Geheime Ausbreitung, bei der Unternehmen Authentifizierungsdaten und ähnliche sensible Daten an mehreren Standorten speichern, ist ein Problem real Und Wachsendes Problem für jedes Unternehmen, das eine Sicherheitslücke abwenden möchte.
Unternehmen verfügen möglicherweise über Hunderte von Geheimnissen – wie API-Schlüssel, Passwörter oder Datenbankzugriffstoken –, die über ihre Infrastruktur verteilt sind, was es schwierig macht, im Auge zu behalten, was wo gespeichert ist, wer Zugriff darauf hat und ob diese Daten versehentlich gefunden wurden seinen Weg in die Öffentlichkeit. Beispielsweise deckte Uber im Jahr 2017 einen schwerwiegenden Verstoß auf, bei dem die personenbezogenen Daten von rund 57 Millionen Kunden offengelegt wurden tiefere Ursache Der Ursprung liegt darin, dass Hacker einen AWS-Zugriffsschlüssel in einem GitHub-Repository eines Uber-Entwicklers gefunden haben.
Und vor diesem Hintergrund haben wir eine Reihe von Start-ups und Big-Tech-Tools auf den Markt gebracht, die Unternehmen dabei helfen sollen, ihre heimliche Ausbreitung zu bewältigen. Das neueste ist ein in San Francisco ansässiges Unternehmen namens Unfischigdas heute bekannt gab, dass es in einer Startfinanzierungsrunde unter der Leitung von Googles Gradient Ventures 2,8 Millionen US-Dollar gesammelt hat, um Unternehmen jeder Größe bei der Zentralisierung ihrer Geheimverwaltung zu unterstützen.
Streng geheim
Laut Infisical-Mitbegründer präsentiert sich Infisical als ganzheitliche Secret-Management-Plattform, die alle Komponenten vereint, die ein Unternehmen benötigt – ein bisschen wie das, was Rippling im Workforce-Management-Bereich getan hat, mit Ausnahme von Geheimnissen Vlad Matsiiako.
„Da Unternehmen immer digitaler werden und sich in andere Software integrieren, wird es schwieriger, alle ihre Anwendungs- und Entwicklergeheimnisse zu verwalten – sie müssen mehrere Tools kaufen und allen Zugriff auf ihre Geheimnisse gewähren, was an sich schon ein Sicherheitsrisiko darstellt.“ “, erklärte Matsiiako gegenüber TechCrunch. „Man kann sich Infisical als einen All-in-one-Secret-Management-Stack vorstellen, der alle zugehörigen Produktvertikalen eines Unternehmens vereint.“
Dazu gehört u. a Armaturenbrett zum Verwalten von Geheimnissen über verschiedene Projekte und Umgebungen hinweg; Klient SDKs; eine Befehlszeilenschnittstelle (CLI); einheimisch Integrationen mit Leuten wie GitHub, Netlify und Vercel; geheime Versionierung und „punktuelle Wiederherstellung“; Audit-Protokolle; Und geheimes Scannen.
Infisical-Dashboard. Bildnachweis: Unfischig
Was das Geschäftsmodell angeht, erzielt Infisical Einnahmen durch seine gehostete Cloud-Inkarnation, die es als SaaS verkauft, und durch sein selbst gehostetes Gegenstück durch den Verkauf von Funktionen der Enterprise-Klasse.
Der (sozusagen) Open-Source-Faktor
Während Infisical sich als „Open-Source“-SecretOps-Plattform präsentiert, ein kurzer Blick darauf Lizenzierung auf GitHub zeigt, dass es möglicherweise eher auf den Open-Core- oder Source-Available-Bereich ausgerichtet ist als auf den reinen Open-Source-Bereich. Das heißt, während ein Großteil der Kernfunktionen der Plattform offenbar im Rahmen der Freizügigkeit zur Nutzung verfügbar ist MIT-Lizenzeinschließlich Secret-Scanning und Infrastrukturintegrationen, hat es viele der Funktionen – wie Audit-Protokolle, Single-Sign-On, Wiederherstellung und Zugriffskontrollen – unter einer proprietären Lizenz unter einer separaten Enterprise Edition (EE) beibehalten.
„Unsere gesamte Codebasis ist für jedermann auf GitHub verfügbar und wir halten alle Kernfunktionen für die Verwaltung von Geheimnissen unter der MIT-Lizenz verfügbar“, sagte Matsiiako. „Wir sind der festen Überzeugung, dass Solo-Entwickler und Hobby-Entwickler die Möglichkeit haben sollten, mit den meisten Funktionen kostenlos zu experimentieren, indem sie entweder Infisical Cloud oder Infisical Self-Hosted verwenden.“
Der Gedanke hier ist, dass Benutzer, wenn sie beginnen, Infisical im Hinblick auf den Einsatz für kritische kommerzielle Anwendungsfälle in Betracht zu ziehen, mehr Funktionen wie erweiterte Sicherheit und Compliance benötigen. Selbst wenn sich ein Unternehmen dafür entschieden hat, Infisical selbst zu hosten, muss es dennoch eine Unternehmenslizenz erwerben, um die wichtigsten proprietären Funktionen nutzen zu können.
„Das Ziel besteht eigentlich darin, nur größeren Unternehmen Gebühren zu berechnen“, fügte Matsiiako hinzu.
Es gibt bereits eine Reihe ähnlicher Tools auf dem Markt, darunter auch Open Source Gewölbe Projekt des milliardenschweren Cloud-Infrastrukturriesen HashiCorp, der so ziemlich den Standard für den Secret-Management-Sektor gesetzt hat. Matsiiako argumentiert jedoch, dass sich Infisical eher an allgemeine Entwickler als an Plattform-Engineering-Teams richtet, was die Bereitstellung mit einer flacheren Lernkurve erleichtert.
„Vault ist für Entwickler ohne Erfahrung in Sicherheit oder Infrastruktur schwer zu implementieren, und wir stellen fest, dass es bei Sicherheits- und Plattform-Engineering-Teams beliebter ist“, sagte er. „Aus diesem Grund erleben Unternehmen langsamere Entwicklungszyklen und einige greifen sogar auf die Entwicklung vollständig benutzerdefinierter, entwicklerorientierter Lösungen auf Basis von – oder anstelle von – Vault zurück.
Weitere bemerkenswerte Alternativen sind Doppler und Akeyless, bei denen es sich im Wesentlichen um proprietäre SaaS-Produkte handelt, und sogar tangentiale Produkte wie Secret-Scan-Tools von GitGuardian, eine Funktion, die Infisical bereits als Teil seiner Plattform unterstützt.
„Durch die Integration des Secret-Scanning in das Bundle-Angebot von Infisical erzielen wir Synergien zwischen Secret-Management und Secret-Scanning, und ein Unternehmen, das nach entsprechenden Secret-Management-Lösungen sucht, muss sich jetzt nur noch an einen Anbieter statt an mehrere wenden“, sagte Matsiiako.
Die Geschichte bisher
Das Gründertrio des Unternehmens – Matsiiako, Maidul-Islam Und Tony Dang – lernten sich an der Cornell University kennen, wo sie eine Mischung aus Informatik- und Datenwissenschaftsfächern studierten und anschließend bei verschiedenen Unternehmen wie AWS, Figma und Bung arbeiteten. Im August letzten Jahres trafen sie sich dann, um ihr neues gemeinsames Unternehmen von San Francisco aus zu starten.
„Durch unsere bisherigen gemeinsamen Erfahrungen und Gespräche mit Branchenkollegen haben wir erkannt, dass die Verwaltung von Anwendungsgeheimnissen mühsam ist und dass die Probleme in der Geheimnisverwaltungsbranche noch lange nicht gelöst sind“, sagte Matsiiako. „Uns wurde klar, dass wir eine Open-Source-Lösung entwickeln mussten, die einfach für die Geheimverwaltung zu verwenden ist; Da Open Source Entwicklern die Flexibilität gibt, Infisical Cloud zu nutzen oder es selbst auf ihrer eigenen Infrastruktur zu hosten, was größere Unternehmen häufig tun.“
Infisical sammelte anschließend 500.000 US-Dollar durch seine Beteiligung an Y Combinator’s (YC) Programm Winter ’23und das Unternehmen hat vor kurzem seinen ersten Ingenieur eingestellt, der vom Unternehmenssoftware-Riesen Red Hat zu ihnen kam.
Neben dem Hauptfinanzierer Gradient Ventures umfasste die Seed-Runde des Unternehmens auch Investitionen von YC, 22 Ventures und Angel-Unterstützern wie Elad Gil und YC’s Diana Hu.