Steckdoseein Startup, das ein Scan-Tool zur Erkennung von Sicherheitslücken in Open-Source-Code bereitstellt, gab heute bekannt, dass es in einer von Andreessen Horowitz (a16z) angeführten Serie-A-Runde 20 Millionen US-Dollar eingesammelt hat.
An der Tranche beteiligten sich Abstract Ventures, Wndrco, Unusual Ventures und eine beeindruckend hochkarätige Liste von Angel-Investoren, darunter die Mitbegründer von Box (Aaron Levie), Figma (Dylan Field), Okta (Frederic Kerrest) und Vercel (Guillermo). Rauch) und Eventbrite (Julia und Kevin Hartz).
CEO Feross Aboukhadijeh sagte, dass das neue Geld – zusammen mit Sockets vorheriger Startkapitalinvestition in Höhe von 4,6 Millionen US-Dollar, wodurch sich die Gesamteinnahme des Unternehmens auf 24,6 Millionen US-Dollar erhöht – in die Erweiterung des Socket-Teams und die Ausweitung der Unterstützung für weitere Programmiersprachen und Integrationen fließen werde.
„Im letzten Jahrzehnt hat sich gezeigt, dass Open-Source-Software gewonnen hat“, sagte Aboukhadijeh in einem E-Mail-Interview mit TechCrunch. „Der freie Austausch von Code hat die Entwicklung von Software deutlich günstiger und schneller gemacht – und die technische Innovation hat sich dadurch beschleunigt. Aber Sicherheit war oft ein nachträglicher Gedanke. Neue Technologien verbreiten sich, weil sie nützlich sind, nicht weil sie sicher sind. Kriminelle nutzen das Vertrauen in Open-Source-Software aus, um dreiste Angriffe durchzuführen, die zerstörerische Malware verbreiten.“
Es ist schwer, mit diesem Standpunkt zu argumentieren. Laut einem aktuellen Tidelift Umfrage, nur 15 % der Unternehmen sind äußerst zuversichtlich in ihre Open-Source-Managementpraktiken. (Zugegeben, Tidelift ist ein Socket-Konkurrent und daher nicht die objektivste Quelle.) Die Mehrheit, so die Umfrage, hat gewisse Bedenken, Open-Source-Software aktuell, sicher und gut gewartet zu halten.
Diese Organisationen haben Grund zur Sorge. Sicherheitsfirma Synopsys gefunden in seiner Trendstudie 2023, dass 89 % der Codebasen von Unternehmen Open Source enthielten, das mehr als vier Jahre veraltet war. Mittlerweile verwendeten 91 % offene Softwarekomponenten, die nicht die neueste verfügbare Version waren.
„Die Zahl der Angriffe auf die Software-Lieferkette nimmt weiterhin astronomisch zu“, sagte Aboukhadijeh. „Gepaart mit strengeren behördlichen Strafen für Verstöße, verbindlichen Melderegeln sowie einem explosionsartigen Anstieg der Nutzung von Open Source in Organisationen waren die Risiken – und das Bewusstsein für diese Risiken – noch nie so groß.“
Aboukhadijeh – ein produktiver Open-Source-Betreuer und Dozent für Web-Sicherheit an der Stanford-Universität – vertritt die Ansicht, dass Socket die Lösung für diese Sicherheitsprobleme bei Open-Source-Software ist. Das ist eine ziemliche Behauptung, wenn man bedenkt, wie viele andere Startups und etablierte Unternehmen das Gleiche behaupten.
Oligo, ein Unternehmen, das sich auf die Sicherheit und Beobachtbarkeit von Laufzeit-Apps konzentriert, um Open-Source-Schwachstellen zu erkennen und zu verhindern, kam im Februar mit Risikokapital in Höhe von 28 Millionen US-Dollar aus der Tarnung. Endor kam im vergangenen Oktober mit 25 Millionen US-Dollar aus der Tarnung heraus, nachdem Chainguard Anfang Juni 50 Millionen US-Dollar aufgebracht hatte. Ansonsten gibt es Stacklok, Arnica und Ox Security, die zusammen über 50 Millionen US-Dollar eingesammelt haben.
Google bietet außerdem einen Dienst an, Assured Open Source Software, der Entwickler dabei unterstützen soll, sich gegen Angriffe auf die Lieferkettensicherheit zu verteidigen, indem er regelmäßig einige der weltweit beliebtesten Softwarebibliotheken auf Schwachstellen scannt und analysiert.
Laut Aboukhadijeh unterscheidet sich Socket dadurch, dass es nicht nur nach Software sucht, die ein Kunde verwendet, um zu sehen, ob die Schwachstellen an öffentliche Datenbanken gemeldet wurden. Stattdessen geht es tiefer und versucht, das Rauschen zu reduzieren, das bei der Analyse von Tausenden Zeilen Code von Drittanbietern auftreten könnte.
„Im Gegensatz zu einem herkömmlichen Sicherheitsscanner kann Socket tatsächlich einen aktiven Angriff auf die Lieferkette erkennen und Ihnen helfen, ihn zu blockieren“, erklärte Aboukhadijeh. „Und im Gegensatz zu einem herkömmlichen statischen Analysetool liefert Socket umsetzbares Feedback zum Abhängigkeitsrisiko anstelle von Hunderten bedeutungsloser Warnungen.“
Konkret sucht Socket nach hochgradigen Warnsignalen in Software, wie etwa Malware, Typo-Squatting (Registrierung häufig falsch geschriebener Domänennamen für böswillige Zwecke), irreführenden Paketen und nicht gepflegtem Code sowie unbekannten Betreuern und übermäßigen Berechtigungen. Die Plattform bietet eine Suchfunktion, mit der Benutzer in eine Codebasis eintauchen können, um Änderungen in Abhängigkeiten zu finden und zu verfolgen, sowie eine kostenlose Erweiterung für Webbrowser, die versucht, festzustellen, ob ein Open-Source-Paket sicher und vertrauenswürdig ist.
Passend zum Trend zur generativen KI hat Socket kürzlich einen Connector zu ChatGPT, dem KI-gestützten Chatbot von OpenAI, eingeführt, der potenzielle Probleme in Softwarepaketen, insbesondere „ungewöhnliche“ Codemuster, zusammenfasst.
„Die meiste Sicherheitssoftware wird normalerweise an Führungskräfte verkauft, daher ist es oft scheiße, sie tatsächlich zu nutzen“, sagte Aboukhadijeh. „Wir haben einen anderen Ansatz gewählt – ein Produkt zu entwickeln, das Entwickler wirklich lieben. Und aus diesem Grund haben wir gesehen, dass Sicherheitsteams tatsächlich begeistert sind, ihren Entwicklern Socket zur Verfügung zu stellen, was in der Branche leider recht selten vorkommt.“
Aber ist das alles nur Lärm? Ich war versucht, das zu glauben, da ich ein zynischer Journalist bin – aber vielleicht auch nicht. Seit seiner Gründung im Jahr 2020 hat das in San Francisco ansässige Unternehmen Socket namhafte Kunden angezogen, darunter Brave, Figma und Vercel (beachten Sie, dass die Mitbegründer der beiden letztgenannten letztendlich in Socket investierten). Und wenn das Unternehmen seinen aktuellen Kurs beibehält, geht Aboukhadijeh davon aus, dass es seine Größe, zumindest was die Belegschaft betrifft, in den nächsten Monaten verdoppeln wird. Der Schwerpunkt liegt auf dem Ausbau der Engineering-, Sicherheits-, Betriebs-, Vertriebs- und Marketingteams von Socket.
„Sicherheit lebt mehr als andere Branchen von Mundpropaganda“, fügte Aboukhadijeh hinzu. „Wir sind stolz darauf, sagen zu können, dass unsere Benutzer Socket lieben, und das treibt unsere starke Nachfrage an.“