Der Risikokapitalriese Sequoia aus dem Silicon Valley unterstützt ein junges dänisches Startup bei der Entwicklung eines SCA-Tools (Software Composition Analysis) der nächsten Generation, das Unternehmen dabei helfen soll, das Chaos zu filtern und Schwachstellen zu identifizieren, die eine echte Bedrohung darstellen.
Zum Vergleich: Die meiste Software enthält zumindest einige Open-Source-Komponenten. Viele davon sind veraltet und unregelmäßig – wenn überhaupt – aufrechterhalten. Dies hat zu allen möglichen Sicherheitslücken geführt, beispielsweise bei Log4Shell, die sich auf das Open-Source-Java-Protokollierungsframework auswirkten Log4j und führte zu Verstößen, die hochkarätige Organisationen wie eine US-Bundesbehörde betrafen, die es versäumte, den Fehler zu beheben. Dies führt wiederum zu einer Reihe von neue Regelungdas darauf ausgelegt ist, Unternehmen dazu zu bewegen, eine engere Software-Lieferkette zu betreiben.
Das Problem besteht darin, dass es bei Millionen von Komponenten, die die Software-Lieferkette durchdringen, nicht immer einfach ist, zu wissen, ob eine bestimmte Anwendung eine bestimmte Komponente verwendet. Es gibt natürlich viele SCA-Tools (Software Composition Analysis) von Snyk bis Synopsis, die Unternehmen auf bekannte Schwachstellen in ihrem Technologie-Stack aufmerksam machen – aber das kann viel Aufsehen erregen, insbesondere wenn eine Anwendung nicht aktiv ist Die Verwendung dieser Komponente macht es für Sicherheitsteams daher schwierig, die wirklich wichtigen Schwachstellen zu priorisieren.
Und hier ist das dänische Cybersicherheits-Startup Coana möchte einen Unterschied machen und nutzt „codebewusstes“ SCA, um seinen Benutzern dabei zu helfen, irrelevante Warnungen auszusortieren und sich nur auf die wichtigen zu konzentrieren.
Coana: Beispielwarnungen
Coana wurde 2021 in Dänemark gegründet und ist das Werk eines Informatikprofessors (Anders Møller) und zwei Doktoranden (Martin Torp Und Benjamin Barslev Nielsen), die sagen, dass sie als Teil einer Forschungsgruppe an der dänischen Universität Aarhus einen „technischen Durchbruch“ erzielt haben und eine neue Technik zur Analyse und zum Verständnis großer, JavaScript-basierter Anwendungen entdeckt haben. CEO Anders Sondergaard trat dem Trio im Jahr 2022 als Mitbegründer bei hat ein früheres Biometrie-Technologie-Startup namens Resilio verlassen das vorherige Jahr.
Um das Unternehmen von der Early-Access-Phase bis zur vollständigen Kommerzialisierung zu finanzieren, gab Coana heute bekannt, dass es in einer von Sequoia Capital angeführten Pre-Seed-Finanzierungsrunde unter Beteiligung von Essence VC und einer Reihe von aktuellen und ehemaligen Angels 1,6 Millionen US-Dollar gesammelt hat Führungskräfte von Google, Red Hat und GitHub.
Eine typische Anwendung kann bis zu 90 % aus Bibliotheken von Drittanbietern bestehen, von denen die meisten Open Source sind und von einer beliebigen Anzahl freiwilliger Entwickler gepflegt werden (oder auch nicht).
Ein Unternehmen, das Software entwickelt, könnte also seine eigene Anwendungsschicht aufbauen, die auf diese unzähligen Bibliotheken zurückgreift und so eine lange Kette von Abhängigkeiten schafft, die durch Funktionen verbunden sind. Traditionell würde ein SCA-Tool die Versionsnummer einer bestimmten Abhängigkeit prüfen, sie mit einer Datenbank bekannter Schwachstellen abgleichen und dann den Entwicklern Bericht erstatten, wenn es eine Übereinstimmung findet. In vielen Fällen verwendet eine Anwendung jedoch möglicherweise nur eine oder zwei Funktionen aus einer Bibliothek von vielleicht 50. Wenn also in einem Teil der Bibliothek, den die App nie aufruft, eine Schwachstelle besteht, sollte dies keine wirklichen Auswirkungen auf diese Anwendung haben.
Unternehmen können Coana verwenden, um ein sogenanntes „Aufrufdiagramm“ der gesamten Anwendung zu erstellen, das Anwendungscode und Abhängigkeiten umfasst, um die Datenflusspfade zu verstehen und dieses dann zur Eliminierung von Fehlalarmen zu verwenden.
„Die Menge der verwendeten Pakete und Codezeilen kann extrem groß sein, sodass eine wirklich ausgefeilte statische Analyse erforderlich ist“, sagte Søndergaard gegenüber TechCrunch. „Mit dem Anrufdiagramm können wir eine umfassende Analyse aller möglichen Pfade zwischen verschiedenen Abhängigkeiten durchführen. Stellen Sie sich also eine Anwendung vor, die aus Hunderten oder Tausenden von Abhängigkeiten besteht. Wir können alle Pfade zwischen diesen Abhängigkeiten identifizieren, um zu verstehen, welche wirklich anfällig sind – und welche nicht.“
Es ist natürlich noch sehr früh, da Coana im Oktober die erste Iteration seines Produkts für seine ersten zahlenden Kunden vorstellte – eine Mischung aus Startups und Scaleups der Serien B und C. Das Unternehmen arbeitet jedoch daran, seine Unterstützung über JavaScript hinaus in diesem Jahr auf Java und Python auszuweiten, um eine breitere Kundenbasis anzusprechen.
„Während unser Produkt ausgereift ist und unser Unternehmen reifer wird, bewegen wir uns auf dem Markt nach oben und zielen schließlich auf große Unternehmen ab, aber es wird eine Weile dauern, bis wir die nötige Ausgereiftheit bei der Sprachunterstützung haben, um dieses Niveau zu erreichen“, sagte Søndergaard.
Unternehmen, die Coana heute ausprobieren möchten, können dies tun Beantragen Sie jetzt den Early Access.