Le vice-président du DNC, Malcolm Kenyatta, a qualifié la « confusion…

L’agent de la superstar de Barcelone prêt pour des réunions clés…

Mohamed Al-Fayed accusé de viol : Une Américaine critique la pratique…

Logiciels

Socket décroche un investissement de 20 millions de dollars pour aider les entreprises à sécuriser les logiciels open source | TechCrunch

Lire aussi :

Les actions de HubSpot chutent de 12 % après…

Un nouveau groupe de ransomware exploite la vulnérabilité du…

« />

Crédits image : Sitthiphong / Getty Images

Socket, une startup qui fournit un outil d’analyse pour détecter les vulnérabilités de sécurité dans le code open source, a annoncé aujourd’hui avoir levé 20 millions de dollars lors d’un tour de table de série A dirigé par Andreessen Horowitz (a16z).

La tranche avait la participation d’Abstract Ventures, Wndrco, Unusual Ventures et une liste impressionnante d’investisseurs providentiels, y compris les co-fondateurs de Box (Aaron Levie), Figma (Dylan Field), Okta (Frederic Kerrest), Vercel (Guillermo Rauch) et Eventbrite (Julia et Kevin Hartz).

Le PDG Feross Aboukhadijeh a déclaré que le nouvel argent ainsi que l’investissement initial de 4,6 millions de dollars de Sockets, qui porte le total de la société à 24,6 millions de dollars, seront consacrés à la croissance de l’équipe de Sockets et à l’expansion de son support pour davantage de langages de programmation et d’intégrations.

Au cours de la dernière décennie, il est devenu clair que les logiciels open source ont gagné, a déclaré Aboukhadijeh à TechCrunch dans une interview par e-mail. Le partage de code librement a rendu considérablement moins cher et plus rapide la création de logiciels et l’innovation technologique s’est accélérée en conséquence. Mais la sécurité a souvent été une réflexion après coup. La nouvelle technologie se répand parce qu’elle est utile et non parce qu’elle est sûre. Les criminels exploitent la confiance dans les logiciels open source pour mener des attaques effrontées qui propagent des logiciels malveillants destructeurs.

Il est difficile d’argumenter avec ce point de vue. Selon une récente enquête Tidelift, seulement 15 % des organisations sont extrêmement confiantes dans leurs pratiques de gestion open source. (Certes, Tidelifts est un concurrent de Socket et n’est donc pas la source la plus objective.) La majorité, selon l’enquête, s’inquiètent de la mise à jour, de la sécurité et de la bonne maintenance des logiciels open source.

Ces organisations ont raison de s’inquiéter. La société de sécurité Synopsys a découvert dans son étude de tendance de 2023 que 89 % des bases de code des entreprises contenaient des codes open source obsolètes depuis plus de quatre ans. Pendant ce temps, 91% utilisaient des composants logiciels ouverts qui n’étaient pas la dernière version disponible.

Le taux d’attaques de la chaîne d’approvisionnement des logiciels continue d’augmenter à un rythme astronomique, a déclaré Aboukhadijeh. Associés à des sanctions réglementaires plus strictes en cas de violation, à des règles de déclaration obligatoires, ainsi qu’à une explosion de l’utilisation de l’open source au sein des organisations, les risques et la prise de conscience de ces risques n’ont jamais été aussi importants.

Aboukhadijeh, mainteneur open source prolifique et conférencier en sécurité Web à Stanford, affirme que Socket est la solution à ces problèmes de sécurité des logiciels open source. C’est tout à fait l’affirmation, compte tenu de la multitude d’autres startups et titulaires qui prétendent la même chose.

Oligo, une entreprise qui se concentre sur la sécurité et l’observabilité des applications d’exécution pour détecter et prévenir les vulnérabilités open source, est sortie furtivement en février avec 28 millions de dollars en capital-risque. Endor est sorti furtif avec 25 millions de dollars en octobre dernier, après que Chainguards a levé 50 millions de dollars début juin. Ailleurs, il y a Stacklok, Arnica et Ox Security, qui ont réuni plus de 50 millions de dollars.

Google propose également un service, Assured Open Source Software, conçu pour aider les développeurs à se défendre contre les attaques de sécurité de la chaîne d’approvisionnement en scannant et en analysant régulièrement les vulnérabilités dans certaines des bibliothèques de logiciels les plus populaires au monde.

Aboukhadijeh dit que ce qui rend Socket différent, c’est qu’il ne se contente pas de rechercher les logiciels qu’un client utilise pour voir si les vulnérabilités ont été signalées dans des bases de données publiques. Au lieu de cela, il va plus loin, essayant de réduire le bruit qui pourrait survenir lors de l’analyse de milliers de lignes de code tiers.

Contrairement à un scanner de sécurité traditionnel, Socket peut réellement détecter une attaque active de la chaîne d’approvisionnement et vous aider à la bloquer, a expliqué Aboukhadijeh. Et contrairement à un outil d’analyse statique traditionnel, Socket fournit des informations exploitables sur le risque de dépendance au lieu de centaines d’alertes sans signification.

Plus précisément, Socket recherche les drapeaux rouges de haut niveau dans les logiciels, tels que les logiciels malveillants, les fautes de frappe (enregistrement de noms de domaine souvent mal orthographiés à des fins malveillantes), les packages trompeurs et le code non maintenu en plus des responsables inconnus et des autorisations excessives. La plate-forme offre une fonction de recherche qui permet aux utilisateurs de plonger dans une base de code pour trouver et suivre les changements dans les dépendances, ainsi qu’une extension gratuite pour les navigateurs Web qui tente de déterminer si un package open source est sécurisé et digne de confiance.

Dans la tendance de la ruée vers l’IA générative, Socket a récemment introduit un connecteur pour ChatGPT, le chatbot basé sur l’IA d’OpenAI, qui résume les problèmes potentiels dans les packages logiciels, en particulier les modèles de code peu courants.

La plupart des logiciels de sécurité sont généralement vendus aux cadres, il a donc tendance à être nul de les utiliser réellement, a déclaré Aboukhadijeh. Nous avons adopté une approche différente pour créer un produit que les développeurs adorent. Et pour cette raison, nous avons vu que les équipes de sécurité sont en fait ravies de déployer Socket auprès de leurs développeurs, ce qui est malheureusement assez rare dans l’industrie.

Mais est-ce que tout est fanfaronnade ? J’étais tenté de le penser, journaliste cynique que je suis mais peut-être pas. Depuis sa création en 2020, Socket, basée à San Francisco, a attiré des clients connus, notamment Brave, Figma et Vercel (notez que les co-fondateurs de ces deux derniers ont fini par investir dans Socket). Et si l’entreprise maintient sa trajectoire actuelle, Aboukhadijeh s’attend à ce qu’elle double de taille, du moins en termes d’effectifs, dans les prochains mois. L’accent est mis sur la croissance des équipes d’ingénierie, de sécurité, d’exploitation, de vente et de marketing de Sockets.

La sécurité, plus que d’autres industries, prospère grâce au bouche-à-oreille, a ajouté Aboukhadijeh. Nous sommes fiers de dire que nos utilisateurs adorent Socket, et c’est ce qui motive notre forte demande.



www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les actions de HubSpot chutent de 12 % après qu’Alphabet ait…

Un nouveau groupe de ransomware exploite la vulnérabilité du logiciel…

Comment les équipes de plateformes créent des entreprises meilleures,…

Datadog (NASDAQ:DDOG) : meilleurs résultats du premier trimestre pour…

iOS 18 propose un nouveau fond d’écran dynamique aux couleurs…

8 raisons pour lesquelles les développeurs aiment Go et 8 raisons pour…

1 De 351

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite