Η Endor Labs, η οποία βοηθά τις εταιρείες να εξασφαλίσουν τα πακέτα ανοιχτού κώδικα τους, συγκεντρώνει 70 εκατομμύρια δολάρια

Endor Labs

η οποία προσφέρει μια πλατφόρμα που μπορούν να χρησιμοποιήσουν οι προγραμματιστές για να διαχειριστούν και να εξασφαλίσουν τις εξαρτήσεις ανοιχτού κώδικα, έκλεισε σήμερα έναν γύρο Series A 70 εκατομμυρίων δολαρίων με επικεφαλής τους συνεργάτες Lightspeed Venture Partners με τη συμμετοχή των Coatue, Dell Technologies Capital, Section 32 και ορισμένων επενδυτών αγγέλων.

Η νέα χρηματοδότηση – αρκετά μεγάλη για μια Σειρά Α, και έρχεται μόλις 10 μήνες μετά την κυκλοφορία της εταιρείας – ανεβάζει το συνολικό ποσό της Endor στα 95 εκατομμύρια δολάρια. Ο συνιδρυτής και Διευθύνων Σύμβουλος Varun Badhwar λέει ότι θα τεθεί προς την επέκταση του εργατικού δυναμικού της startup 55 ατόμων και την «εμβάθυνση» των υφιστάμενων τεχνικών δυνατοτήτων της Endor, ενώ παράλληλα θα επεκτείνει τις πρωτοβουλίες της για προώθηση στην αγορά.

«Είμαστε περήφανοι που συγκεντρώσαμε έναν σημαντικό γύρο Series A σε μια εποχή που η χρηματοδότηση ήταν περιορισμένη και οι επενδυτές ξοδεύουν πολύ περισσότερο χρόνο κάνοντας βαθύτερη δέουσα επιμέλεια», είπε ο Badhwar στο TechCrunch σε μια συνέντευξη μέσω email. “

Το τρέχον οικονομικό κλίμα και η πανδημία συνέβαλαν στην κατάσταση στην οποία βρίσκονται σήμερα πολλές ομάδες ασφαλείας και τα προβλήματα που έχει αναλάβει η Endor Labs να λύσει».

Η Endor Labs ιδρύθηκε το 2021 από τους Badhwar και Δημήτρη Στυλιάδη, οι οποίοι στο παρελθόν ξεκίνησαν τη RedLock και την Aporeto, αντίστοιχα. Κατά τη διαχείριση μιας ομάδας προγραμματιστών στην Palo Alto Networks, το ζευγάρι λέει ότι δυσκολεύτηκε να εξισορροπήσει την παραγωγικότητα της μηχανικής με την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού.

«Οι προγραμματιστές πήγαιναν τακτικά στη συνομιλία της εταιρείας για να μάθουν ποια από τα στοιχεία λογισμικού ανοιχτού κώδικα στα πακέτα τους ήταν ασφαλή να ενημερώνονται χωρίς να επηρεάζουν άλλους», είπε ο Badhwar. «Διαφορετικά, δεν είχαν τρόπο να το μάθουν».

Ο Badhwar επισημαίνει ότι ο ανοιχτός κώδικας έχει γίνει αναπόσπαστο μέρος του τρόπου με τον οποίο οι εταιρείες λογισμικού λειτουργούν – και, ταυτόχρονα, μια αυξανόμενη απειλή για την ασφάλεια.

Σύμφωνα με

Σύμφωνα με την έκθεση Octoverse 2022 του GitHub, το 97% των εφαρμογών αξιοποιεί λογισμικό ανοιχτού κώδικα και το 90% των εταιρειών το εφαρμόζουν ή το χρησιμοποιούν με κάποιο τρόπο. Αν και αυτό είναι ενθαρρυντικό για το οικοσύστημα ανοιχτού κώδικα – περισσότερες επιχειρήσεις δημιουργούν κοινότητες λογισμικού ανοιχτού κώδικα σε σχέση με τα προηγούμενα χρόνια, σύμφωνα με την έκθεση Octoverse – ανοίγει επίσης τους οργανισμούς σε εκμεταλλεύσεις.

Οι εταιρείες σήμερα χρησιμοποιούν χιλιάδες πακέτα ανοιχτού κώδικα και καθένα από αυτά τα πακέτα έχει δεκάδες δεκάδες «μεταβατικές» εξαρτήσεις — δηλαδή σχέσεις με άλλους ανοιχτούς κώδικα. Τα περισσότερα τρωτά σημεία — έως και 95%, Endor

υπολογίζει

(έτσι πάρτε αυτό το stat με λίγο αλάτι) — βρίσκονται σε αυτές τις μεταβατικές εξαρτήσεις.

Από το 2019, τα τρωτά σημεία υψηλού κινδύνου έχουν αυξηθεί κατά τουλάχιστον 42% σε όλες τις επιχειρήσεις που χρησιμοποιούν πακέτα ανοιχτού κώδικα, σύμφωνα με μια Synopsys

μελέτη

. Η μελέτη, η οποία έλεγξε περισσότερες από 1.700 βάσεις κωδικών από εταιρείες στον τομέα της τεχνολογίας, της αυτοκινητοβιομηχανίας, του Διαδικτύου των πραγμάτων και άλλων συναφών βιομηχανιών, εντόπισε ότι το 89% των πακέτων ανοιχτού κώδικα στις βάσεις κωδικών ήταν περισσότερο από τέσσερα χρόνια ξεπερασμένα.

Οι υψηλού προφίλ εισβολές έχουν ωθήσει τους υπεύθυνους χάραξης πολιτικής να δράσουν, οδηγώντας σε νομοθεσία όπως ο νόμος για την ασφάλεια λογισμικού ανοιχτού κώδικα των ΗΠΑ και

Εκτελεστικό διάταγμα 14028

.

«Η σημερινή πραγματικότητα είναι ότι μεγάλο μέρος του κώδικα στις σύγχρονες εφαρμογές βασίζεται σε αποθετήρια ανοιχτού κώδικα», είπε ο Badhwar. «Το μεγαλύτερο μέρος αυτού του κώδικα δεν επιλέχθηκε πραγματικά από τους προγραμματιστές. είναι έμμεσες εξαρτήσεις που εισάγονται αυτόματα στη βάση κώδικα τους. Ως αποτέλεσμα, οι προγραμματιστές αφιερώνουν πολύ χρόνο στη διερεύνηση των ειδοποιήσεων, στην ενσωμάτωση εργαλείων ασφαλείας και στη διαπραγμάτευση προτεραιοτήτων. Ταυτόχρονα, οι ομάδες ασφαλείας εφαρμογών δεν μπορούν να κάνουν τη δουλειά τους χωρίς να επιβάλλουν τεράστιο «φόρο παραγωγικότητας» στους προγραμματιστές».

Το Endor, λοιπόν, κυκλοφόρησε ως πλατφόρμα για την ανάδειξη «προσιτών» και «εκμεταλλεύσιμων» κινδύνων στον ανοιχτό κώδικα, λέει ο Badhwar. Έκτοτε επεκτάθηκε για να γίνει υπηρεσία διακυβέρνησης αγωγών προγραμματισμού κώδικα και λογισμικού, εστιάζοντας στη δημιουργία ισχυρών προγραμμάτων ασφάλειας εφαρμογών.

Χρησιμοποιώντας το Endor, οι εταιρείες μπορούν να παρακολουθούν τη στάση ασφαλείας των αγωγών προγραμματιστή τους, να διαχειρίζονται την πρόσβαση προγραμματιστών στον κώδικα και να παρακολουθούν προσεκτικά τα μυστικά — π.χ. κωδικούς πρόσβασης — που είναι κωδικοποιημένα στις βάσεις κωδικών τους.

Πρόσφατα, η Endor κυκλοφόρησε το “DroidGPT”, ένα εργαλείο AI που βοηθά στην επιλογή ανοιχτού κώδικα συνδυάζοντας το chatbot του OpenAI, ChatGPT, με δεδομένα κινδύνου του Endor. Οι χρήστες μπορούν να λάβουν απαντήσεις σε ερωτήσεις όπως “Ποια είναι τα καλύτερα πακέτα καταγραφής για Java;” που περιλαμβάνουν βαθμολογίες κινδύνου που αποκαλύπτουν την ποιότητα, τη δημοτικότητα, την αξιοπιστία και την ασφάλεια κάθε πακέτου.

«Μέσα στις μεγάλες επιχειρήσεις, υπάρχουν συχνά εκατοντάδες, αν όχι χιλιάδες προγραμματιστές για κάθε μηχανικό ασφαλείας εφαρμογών», είπε ο Badhwar. «Τα στελέχη της C-suite κατανοούν ότι η ασφάλεια είναι ένα κρίσιμο μέρος οποιουδήποτε προϊόντος λογισμικού, αλλά παραμένουν επίσης ενήμεροι για τους λειτουργικούς προϋπολογισμούς. Το Endor Labs συμβάλλει στην εξισορρόπηση αυτής της εξίσωσης: Οι ομάδες ασφαλείας εφαρμογών μπορούν να αναδείξουν μόνο τους σημαντικούς κινδύνους και να συγκεντρώσουν τα στοιχεία που χρειάζονται για να επικοινωνήσουν γιατί πρέπει να αντιμετωπιστούν αυτοί οι κίνδυνοι».

Η Endor έχει κάποιο ανταγωνισμό στον χώρο διαχείρισης ασφάλειας ανοιχτού κώδικα — ο Badhwar ονομάζει τον Snyk ως έναν από τους μεγαλύτερους ανταγωνιστές. Αλλά ισχυρίζεται ότι η Endor δεν έχει άμεσο ανταγωνιστή.

«Οι υπάρχουσες λύσεις είναι σε μεγάλο βαθμό ελλιπείς και ανακριβείς – ακόμη και τα πιο προηγμένα εργαλεία και προσεγγίσεις SCA, που επικεντρώνονται κυρίως στη συμμόρφωση με τις άδειες και τις ευπάθειες, είναι σύντομες», είπε ο Badhwar. «Στην καλύτερη περίπτωση, παρακολουθούν έναν ενιαίο φορέα κινδύνου που υστερεί από μόνος του —

γνωστός

τρωτά σημεία, συνήθως σφάλματα στον καλοπροαίρετο κώδικα προγραμματιστών.”

Οι πωλητές μπορεί να διαφωνούν. Ωστόσο, εκτός από κάθε έκρηξη, η Endor’s κατάφερε να προσελκύσει πελάτες μέσα στα δύο πρώτα τρίμηνα των πωλήσεών της, συμπεριλαμβανομένων των Five9, RocketLawyer, MileIQ, Cowbell και Navan.

Ο Badhwar αναμένει ότι η Endor θα πετύχει κερδοφορία σε δύο χρόνια.

«Δεν υπάρχει αμφιβολία ότι η μοναδική μας προσέγγιση έχει απήχηση στην αγορά», είπε. «Η τεχνολογία αντιμετωπίζει ένα κρίσιμο αλλά σε μεγάλο βαθμό παραμελημένο πρόβλημα – καθώς η ζήτηση για την επόμενη γενιά προσαρμοσμένων εφαρμογών συνεχίζει να αυξάνεται και οι επιθέσεις στην υποδομή γίνονται πιο εξελιγμένες, αυτή η ζωτική κατηγορία θα συνεχίσει να κερδίζει εξέχουσα θέση. Από τότε που βγήκαμε από τη λειτουργία stealth το φθινόπωρο του 2022, έχουμε προσελκύσει ένα ευρύ φάσμα πελατών, επενδυτών και διακρίσεων. Η εταιρεία σαφώς ανταποκρίνεται σε μια επείγουσα ανάγκη και προσελκύει κορυφαία ταλέντα. Με τη νέα χρηματοδότηση, ήρθε η ώρα να προχωρήσουμε περισσότερο και ευρύτερα».