La cadena de suministro de software, que comprende los componentes y procesos utilizados para desarrollar software, se ha vuelto precaria. Según un reciente encuestael 88% de las empresas cree que la mala seguridad de la cadena de suministro de software presenta un “riesgo empresarial” para sus organizaciones.
Los componentes de la cadena de suministro de código abierto son especialmente complicados, gracias a los obstáculos logísticos para mantener cada componente en buen estado. Sinopsis de la empresa de seguridad encontró en su informe de 2023 que el 89% de las bases de código de las empresas contenían herramientas de código abierto con más de cuatro años de antigüedad. Un 2024 informe del Instituto Ponemon encontró que más de la mitad de las organizaciones han experimentado un ataque a la cadena de suministro de software. Estos ataques podrían costarle a la economía casi 81 mil millones de dólares en ingresos perdidos y daños para 2026. estimaciones Investigación de enebro.
Enchufeuna startup que proporciona herramientas para detectar vulnerabilidades de seguridad en código fuente abierto, ha recaudado 40 millones de dólares para ayudar a abordar el problema.
El director ejecutivo, Feross Aboukhadijeh, fundó Socket en 2020. Aboukhadijeh, prolífico mantenedor de código abierto y profesor de seguridad web en Stanford, dice que llegó a creer que las herramientas de seguridad tradicionales eran insuficientes para abordar los desafíos del desarrollo de software moderno.
“La extensa red de dependencias, que se cuentan por miles, plantea importantes riesgos de seguridad que las herramientas tradicionales no logran mitigar”, dijo Aboukhadijeh a TechCrunch. Las dependencias son piezas de software o bibliotecas de las que depende una aplicación para funcionar. “Incluso con revisiones rigurosas del código interno, las dependencias externas introducen el riesgo de ataques a la cadena de suministro de software que son difíciles de detectar y gestionar”, continuó Aboukhadijeh.
La solución de Socket es un escáner que busca actividad maliciosa, como puertas traseras y código ofuscado, en componentes de código abierto, y alerta a los desarrolladores cuando se actualizan o agregan dependencias y paquetes.
A través de integraciones con API de IA generativa de Anthropic y OpenAI, Socket también puede generar resúmenes de vulnerabilidades (con un mínimo alucinacionesuno espera). Además, la plataforma puede opcionalmente verificar que el código fuente abierto tenga la licencia adecuada (y, por lo tanto, sea legal) para su reutilización.
“Socket está diseñado para equipos de ingeniería y equipos de seguridad de aplicaciones que dependen en gran medida del software de código abierto”, dijo Aboukhadijeh. “Se integra perfectamente en el flujo de trabajo del desarrollador, proporcionando información en tiempo real durante las revisiones de código y actualizaciones de dependencias sin abrumar a los usuarios con falsos positivos”.
Más que nunca las empresas de software confían en el código abierto. En un 2023 informe Publicado en colaboración con Open Source Initiative y Eclipse Foundation, el 95% de los encuestados dijo que sus organizaciones aumentaron, o al menos mantuvieron, su uso de código abierto durante el año pasado.
Dado que se espera que el mercado de plataformas de seguridad de la cadena de suministro de software crecer hasta 3.500 millones de dólares para 2027, no sorprende que Socket tenga rivales.
oligouna empresa que se centra en la seguridad y observabilidad de aplicaciones en tiempo de ejecución, salió del sigilo en febrero con un respaldo de 28 millones de dólares. Endor emergió del sigilo con 25 millones de dólares el pasado mes de octubre, tras Guardacadenas Aumento de 50 millones de dólares a principios de junio.
Lo que distingue a Socket, sostiene Aboukhadijeh, es su capacidad para detectar código posiblemente dañino que otras herramientas pasan por alto, en particular código para filtrar datos confidenciales. Socket detecta más de 100 ataques de día cero a la cadena de suministro de software cada semana, afirma.
La impresionante lista de patrocinadores (y clientes) de Socket sugeriría que esas afirmaciones tienen cierta credibilidad.
El empresario Elad Gil y Andreessen Horowitz participaron en la Serie B de Socket, junto con el cofundador de Yahoo, Jerry Yang (divulgación: Yahoo es la empresa matriz de TechCrunch), el presidente de OpenAI, Bret Taylor, el cofundador de Twilio, Jef Lawson, y el cofundador y director ejecutivo de Shopify, Tobias. Lütke.
Mientras tanto, entre los clientes de Socket se incluyen Anthropic, Harvey, Figma, Vercel, uno de los cuatro bancos más grandes de EE. UU. y “la empresa de inteligencia artificial más grande y reconocida”. (Interpreta el último como quieras).
Aboukhadijeh describió la nueva ronda de la Serie B como “preventiva”, afirmando que Socket aún no ha gastado el Serie A en efectivo que planteó el pasado mes de agosto.
“Estamos en camino de aumentar los ingresos en un 400% en 2024”, dijo Aboukhadijeh a TechCrunch. “Actualmente, Socket tiene más de 100 clientes y protege a más de 7500 organizaciones, defendiendo 300 000 repositorios de código y brindando soporte a más de 1 millón de desarrolladores en todo el mundo”.
El nuevo dinero eleva el total recaudado por Socket a 65 millones de dólares durante lo que Aboukhadijeh describió como un momento crucial en la historia del código abierto. La IA, señaló, se está utilizando para escribir más y más códigoque es presentando el potencial para agujeros de seguridad.
“Ahora era el momento adecuado para recaudar estos fondos”, afirmó Aboukhadijeh. “Los nuevos vectores de ataque de IA han creado una necesidad apremiante para que Socket brinde garantías de seguridad al código generado por estas herramientas impulsadas por IA. La tecnología de Socket aborda esta brecha crítica en el mercado y la financiación adicional ayudará a escalar su impacto”.
Socket, que hoy cuenta con 32 empleados, planea aumentar su equipo a 50 personas para fin de año con un enfoque en los aspectos de ingeniería, productos, diseño y ventas de la empresa con sede en Stanford.
