Siegelsicherheitein in Tel Aviv ansässiges Startup, das von einer Gruppe ehemaliger Mitglieder der israelischen Geheimdiensteinheit Unit 8200 gegründet wurde, verlässt heute seine Tarnung und kündigt eine Startfinanzierungsrunde in Höhe von 7,4 Millionen US-Dollar an, die von Vertex Ventures Israel angeführt wird und an der sich Crew Capital und der PayPal Alumni Fund beteiligen und Cyber Club London.
Seitdem die Log4j-Sicherheitslücke entdeckt wurde und das Weiße Haus seine Software-Lieferkette herausgegeben hat oberster BefehlJeder, der Software entwickelt, weiß, wie wichtig es ist, die vielen Open-Source-Bibliotheken, auf die er angewiesen ist, auf dem neuesten Stand zu halten. Aber das ist leichter gesagt als getan, denn große Unternehmen beschäftigen oft ganze Teams, die sich auf nichts anderes konzentrieren, als ihre Pakete auf dem neuesten Stand zu halten. In den letzten Jahren haben wir eine Reihe von Sicherheitsunternehmen gesehen, die sich darauf spezialisiert haben, Entwickler zu warnen, wenn eines ihrer Pakete angreifbar ist. Das ist zwar wertvoll, aber die eigentliche Arbeit besteht darin, diese Schwachstellen zu beheben, was in den meisten Fällen lediglich die Installation eines Updates erfordert.
Seal wurde von gegründet Itamar Sher (CEO), Lew Pachmanow (CTO) und Alon Navon (CPO). Nach ihrer Zeit in der Einheit 8200 arbeiteten die Teammitglieder bei verschiedenen Unternehmen, darunter Cymmetria, Curv und PayPal. Sher erzählt mir, dass sich das Team im Sommer 2022 zusammengeschlossen hat.
„Für mich ging es wirklich darum, Bauunternehmer werden zu wollen“, sagte Sher. „Ich habe einige Zeit damit verbracht, auf der anderen Seite zu sein: Forscher zu sein, Dinge zu hacken, Dinge zu zerstören – was auf seine Art Spaß macht. Aber ich denke, eines der Dinge, die mir am Herzen lagen – und die ich wirklich voranbringen wollte – ist, mehr auf der Seite der Bauherren zu stehen.“ Als erster Mitarbeiter bei Cymmetria durfte er diese Erfahrung schon schnuppern, doch jetzt als Gründer und CEO darf er das ganze Spektrum des Startup-Erlebnisses kennenlernen.
Bildnachweis: Siegelsicherheit
Das Besondere an Seal ist, dass es die anfälligen Pakete tatsächlich patcht und nicht nur aktualisiert. Während seiner Arbeit bei PayPal stellte er fest, dass es an Tools mangelte, die Sicherheitslücken nicht nur entdecken, sondern auch beheben konnten. Er betonte auch, dass viele der heutigen Tools Entwickler mit Hunderten von Warnungen bombardieren, was es schwierig macht, Prioritäten zu setzen, auf welche man sich konzentrieren sollte. Letztendlich verbringen diese Teams einen großen Teil ihrer Zeit und Energie damit, Pakete auf dem neuesten Stand zu halten (auch solche, die möglicherweise nicht einmal in der Produktion verwendet werden). „Uns ist aufgefallen, dass man bei den meisten Schwachstellen, die es gibt, tatsächlich den Sicherheitspatch nehmen kann, der das Risiko mindert, und ihn einfach auf die vorhandenen Versionen anwenden kann, die die Entwickler bereits verwenden“, erklärte Sher.
Derzeit ist Seal Security in GitHub integriert, um diese Patches in der CI/CD-Pipeline eines Unternehmens zu aktivieren. Aber was vielleicht noch wichtiger ist, ist, dass Seal diese Patches selbst erstellt. Ein Großteil dieses Prozesses ist automatisiert und wird teilweise durch die Verwendung eines großen Sprachmodells unterstützt. Diese Modelle, erklärte Sher, eignen sich sehr gut dazu, den Commit zu identifizieren, der beispielsweise einen bestimmten Patch eingeführt hat. Tatsächlich wäre eine Lösung wie Seal Security ohne die Modelle vor ein paar Jahren wahrscheinlich nicht skalierbar gewesen.
„Open-Source-Komponenten sind für die Softwareentwicklung von grundlegender Bedeutung, und Unternehmen stehen bei der Verwaltung von Bibliotheken mit kritischen Schwachstellen vor großen Herausforderungen. Diese Herausforderungen haben erhebliche Auswirkungen auf die Geschäftsergebnisse“, erklärt Daniel Dines, Mitbegründer und Komplementär von Crew Capital (und Mitbegründer und Co-CEO von UiPath). „Siegel Sicherheit reagiert auf diese Marktnachfrage mit einer rationalisierenden Lösung Sicherheit Patch-Management, das es seinen Kunden ermöglicht, Schwachstellen effektiv zu beseitigen.“