Ein zunehmender Prozentsatz des Codes, den Unternehmen zur Entwicklung von Software verwenden, ist Open Source. In einem 2018 Umfrage von Tidelift, einer Software-Supply-Chain-Management-Plattform, gaben 92 % der professionellen Softwareentwickler an, dass ihre Apps Open-Source-Bibliotheken enthielten. Dies ist zwar ein positiver Trend – Open Source bietet eine Fülle von Vorteilen, nicht zuletzt Transparenz –, kann aber auch Nachteile haben, wie z. B. eine geringe Sichtbarkeit, ob der Code möglicherweise Schwachstellen enthält.
Eine Reihe von Anbietern gehen das Problem der Open-Source-Sicherheit an und bieten Tools an, die die Metadaten und Deskriptoren von Paketen scannen, um bekannte Exploits zu finden. Aber Varun Badhwar argumentiert, dass sie nicht weit genug gehen. Er ist Mitbegründer von Endor Labsein Startup mit etwas mehr als 30 Mitarbeitern, das mithilfe von Graphenanalyse-Technologien lernt, wie Abhängigkeiten innerhalb einer Organisation verwendet werden, und Risikoindikatoren erstellt.
In einem Zeichen des Investoreninteresses hat Endor – das heute mit einer privaten Beta-Version heimlich gestartet ist – bisher 25 Millionen US-Dollar von Lightspeed Venture Partners, Dell Technologies Capital, Sierra Ventures und Angel-Investoren, darunter Nikesh Arora, CEO von Palo Alto Networks, angezogen. Badhwar teilt TechCrunch mit, dass die zuvor nicht bekannt gegebenen Mittel verwendet werden, um das Wachstum zu unterstützen und gleichzeitig die Forschung und Entwicklung von Endor weiter auszubauen.
„Wenn Risiken für die Software-Lieferkette noch keine Priorität in den Vorstandsetagen sind, werden sie es bald sein“, sagte Badhwar in einem E-Mail-Interview mit TechCrunch. „Open-Source-Software bietet eine reichhaltige Ressource für die Entwicklungsgeschwindigkeit, aber die massive Ausbreitung von Abhängigkeiten behindert die Entwicklung und vergrößert die Angriffsfläche. Die Zahlen sind wirklich atemberaubend: Ein typisches Großunternehmen – beispielsweise mit mehr als 10.000 Mitarbeitern – hat insgesamt mehr als zwei Millionen Abhängigkeiten. Infolgedessen haben Entwickler Mühe, Abhängigkeiten zu warten, Fehler zu beheben und zu aktualisieren, und verlieren viele Stunden damit, sich mit Alarmmüdigkeit durch den Feuerschlauch von Fehlalarmen auseinanderzusetzen. Unterdessen mangelt es den Sicherheitsteams an wirklicher Transparenz … Obwohl das Problem technisch erscheint, betrifft es in dieser App-gesteuerten Ära alle Facetten des Betriebs.“
Um Badhwars Punkt zu sagen, ein neues Bericht Eine vom US-Heimatschutzministerium veröffentlichte Studie ergab, dass eine Kabinettsbehörde der US-Regierung Monate damit verbrachte, auf eine Schwachstelle in der Bibliothek von Apache Log4j2, einem Java-basierten Protokollierungsdienstprogramm, zu reagieren, teilweise weil ihre Sicherheitsteams Schwierigkeiten hatten, herauszufinden, wo sich die anfälligen Pakete darin befanden ihre Softwareumgebungen. Das Weiße Haus hat sich verpflichtet, das umfassendere Problem der Sicherheit der Softwarelieferkette anzugehen, und es offen erklärt a nationale Sicherheit Problem und Freigabe einer oberster Befehl mit dem Ziel, Minderungsstandards festzulegen.
Vor der Mitbegründung von Endor leitete Badhwar RedLock, ein Startup für Cloud-Infrastruktursicherheit, das 2018 von Palo Alto Networks übernommen wurde. Nach der Übernahme war er neben CTO Dimitri Stiliadis als SVP und GM von Prisma Cloud bei Palo Alto Networks tätig kam durch die Übernahme des Unternehmens nach Palo Alto seine Start, Aporeto. Stiliadis war auch früher CTO bei Alcatel-Lucents Venture-Arm und Nuage Networks, einem Technologieunternehmen, das softwaredefinierte Netzwerklösungen entwickelt.
Badhwar sagt, dass sie nach der Verletzung von SolarWinds im Jahr 2020 dazu angespornt wurden, einen Dienst zu entwickeln, der die potenziellen Auswirkungen von Software-Updates und Code-Bereitstellungen besser analysieren kann. Sie waren beide der Meinung, dass vorhandene Tools „eine ganze Klasse“ von Supply-Chain-Angriffen übersehen und Unternehmen in Fehlalarmen über Schwachstellen ertränken – beispielsweise solche, die sich aus Fehlern im Code wohlmeinender Entwickler ergeben – ohne eine Möglichkeit zur Priorisierung der Behebung zu bieten.
Bildnachweis: Endor Labs
„Da 80 % des Codes in modernen Anwendungen nicht von Entwicklern innerhalb eines Unternehmens geschrieben, sondern ohne Validierung aus Open-Source-Paketen aus dem Internet abgerufen werden, haben wir festgestellt, dass sich Unternehmen im Durchschnitt oft auf über 40.000 Open-Source-Pakete verlassen . Jede davon wiederum bringt durchschnittlich 77 zusätzliche Abhängigkeiten mit sich“, sagte Badhwar und spielte damit auf Umfragen an, die zeigen, dass Sicherheitsteams dies tun überfordert und desensibilisiert durch Warnungen. „Dies führt zu einer massiven und unkontrollierbaren Ausbreitung, die die Entwicklung verlangsamt und gleichzeitig die Angriffsfläche vergrößert.“
Um dieses Problem zu lösen, wendet Endor das an, was Badhwar „tiefe Programmanalyse“ nennt, um ein Abhängigkeitsdiagramm für die Software von Unternehmen zu erstellen. Das Diagramm zeigt, wie Abhängigkeiten innerhalb einer Organisation verwendet werden – insbesondere welche Abhängigkeiten vom Code aufgerufen werden, welche ungenutzt sind und welche anfälligen Pakete ausgenutzt werden können. Jede Abhängigkeit erhält eine Punktzahl basierend auf Qualität, Sicherheit, Betreueraktivität, Popularität und querverwiesenen CI/CD-Daten.
Endor bietet auch Tools zum Messen von Sicherheits- und Betriebsrisiken sowie zum Entfernen ungenutzter oder nicht gepflegter Abhängigkeiten. Badhwar merkt an, dass der Graph verwendet werden kann, um eine Software-Stückliste zu erstellen und eine Quelle der Wahrheit für das Software-Inventar eines Unternehmens zu schaffen.
„Unsere Plattform für das Management des Abhängigkeitslebenszyklus bietet einen ganzheitlichen und detaillierten Einblick in den gesamten Abhängigkeitsgraphen, liefert ein multidimensionales Signal, das Risiken sowohl lokalisiert als auch priorisiert, und hilft Kunden dabei, bessere Abhängigkeiten in großem Maßstab auszuwählen, zu sichern, zu überwachen und aufrechtzuerhalten“, sagte Badhwar. „Was wir aufgebaut haben und weiterentwickeln, ist eine Plattform, die intelligente Entscheidungen und Entwicklung in Geschwindigkeit und Geschwindigkeit ermöglicht, einschließlich der Wiederverwendung von Software in großem Maßstab, schneller, einfacher und viel, viel sicherer.“
Während Badhwar behauptet, dass die Plattform von Endor ganzheitlicher ist als die der meisten anderen, tauchen regelmäßig neue Rivalen auf. Erst im September startete Ox Security, das Dienstleistungen zur Stärkung der Lieferketten von Unternehmenssoftware anbietet, mit einer Finanzierung von 34 Millionen US-Dollar heimlich. Ein anderer Konkurrent, Chainguard, hat mehrere Millionen Dollar gesammelt, um Sicherheitstools für Open-Source-Software zu entwickeln. Es gibt auch Cycode und Dustico, die Checkmarx im August 2021 für eine nicht genannte Summe erworben hat.
Es sind nicht nur Start-ups, mit denen Endor aus Palo Alto auf Tuchfühlung geht. Im Mai eine Industriegruppe, die enthält Google, Amazon, Ericsson, Intel, Microsoft und VMware haben 30 Millionen US-Dollar zugesagt, um mit der Linux Foundation und der Open Source Security Foundation zusammenzuarbeiten, um die Sicherheit von Open-Source-Software zu verbessern. Aber Badhwar – der sich weigerte, irgendwelche Kennzahlen zu Endors Kundenbasis oder Umsatz offenzulegen – sieht darin keine Bedrohung für das Geschäft.
Es ist nicht unbedingt eine tollkühne Denkweise. Die VC-Finanzierung bleibt im Cyberbereich stark, wobei VCs in der ersten Hälfte des Jahres 2022 12,5 Milliarden US-Dollar in 531 Deals investierten. gemäß an Momentum Cyber – ein Volumen, das mit dem ersten Halbjahr 2021 vergleichbar ist (12,6 Milliarden US-Dollar).
„Wir haben große Ambitionen, schwierige technische Probleme in einem extrem großen Markt zu lösen … Endor hat im vergangenen Jahr im Verborgenen gearbeitet und in dieser Zeit bedeutende Kunden und Interessenten gewonnen“, sagte Badhwar. „Das Timing erweist sich als ideal, da die Sicherheit von Open-Source-Software auf nationaler, wenn nicht globaler Basis ins Rampenlicht gerückt ist … Im letzten Jahr haben uns über 75 Organisationen Feedback gegeben, das wir in das Produkt integriert haben und befinden sich derzeit in der privaten Betaphase mit mehreren Unternehmen mit 200 bis 35.000 Mitarbeitern.“