Цепочка поставок программного обеспечения, как известно, является пористой: 81% кодовых баз содержат уязвимости с открытым исходным кодом с высокой или критической риском. Одна уязвимость может оказать далеко идущее влияние на более широкую цепочку поставок программного обеспечения, о чем свидетельствуют такие, как Log4shell Exploit, в котором миллионы приложений подвергались воздействию потенциальных удаленных взломов выполнения кода через библиотеку журнала Log4J.
Северный ирландский запуск Cloudsmith намеревается решить эту проблему с помощью своей облачной «платформы управления артефактами», которую он рекламирует как более современную альтернативу платформам цепочек поставок программного обеспечения, такими как JFrog или Sonatype.
Чтобы помочь привести к следующему этапу роста, стартап в понедельник заявил, что он собрал 23 миллиона долларов в раунде финансирования серии B, возглавляемым TCV, с участием партнеров Insight Partners и некоторых возвращающихся инвесторов.
Новая сборка
«Артефакт» в контексте отрасли Cloudsmith относится к любому программному пакету, двоичному файлу или компоненту, который создается или распределяется во всем процессе разработки программного обеспечения. Это могут быть библиотеки и их зависимости, файлы конфигурации, скомпилированные приложения и многое другое.
В то время как компания обычно пишет свой собственный код, она обычно опирается на сторонние пакеты, хранящиеся в общедоступных реестрах с открытым исходным кодом. Эти пакеты требуются во время сборки (когда код будет составлен в исполняемый формат), но в этот момент пакет мог бы изменить версии или просто недоступен. Именно здесь Cloudsmith входит в драку, подавая «зеркала» этих пакетов.
«Cloudsmith служит частным реестром для этих бинарных артефактов, поэтому они всегда доступны для будущих сборки, даже если они меняются или исчезают из своих первоначальных источников», — сказал TechCrunch генеральный директор Cloudsmith Гленн Вайнштейн. «Cloudsmith гарантирует, что сборки являются повторяемыми и надежными и предоставляют централизованным режимам или командам инженеров платформы наглядность в то, что входит в их производственное программное обеспечение».
Но даже если пакет по-прежнему доступен в репозитории с открытым исходным кодом, он может разрабатывать проблемы безопасности с течением времени из-за отсутствия обслуживания или по более гнусным причинам. Вот почему Cloudsmith сканирует зависимости для уязвимостей, проблем с лицензированием и вредоносного ПО, прежде чем подвергать эти пакеты разработчикам в их средах кодирования.
Стоит отметить, что, хотя Cloudsmith может поддерживать пакеты, которые его клиенты разработали собственными силами, подавляющее большинство артефактов, хранящихся на платформе, представляют собой пакеты с открытым исходным кодом из обычных индексов, включая PYPI, Docker Hub, Maven Central и NPMJ.
«Все данные и программное обеспечение через Cloudsmith, поэтому Cloudsmith является контрольной точкой безопасности для зависимостей с открытым исходным кодом; Он сканирует, курирует и блокирует проблемные артефакты, прежде чем они достигнут производства », — сказал Вайнштейн. «Cloudsmith также раскрывает слепые точки, которые многие предприятия имеют с точки зрения четкого надзора за тем, какие артефакты они используют, будь то частные, публичные или открытые источники».
ОблакаКредиты изображения:Облака денег имеет значение
Основанный в Белфасте в 2016 году Аланом Карсоном и техническим директором Ли Скилленом, Cloudsmith ранее собрал 26 миллионов долларов в раунде серии A, который начался с 15 миллионов долларов в 2021 году и закончил с еще 11 миллионами долларов в 2023 году. Второй транш пришел вскоре после того, как Карсон перешел в главную роль в качестве главного офицера стратегии, а руководитель Twilio Weinstein появился в Ceo Ceo.
По словам Карсона, внедрение опытного стартапа и масштабирования предпринимателя позволило двум соучредителям сосредоточиться на продукте «Видение, дорожная карта и архитектуру», открывая его на более широкий спектр предприятий и инвесторов в сша, включая TCV и Particle Partners.
«Эти инвесторы являются сильным сигналом о том, что Cloudsmith превратился в лидерство в категории», — сказал Карсон TechCrunch по электронной почте. «Под руководством Гленна, Cloudsmith прямо повернулся к крупным предприятиям и их проблемам в контроле и обеспечении цепочек поставок программного обеспечения, а также при соблюдении строгих стандартов соответствия».
Большинство из 100 сотрудников Cloudsmith, включая двух основателей, базируются в Белфасте, но Вайнштейн говорит, что около трех четвертей его доходов сейчас поступает от клиентов в сша.
С новым финансированием, Cloudsmith планирует нанять через продажи, маркетинг и успех клиентов, а также инвестировать в НИОКР для новых приложений для искусственного интеллекта. Действительно, Вайнштейн сказал, что у него есть «уникальная возможность» для преобразования обширных банков программного пакета в «действенные идеи» для разработчиков.
«Мы хотим помочь разработчикам выбрать лучшие, более безопасные пакеты с открытым исходным кодом»,-сказал Вайнштейн. «Мы сделаем это, помогая командам кибербезопасности создавать внутренние кураторские реестры, где разработчику легче получить пакет из кураторского внутреннего репо, чем из государственного реестра».
Это, вероятно, будет включать в себя рекомендации, такие как переход из пакета, который редко обновляется или падает в популярность, в аналогичный пакет, который использовали другие клиенты Cloudsmith.
«Это советы, на которые разработчики полагаются сегодня, хотя и неофициально -« Эй, я слышал об этом пакете » — и превращают его в мгновенно доступные советы через платформу Cloudsmith», — сказал Вайнштейн.
