsmith також підтримує зберігання програмних контейнерів. Один контейнер може містити понад десятки окремих виробів, кожен з яких потенційно може становити ризик безпеки. Щоб зменшити цю складність, компанія автоматично генерує для кожного контейнера “інвентаризацію програмних компонентів”, тобто SBOM. SBOM — це файл, що містить список елементів, що входять до конкретного робочого середовища.

Функції безпеки також були посилені. Перед публікацією відкритих компонентів у вигляді завантажуваних файлів Cloudsmith спочатку перевіряє їх на відомі вразливості. Ризик рівня вразливості оцінюється за допомогою рамкової системи “Прогнозування експлуатації вразливостей” (EPSS). Це стандарт, що передбачає ймовірність фактичного використання хакерами цієї вразливості протягом наступних 30 днів.

Компанія також заявляє, що вони перевіряють не лише вразливості, а й інші проблеми. Наприклад, виявляють ліцензійні умови, які можуть створювати навантаження для програмних проектів. Це означає, що можна заздалегідь фільтрувати ліцензійні ризики, які безпосередньо впливають на бізнес, наприклад, умови заборони комерційного використання.

Розвиток штучного інтелекту сприяє зростанню потреб у безпеці ланцюга постачання

Клієнти Cloudsmith можуть використовувати дані платформи для розробки автоматичних стратегій. Наприклад, автоматично блокувати відкриті компоненти з високим ризиком вразливостей. Такий автоматизований робочий процес створюється за допомогою спеціальної мови “Rego”, яка широко застосовується для конфігурації хмарної інфраструктури.

Генеральний директор Гленн Вайнштейн зазначив: “Агенти штучного інтелекту швидко генерують величезну кількість програмного забезпечення, що робить майже неможливим для людини ретельно перевірити кожен елемент. Завдяки здатності Cloudsmith широко аналізувати всю екосистему відкритого коду та масштабованості, компанія здатна захистити підприємства від нових загроз, що виникають у результаті домінування AI у розробці.”

Cloudsmith планує використовувати залучені кошти для оновлення майбутніх функцій. Особливо зосереджуючись на додаванні функцій контролю безпеки мережі та автоматизації на основі AI. Загалом ринок вважає, що чим швидше розвивається AI, тим важливішими стають платформи “безпеки ланцюга постачання”, що їх підтримують.