软件供应链攻击的增加,如 SolarWinds 黑客攻击,促使拜登政府去年发布行政命令,要求供应商提供软件材料清单 (SBOM)。理论上,SBOM 可以帮助安全团队了解新披露的漏洞是否会影响他们。但行业专家警告说,它们并不总是足够全面,无法防止攻击或解决确保供应链安全的挑战。
一家名为Ox Security的初创公司正在推进一种替代 SBOM 的方法,它称之为管道物料清单 (PBOM),Ox 声称它不仅涵盖了最终软件产品中的代码,还涵盖了影响整个软件的程序和流程。它的发展。 PBOM 似乎正在获得牵引力。尽管成立不到一年,Ox 已经筹集了 3400 万美元的种子资金——它今天披露了这一事实——并拥有 30 个客户,包括 FICO、Kaltura 和 Marqeta。
迄今为止的投资者包括 Evolution Equity Partners、Team8、Rain Capital 和微软的风险基金 M12。
“当臭名昭著的 SolarWinds 攻击发生时,我记得整个行业都感受到了巨大的压力,”前 Check Point 高管、首席执行官 Neatsun Ziv 在电子邮件采访中告诉 TechCrunch。 “在与我的联合创始人 Lior Arzi 集思广益时,我们谈到了对端到端供应链解决方案的需求——这种解决方案不仅关注进入最终产品的代码,而且完全关注在整个开发生命周期中可能影响软件的程序和过程。 2021 年底,我们成立了 Ox Security 来构建这个解决方案。”
在开发 PBOM 时,Ziv 声称 Ox 对过去一年中 70 多次攻击的根本原因进行了“广泛”研究。他说,PBOM 旨在包含可能阻止攻击的信息,如果这些信息在当时很容易获得,并与利益相关者共享,以便他们可以验证他们使用的软件是否来自受信任、安全的软件建造。
图片来源: Ox Security
Ox 的平台利用 PBOM,与现有的软件开发工具和基础架构集成,以记录影响整个开发生命周期的软件的操作。它连接到组织的代码存储库并执行从“代码到云”的环境扫描,生成可检测资产、应用程序和管道的地图。
Ox 还尝试识别正在使用的安全工具,验证它们是否可操作,并确定是否需要其他工具。然后,该平台会突出显示它发现的任何安全问题,并根据其业务影响以及自动修复和建议进行优先级排序。
“大多数 IT 部门人手不足,缺乏可见性,并且难以确定跨工程和 DevOps 的安全项目的优先级。这导致了‘影子开发’和 DevOps——软件开发工具和流程不受安全团队的控制和所有权,”Ziv 继续说道。 “还严重缺乏自动化,导致手工工作,并导致这些角色的人员流失率很高。 Ox 平台通过提供持续可见性、优先考虑风险、自动化手动工作流程以及保护 GitLab、Jenkins、工件注册表和生产等 [软件开发] 元素的状态来解决这些问题。”
PBOM 至少目前是一个自愿规范。 Ox 与 Legit Security、 Cycode和 Apiiro 等供应商竞争,据报道,Palo Alto Networks 接近以 5.5 亿美元收购后者。但 Ziv 断言 OX 正在赢得人们的关注,并指出这家初创公司的客户群只有 30 多个品牌。
“我们完全专注于建立公司并扩大我们服务的客户数量。到目前为止,由于攻击次数的增加,我们只看到需求增加,”Ziv 说。 “如果你看看以前的低迷时期,就会发现每一次都有非常成功的公司起步。因此,我们试图着迷于解决安全风险,而不是市场可能发生的事情。我们将与希望看到这一愿景成为现实的强大合作伙伴一起踏上这段旅程。”
M12 管理合伙人 Mony Hassid 在电子邮件声明中补充道:“供应链攻击呈上升趋势,攻击面不断扩大。当涉及到软件安全性和完整性时,您必须超越使用了哪些组件,并考虑整个开发过程中的整体安全状况。 Ox 正在开创一个对供应链安全具有变革意义的标准。我们很自豪能与 OX 合作提高软件安全性。”
凭借种子轮的收益,Ox 计划到 2023 年底将其 30 名员工人数增加一倍。
Ox Security 获得 3400 万美元的种子资金来加强软件供应链,作者Kyle Wiggers最初发表在TechCrunch上