ソフトウェアの供給チェーンは悪名高く、報告された81%のコードベースには高いまたは重大なリスクのあるオープンソースの脆弱性が含まれています。1つの脆弱性が、Log4Shell exploitのように、Log4jログライブラリを介して数百万のアプリケーションが潜在的なリモートコード実行ハックの影響を受けました。
北アイルランドのスタートアップ、Cloudsmithは、この問題を解決するために、レガシーソフトウェア供給チェーンプラットフォームであるJFrogやSonatypeよりも近代的な代替手段としてPRできるクラウドネイティブの「アーティファクト管理プラットフォーム」を打ち出しています。
成長の次の段階を支援するため、スタートアップは月曜日にTCVを中心とするファイナンスのシリーズBラウンドで2300万ドルを調達したと発表しました。Insight Partnersやいくつかのリターニングな投資家も参加しています。
新ビルド
Cloudsmithの業界における「アーティファクト」とは、ソフトウェア開発プロセスで作成または配布されるソフトウェアパッケージ、バイナリファイル、またはコンポーネントを指します。ライブラリやその依存関係、構成ファイル、コンパイルされたアプリケーションなどがこれに当たります。
企業は通常、独自のコードを記述しますが、一般に、公開のオープンソースレジストリに保存されているサードパーティのパッケージに依存します。これらのパッケージはビルド時(コードが実行可能な形式にコンパイルされるとき)に必要ですが、その時点でパッケージがバージョンが変更されたり、単に利用できなくなったりする可能性があります。ここでCloudsmithが登場し、これらのパッケージの「ミラー」を提供します。
CloudsmithのCEO Glenn Weinsteinによると、「Cloudsmithはこれらのバイナリアーティファクトのプライベートレジストリとして機能し、これらが将来のビルドで常に利用できるようにし、元のソースから変更されたり消えたりしても対処できます。Cloudsmithはビルドが繰り返し可能で信頼性があり、中央集権型のDevOpsまたはプラットフォームエンジニアリングチームに、製品ソフトウェアに入っているものを見える化します。」
しかし、パッケージがオープンソースレポジトリにまだ利用可能であっても、メンテナンス不足やより悪質な理由により、時間が経過するとセキュリティの問題が発生する可能性があります。これが、Cloudsmithがこれらのパッケージを開発者に公開する前に、依存関係の脆弱性、ライセンスの問題、悪意のあるソフトウェアをスキャンする理由です。
Cloudsmithは、顧客が社内で開発したパッケージをサポートできますが、プラットフォームに保存されているアーティファクトの大部分は、PyPi、Docker Hub、Maven Central、およびNpmjsを含む通常のインデックスからのオープンソースパッケージです。
アラン・カーソンAlan CarsonとCTOのLee Skillenによって2016年にベルファストで設立されたCloudsmithは、これまでにシリーズAラウンドで2600万ドルを調達し、2021年に1500万ドルで開始され、さらに2023年に1100万ドルが追加されました。2回目の資金調達は、カーソンが最高戦略責任者の役割に移行し、TwilioのチーフカスタマーオフィサーであるウェインスタインがCEOに 就任した後に行われました。
カーソンによると、経験豊富なスタートアップおよびスケールアップの起業家を招聘することで、2人の共同創業者は製品「ビジョン、ロードマップ、アーキテクチャ」にさらに焦点を当て、U.S.のより幅広い企業と投資家に開放されました。これにはTCVやInsight Partnersも含まれます。
カーソンはメールでTechCrunchに対し、「これらの投資家はCloudsmithがカテゴリーのリーダーシップに移行したことの強力なシグナルである。Glennの指導の下、Cloudsmithは大企業と彼らのソフトウェア供給チェーンを管理し、保護し、厳格なコンプライアンス基準を満たす課題に焦点を当てました。」と述べました。
2人の創業者を含むCloudsmithの従業員のほとんどはベルファストに拠点を置いていますが、ウェインスタインによれば、その収益の3分の4は現在、米国の顧客から得られています。
新たな資金調達により、Cloudsmithは営業、マーケティング、顧客成功の分野で採用し、新しいAIアプリケーションのためのR&Dに投資する予定です。実際、ウェインスタインは、広大なソフトウェアパッケージ消費データを開発者向けに「実行可能な洞察」に変える「ユニークな機会」があると述べました。
ウェインスタインは、「開発者がより良い、安全なオープンソースパッケージを選択できるようにしたい。」と述べ、「これにより、サイバーセキュリティチームが内部でキュレーションされたレジストリを作成しやすくし、開発者が公開レジストリからではなくキュレーションされた内部レポジトリからパッケージを入手しやすくするお手伝いをします。」と述べました。
これには、パッケージを切り替えるよう勧めることが含まれる可能性があります。それは、更新頻度が低いか、人気が低下しているパッケージから、他のCloudsmithの顧客が採用している似たようなパッケージに切り替えることが含まれるでしょう。
ウェインスタインは、「これは、今日の開発者が非公式に依頼しているアドバイス、’ねえ、このパッケージについて聞いた’を、Cloudsmithプラットフォームを介して即座に利用可能なアドバイスに変えるものです。」と述べました。
元記事はこちら
