ソフトウェアサプライチェーンは、ソフトウェアを開発するために使用されるコンポーネントとプロセスからなるもので、危うい状態になっています。最近の1つの調査によると、企業の88%が、悪質なソフトウェアサプライチェーンのセキュリティが組織全体に「企業全体のリスク」をもたらすと考えています。
オープンソースのサプライチェーンコンポーネントは特に問題があり、それぞれのコンポーネントを適切にメンテナンスする障壁が高いことから、深刻な状況です。セキュリティ企業Synopsysは、2023年のレポートで、ビジネスの89%のコードベースが4年以上前のオープンソースツールを含んでいることを発見しました。Ponemon Instituteによる2024年のレポートによると、組織の半分以上がソフトウェアサプライチェーン攻撃を経験しています。これらの攻撃により、2026年までに経済に最大81億ドルの収益損失と損害をもたらすと、Juniper Researchが推定しています。
Socketは、オープンソースコードのセキュリティ脆弱性を検出するツールを提供するスタートアップで、この問題に取り組むために4000万ドルを調達しました。
CEOのFeross Aboukhadijehは、2020年にSocketを創設しました。Stanfordのウェブセキュリティ講師であり、多作なオープンソースメンテナーであるAboukhadijehは、従来のセキュリティツールが現代のソフトウェア開発の課題に対処するのに不十分であると考えるようになったと述べています。
“数千に及ぶ依存関係の広範なネットワークは、従来のツールが軽減できない重大なセキュリティリスクをもたらします”Aboukhadijeh氏はTechCrunchに語りました。依存関係は、アプリケーションが機能するために必要なソフトウェアやライブラリの部分です。「厳格な内部コードレビューを行っても、外部依存関係はソフトウェアサプライチェーン攻撃のリスクを導入し、それを検出および管理するのは難しい」とAboukhadijeh氏は続けました。
Socketの解決策は、オープンソースコンポーネントにおけるバックドアや難読化されたコードなどの悪意のある活動を検出し、依存関係やパッケージが更新または追加された際に開発者にアラートを送信するスキャナーです。
そして、SocketはAnthropicとOpenAIの生成AI APIと統合し、脆弱性の要約(虚幻の量が最小限であれば)を生成することができます。さらに、プラットフォームはオープンソースコードが適切にライセンスされているか(つまり法的に再利用可能か)をオプションで確認することができます。
“Socketは、オープンソースソフトウェアに大きく依存しているエンジニアリングチームやアプリケーションセキュリティチーム向けに設計されています”とAboukhadijeh氏は述べています。「開発者のワークフローにシームレスに統合され、コードレビューや依存関係の更新中にリアルタイムのインサイトを提供し、ユーザーに誤検知で過負荷をかけることなく、オープンソースソフトウェアサプライチェーン攻撃を受けやすい脆弱性等を警告します”。
これまで以上に多くのソフトウェア企業がオープンソースに依存しています。Open Source InitiativeとEclipse Foundationとの共同で公開された2023年のレポートによると、回答者の95%が、過去1年間に組織のオープンソース利用を増やしたか、少なくとも維持したと回答しています。
ソフトウェアサプライチェーンセキュリティプラットフォーム市場は、2027年までに最大3.5億ドルまで成長すると予想されているため、Socketには競合他社が存在するのは驚くことではありません。
Oligoはランタイムアプリケーションセキュリティと監視に焦点を当てた会社で、2月に2,800万ドルを調達してステルスモードから出ました。一方、$25 millionの資金を調達したEndorは、昨年10月にステルスモードから登場し、6月初旬に$50 millionを調達したChainguardに続きました。
Socketの印象的なバッカーや顧客リストから、これらの主張には信憑性があると考えられます。
エンタープライザーのElad GilとAndreessen Horowitzは、Yahooの共同創業者Jerry Yang(開示:YahooはTechCrunchの親会社です)、OpenAIの議長Bret Taylor、Twilioの共同創業者Jef Lawson、Shopifyの共同創業者兼CEOのTobias Lütkeと共に、SocketのシリーズBに参加しました。
一方、Socketの顧客には、Anthropic、Harvey、Figma、Vercel、米国の四大銀行の1つ、そして「最大かつ最も認知されているAI企業」などが含まれています(最後の1つは各自解釈してください)。
新しいシリーズBラウンドで調達された資金は、Aboukhadijeh氏がオープンソースの歴史における転換点と説明する時間にSocketがまだ使用していないシリーズAの資金をもたらしました。
“2024年に収益を400%増加させる形で成長している」とAboukhadijeh氏はTechCrunchに語りました。“Socketは現在、100以上の顧客を持ち、7,500以上の組織を保護し、30万個以上のコードリポジトリを守り、100万人以上の開発者をサポートしています”。
新しい資金調達により、Socketの総調達額は6500万ドルになりました。今後の拡大を見据えて、Stanfordを拠点とする企業のエンジニアリング、プロダクト、デザイン、セールスの面で、チームを今年末までに50人に拡大する計画です。
元記事はこちら
