Chainguard، استارتآپی که بر ارائه زنجیرههای تامین نرمافزار تمرکز دارد، امروز اعلام کرد که 50 میلیون دلار بودجه سری A به رهبری Sequoia Capital جمعآوری کرده است. Amplify، Chainsmokers’ Mantis VC، LiveOak Venture Partners، Banana Capital، K5 / JPMC و CISO از Google و Square، در میان دیگران، نیز در این دور شرکت کردند.
علاوه بر بودجه جدید، این شرکت که در حال حاضر تنها 8 ماه از عمر آن می گذرد، امروز اولین مجموعه تصاویر اولیه خود از کانتینرها را منتشر کرد که Chainguard قول می دهد هیچ آسیب پذیری شناخته شده ای نداشته باشد و دائماً به روز می شود. این تصاویر به طور کامل امضا شده و شامل یک لیست نرم افزار (SBOM) خواهد بود.
مهندسان امنیت عادت دارند به ریشههای اعتماد فکر کنند، از سیستمهای احراز هویت و شناسایی دو مرحلهای استفاده کنند و با استفاده از کلیدهای رمزگذاری به سختافزار اعتماد کنند. اما امروز ما آن را برای کد منبع و مصنوعات نرم افزاری نداریم. “چشم انداز ما این است که این ریشه های اعتماد را در طول چرخه عمر توسعه و در زنجیره تامین نرم افزار به هم وصل کنیم و به توسعه دهندگان و CISO نسبت به کدی که در تولید و یکپارچگی سیستم های خود اجرا می کنند اطمینان دهیم.”
علاوه بر این تصاویر پایه جدید، Chainguard قبلاً سرویس حجم کاری کانتینر Enforce خود را ارائه کرده است. Enforce که بر روی Sigstore، ابزارهای منبع باز برای امضای کد رمزنگاری، تأیید این امضاها و ممیزی همه این داده ها، و همچنین سایر ابزارهای منبع باز مانند Knative و سایر خدمات ابری ساخته شده است، به کسب و کارها اجازه می دهد تا سیاست های زنجیره تامین خود را بر اساس چارچوب SLSA و چارچوب توسعه نرم افزار امن NIST. با انجام این کار، آنها میتوانند، برای مثال، کدهایی را که میتوانند در کجا اجرا شوند، اجرا کنند و اطمینان حاصل کنند که توسعهدهندگان و تیمهای امنیتی از چه چیزی برای ساختن نرمافزار در یک شرکت استفاده میشود، میدانند.
از آنجایی که تعداد کمی از توسعه دهندگان می خواهند ابزارهای بیشتری را به کارنامه خود اضافه کنند (در نهایت، شما فقط می توانید به سمت چپ حرکت کنید)، تیم تلاش می کند تا نصب سرویس را به آسانی اجرای یک فرمان ساده کند، و همچنین از سیستم های اتوماسیون پشتیبانی می کند. به عنوان CloudFormation و Terraform.
این واقعیت که Chainguard بر حفاظت از فناوری های ابری تمرکز می کند، تعجب آور نیست. از بنیانگذاران آن می توان به ویل آیکاس، کیم لواندوفسکی، مت مور (CTO) و اسکات نیکل اشاره کرد که قبلاً با گوگل بوده و به طور فعال در جامعه منبع باز مشارکت دارند.
ماه گذشته در رویداد KubeCon / CloudNativeCon در اسپانیا با Aikas، که بخشی از تیم اولیه Google Kubernetes و مدیر فناوری Knative Eventing بود، ملاقات کردم. او خاطرنشان کرد که Enforce اولین قطعه از پازل Chainguard است.
“پیاده سازی با این نگرش انجام می شود که ما درک می کنیم که زنجیره طولانی است و ما شروع به مقابله با آن خواهیم کرد، و نه با تفکر” اوه، بله، عالی است، این پرچم “حتماً” است. ما روغن مار نمی سازیم. ایده این است که یک پلت فرم فناوری جامد بسازیم، که سپس می توانیم از آن استفاده کنیم، وارد شویم و ویژگی هایی را به آن اضافه کنیم و شروع به وصل کردن سوراخ ها در مدارهای مختلف کنیم. برنامه بخش اول آن است و قسمت دوم تصاویر.
او همچنین خاطرنشان کرد که ماموریت کلی Chainguard بهبود تجربه توسعه دهنده است – در حالی که زنجیره های تامین نرم افزار را ارائه می دهد.
جای تعجب نیست که این شرکت قصد دارد از بودجه جدید برای تسریع توسعه محصول استفاده کند. اما علاوه بر این، Chainguard همچنین قصد دارد در پروژههای منبع باز مانند Sigstore، SLSA و OpenSSF، و همچنین یک برنامه آموزشی جدید توسعهدهنده که بر امنیت زنجیره تامین تمرکز دارد، سرمایهگذاری زیادی کند.
بوگومیل بالکانسکی، یکی از شرکای Sequoia Capital، گفت: «حملات در زنجیره تأمین نرمافزار با سابقه مانند Log4j نیاز به ایجاد اعتماد در شرکتهای نرمافزاری را که در تولید سرمایهگذاری میکنند، برجسته کرده است. Chainguard به شرکتها به نرمافزار متنباز حیاتی که پیادهسازی میکنند اطمینان میدهد و به توسعهدهندگان راه آسانی برای امضا و تأیید مصنوعات نرمافزاری ارائه میکند تا بتوانند در صورت وقوع نقض، ردیابی داشته باشند. تیم Chainguard رهبران فکری در این فضا هستند و این تیم مناسب در زمان مناسب در تاریخ برای مقابله با این مشکل است.