越来越多的公司用于开发软件的代码是开源的。在软件供应链管理平台 Tidelift 2018 年的一项调查中,92% 的专业软件开发人员表示他们的应用程序包含开源库。虽然这是一个积极的趋势——开源带来了很多好处,尤其是透明度——但它也有它的缺点,比如对代码是否包含漏洞的可见性低。
许多供应商正在解决开源安全问题,提供扫描包的元数据和描述符以查找已知漏洞的工具。但 Varun Badhwar 认为他们做得还不够。他是Endor Labs的联合创始人,这是一家拥有 30 多名员工的初创公司,它使用图形分析技术来了解组织内如何使用依赖关系并创建风险指标。
为了显示投资者的兴趣,Endor(今天以私人测试版秘密推出)迄今已从 Lightspeed Venture Partners、Dell Technologies Capital、Sierra Ventures 和天使投资人(包括 Palo Alto Networks 首席执行官 Nikesh Arora)吸引了 2500 万美元。 Badhwar 告诉 TechCrunch,之前未披露的资金用于支持增长,同时继续扩大 Endor 的研发。
“如果软件供应链的风险还不是董事会的优先事项,他们很快就会成为,”巴德瓦尔在电子邮件采访中告诉 TechCrunch。 “开源软件为开发速度提供了丰富的资源,但大量的依赖蔓延阻碍了开发并增加了攻击面。这些数字确实是惊人的:一个典型的大型企业——例如拥有 10,000 多名员工的企业——拥有超过 200 万的总依赖项。因此,开发人员难以维护、排除故障和更新依赖关系,并浪费大量时间来处理误报引发的警报疲劳。同时,安全团队缺乏真正的可见性……虽然这个问题看起来是技术性的,但在这个应用驱动的时代,它会影响运营的方方面面。”
在 Badhwar 看来,美国国土安全部最近发布的一份报告发现,美国政府内阁机构花了几个月的时间来应对 Apache 的 Log4j2 库中的漏洞,这是一种基于 Java 的日志记录实用程序,部分原因是其安全团队遇到了麻烦识别易受攻击的软件包在其软件环境中的位置。白宫已表示承诺解决更广泛的软件供应链安全问题,公开宣布这是一个国家安全问题,并发布了一项旨在建立缓解标准的行政命令。
在共同创立 Endor 之前,Badhwar 领导着 RedLock,这是一家云基础设施安全初创公司,于 2018 年被 Palo Alto Networks 收购。他在收购后担任 Palo Alto Networks 的高级副总裁兼 Prisma Cloud 总经理,与首席技术官 Dimitri Stiliadis 并肩工作。通过公司收购他的创业公司 Aporeto 来到帕洛阿尔托。 Stiliadis 还曾任阿尔卡特朗讯风险投资部门和 Nuage Networks 的首席技术官,后者是一家开发软件定义网络解决方案的科技公司。
Badhwar 说,在 2020 年SolarWinds漏洞之后,他们被激励开发一种服务,可以更好地分析软件更新和代码部署的潜在影响。他们都认为现有工具错过了“一整类”供应链攻击,并让公司陷入对漏洞的误报——例如由善意的开发人员代码中的错误引起的漏洞——而没有提供优先修复的方法。
图片来源: Endor Labs
“现代应用程序中 80% 的代码不是由公司内部的开发人员编写的,而是在未经任何验证的情况下从互联网上的开源包中提取的,我们确定平均而言,企业通常依赖于 40,000 多个开源包.反过来,这些中的每一个平均会带来 77 个额外的依赖项,”Badhwar 说,他指的是调查显示安全团队对警报不堪重负和不敏感。 “这会导致大规模且无法控制的蔓延,从而减缓开发速度,同时增加攻击面。”
为了尝试解决这个问题,Endor 应用了 Badhwar 所谓的“深度程序分析”来为组织的软件构建依赖关系图。该图显示了组织内如何使用依赖项——特别是从代码中调用了哪些依赖项,哪些是未使用的以及哪些易受攻击的包是可利用的。每个依赖项都会根据质量、安全性、维护者活动、受欢迎程度和交叉引用的 CI/CD 数据获得分数。
Endor 还提供用于衡量安全性和运营风险以及删除未使用或未维护的依赖项的工具。 Badhwar 指出,该图可用于创建软件材料清单,为公司的软件清单建立事实来源。
“我们的依赖生命周期管理平台具有对整个依赖图的整体和深入的可见性,提供了一个多维信号,既可以查明风险并确定风险的优先级,并帮助客户大规模选择、保护、监控和维护更好的依赖关系,”巴德瓦尔说。 “我们已经建立并将继续进一步开发的是一个平台,它能够以更快、更轻松和更安全的方式实现智能决策和开发,包括大规模重用软件。”
虽然 Badhwar 声称 Endor 的平台比大多数平台更全面,但该领域的新竞争对手经常出现。就在 9 月,提供加强企业软件供应链服务的Ox Security以 3400 万美元的资金秘密启动。另一个竞争对手Chainguard已经筹集了数百万美元来构建开源软件的安全工具。还有Cycode和Dustico ,后者在 2021 年 8 月被 Checkmarx 以未公开的金额收购。
总部位于帕洛阿尔托的 Endor 不仅要与初创公司竞争。 5 月,一个包括谷歌、亚马逊、爱立信、英特尔、微软和 VMware 在内的行业组织承诺提供 3000 万美元,与 Linux 基金会和开源安全基金会合作,以提高开源软件的安全性。但拒绝透露有关 Endor 客户群或收入的任何指标的 Badhwar 并不认为这些对业务构成威胁。
这不一定是一种鲁莽的心态。 根据Momentum Cyber 的数据,2022 年上半年风险投资在 531 笔交易中投资 125 亿美元,与 2021 年上半年(126 亿美元)相当。
“我们有很大的愿望在一个非常大的市场中解决棘手的技术问题……过去一年,Endor 一直在秘密运营,并且在那段时间吸引了重要的客户和潜在客户,”Badhwar 说。 “时间证明是理想的,因为开源软件安全已经成为全国乃至全球的焦点……去年,超过 75 个组织向我们提供了反馈,我们已将其纳入产品中,并且目前处于私人测试阶段,有几家公司的员工人数从 200 到 35,000 不等。”
Endor 以 2500 万美元从秘密中脱颖而出,以保护软件供应链,作者Kyle Wiggers最初发表在TechCrunch上