Endor Labsdas eine Plattform bietet, die Entwickler zum Verwalten und Sichern ihrer Open-Source-Abhängigkeiten nutzen können, hat heute eine 70-Millionen-Dollar-Serie-A-Runde unter der Leitung von Lightspeed Venture Partners unter Beteiligung von Coatue, Dell Technologies Capital, Section 32 und einer Reihe von Angel-Investoren abgeschlossen.
Durch die neue Finanzierung – die für eine Serie A ziemlich groß ist und nur zehn Monate nach der Gründung des Unternehmens erfolgt – beläuft sich die Gesamteinnahme von Endor auf 95 Millionen US-Dollar. Mitbegründer und CEO Varun Badhwar sagt, dass es darauf ankommt, die 55-köpfige Belegschaft des Startups zu erweitern, die bestehenden technischen Fähigkeiten von Endor zu „vertiefen“ und gleichzeitig seine Markteinführungsinitiativen auszuweiten.
„Wir sind stolz darauf, eine bedeutende Serie-A-Runde zu einer Zeit abgeschlossen zu haben, in der die Finanzierung knapp ist und Investoren viel mehr Zeit mit einer eingehenderen Due-Diligence-Prüfung verbringen“, sagte Badhwar gegenüber TechCrunch in einem E-Mail-Interview. „Das aktuelle Wirtschaftsklima und die Pandemie haben zu der Situation beigetragen, in der sich viele Sicherheitsteams heute befinden, sowie zu den Problemen, deren Lösung sich Endor Labs zur Aufgabe gemacht hat.“
Endor Labs wurde 2021 von Badhwar und Dimitri Stiliadis gegründet, die zuvor RedLock bzw. Aporeto gründeten. Während sie ein Entwicklerteam bei Palo Alto Networks leiteten, hatten die beiden nach eigener Aussage Mühe, die technische Produktivität mit der Sicherheit der Software-Lieferkette in Einklang zu bringen.
„Entwickler besuchten regelmäßig den Unternehmenschat, um herauszufinden, welche der Open-Source-Softwarekomponenten in ihren Paketen sicher aktualisiert werden konnten, ohne andere zu beeinträchtigen“, sagte Badhwar. „Sonst hätten sie keine Möglichkeit, es zu wissen.“
Badhwar weist darauf hin, dass Open Source zu einem festen Bestandteil der Geschäftsabläufe von Softwareunternehmen geworden ist – und gleichzeitig eine wachsende Sicherheitsbedrohung darstellt.
Nach Laut GitHubs Octoverse-Bericht 2022 nutzen 97 % der Apps Open-Source-Software und 90 % der Unternehmen wenden sie an oder nutzen sie auf irgendeine Weise. Das ist zwar ermutigend für das Open-Source-Ökosystem – mehr Unternehmen gründen Open-Source-Software-Communitys als in den vergangenen Jahren, wie der Octoverse-Bericht herausfand –, es öffnet Unternehmen aber auch die Tür für Exploits.
Unternehmen greifen heute auf Tausende von Open-Source-Paketen zurück, und jedes dieser Pakete weist Dutzende von „transitiven“ Abhängigkeiten auf – also Beziehungen zu anderem Open-Source-Code. Die meisten Schwachstellen – bis zu 95 %, Endor Schätzungen (Nehmen Sie diese Statistik also mit Vorsicht) – finden sich in diesen transitiven Abhängigkeiten.
Laut einer Synopsys-Studie sind seit 2019 risikoreiche Schwachstellen in Unternehmen, die Open-Source-Pakete nutzen, um mindestens 42 % gestiegen lernen. Die Studie, die über 1.700 Codebasen von Unternehmen aus den Bereichen Bildungstechnologie, Automobil, Internet der Dinge und anderen verwandten Branchen untersuchte, ergab, dass 89 % der Open-Source-Pakete in den Codebasen mehr als vier Jahre veraltet waren.
Aufsehenerregende Hackerangriffe haben politische Entscheidungsträger zum Handeln veranlasst und zu Gesetzen wie dem US Securing Open Source Software Act geführt Ausführungsverordnung 14028.
„Die heutige Realität ist, dass ein Großteil des Codes in modernen Anwendungen auf Open-Source-Repositorys basiert“, sagte Badhwar. „Der größte Teil dieses Codes wurde nicht wirklich von den Entwicklern ausgewählt; Es handelt sich um indirekte Abhängigkeiten, die automatisch in ihre Codebasis eingefügt werden. Infolgedessen verbringen Entwickler zu viel Zeit damit, Warnungen zu untersuchen, Sicherheitstools zu integrieren und Prioritäten auszuhandeln. Gleichzeitig können App-Sicherheitsteams ihre Arbeit nicht erledigen, ohne den Entwicklern eine massive „Produktivitätssteuer“ aufzuerlegen.“
Endor sei damals als Plattform ins Leben gerufen worden, um „erreichbare“ und „ausnutzbare“ Risiken in Open-Source-Code aufzudecken, sagt Badhwar. Seitdem wurde es zu einem Code- und Software-Dev-Pipeline-Governance-Dienst ausgebaut, der sich auf die Entwicklung robuster App-Sicherheitsprogramme konzentriert.
Das Überwachungs-Dashboard von Endor Labs. Bildnachweis: Endor Labs
Mit Endor können Unternehmen den Sicherheitsstatus ihrer Entwicklungspipelines überwachen, den Entwicklerzugriff auf Code verwalten und die Geheimnisse – z. B. Passwörter – im Auge behalten, die in ihren Codebasen fest verankert sind.
Kürzlich hat Endor „DroidGPT“ auf den Markt gebracht, ein KI-Tool, das bei der Open-Source-Auswahl hilft, indem es den KI-gestützten Chatbot ChatGPT von OpenAI mit den Risikodaten von Endor kombiniert. Benutzer können Antworten auf Fragen wie „Welche sind die besten Protokollierungspakete für Java?“ erhalten. Dazu gehören Risikobewertungen, die die Qualität, Beliebtheit, Vertrauenswürdigkeit und Sicherheit jedes Pakets offenbaren.
„In großen Unternehmen gibt es oft Hunderte, wenn nicht Tausende von Entwicklern für jeden App-Sicherheitsingenieur“, sagte Badhwar. „Führungskräfte auf Führungsebene verstehen, dass Sicherheit ein entscheidender Bestandteil jedes Softwareprodukts ist, behalten aber auch die Betriebsbudgets im Auge. Endor Labs trägt dazu bei, diese Gleichung auszugleichen: App-Sicherheitsteams können nur die Risiken aufdecken, die von Bedeutung sind, und die Beweise sammeln, die sie benötigen, um zu kommunizieren, warum diese Risiken angegangen werden müssen.“
Endor hat einige Konkurrenz im Bereich Open-Source-Sicherheitsmanagement – Badhwar nennt Snyk als einen der größten Konkurrenten. Er beteuert aber, dass Endor keinen direkten Konkurrenten habe.
„Bestehende Lösungen sind größtenteils unvollständig und ungenau – selbst die fortschrittlichsten SCA-Tools und -Ansätze, die sich hauptsächlich auf Lizenzierung und Schwachstellen-Compliance konzentrieren, greifen zu kurz“, sagte Badhwar. „Bestenfalls verfolgen sie einen einzelnen Risikovektor, der selbst hinterherhinkt – bekannt Schwachstellen, normalerweise Fehler im Code wohlmeinender Entwickler.“
Anbieter könnten anderer Meinung sein. Abgesehen von all dem Bombast ist es Endor’s gelungen, in den ersten beiden Verkaufsquartalen Kunden zu gewinnen, darunter Five9, RocketLawyer, MileIQ, Cowbell und Navan.
Badhwar geht davon aus, dass Endor in zwei Jahren profitabel sein wird.
„Es besteht kein Zweifel, dass unser einzigartiger Ansatz auf dem Markt Anklang gefunden hat“, sagte er. „Die Technologie befasst sich mit einem kritischen, aber weitgehend vernachlässigten Problem: Da die Nachfrage nach der nächsten Generation maßgeschneiderter Anwendungen weiter steigt und Angriffe auf die Infrastruktur immer ausgefeilter werden, wird diese wichtige Kategorie weiter an Bedeutung gewinnen. Seit wir im Herbst 2022 den Stealth-Modus verlassen haben, haben wir eine breite Palette von Kunden, Investoren und Auszeichnungen angezogen. Das Unternehmen erfüllt eindeutig einen dringenden Bedarf und zieht Top-Talente an. Mit der neuen Finanzierung ist es an der Zeit, größer und breiter aufzutreten.“