منو سایت

Chainguard 50 میلیون دلار برای محافظت از زنجیره تامین جمع آوری می کند

 تاریخ انتشار :
/
  اخبار استارتاپ
Log4Shell برای هک سرورهای VMWare استفاده می شود

Chainguard، استارت‌آپی که بر ارائه زنجیره‌های تامین نرم‌افزار تمرکز دارد، امروز اعلام کرد که 50 میلیون دلار بودجه سری A به رهبری Sequoia Capital جمع‌آوری کرده است. Amplify، Chainsmokers’ Mantis VC، LiveOak Venture Partners، Banana Capital، K5 / JPMC و CISO از Google و Square، در میان دیگران، نیز در این دور شرکت کردند.

علاوه بر بودجه جدید، این شرکت که در حال حاضر تنها 8 ماه از عمر آن می گذرد، امروز اولین مجموعه تصاویر اولیه خود از کانتینرها را منتشر کرد که Chainguard قول می دهد هیچ آسیب پذیری شناخته شده ای نداشته باشد و دائماً به روز می شود. این تصاویر به طور کامل امضا شده و شامل یک لیست نرم افزار (SBOM) خواهد بود.

مهندسان امنیت عادت دارند به ریشه‌های اعتماد فکر کنند، از سیستم‌های احراز هویت و شناسایی دو مرحله‌ای استفاده کنند و با استفاده از کلیدهای رمزگذاری به سخت‌افزار اعتماد کنند. اما امروز ما آن را برای کد منبع و مصنوعات نرم افزاری نداریم. “چشم انداز ما این است که این ریشه های اعتماد را در طول چرخه عمر توسعه و در زنجیره تامین نرم افزار به هم وصل کنیم و به توسعه دهندگان و CISO نسبت به کدی که در تولید و یکپارچگی سیستم های خود اجرا می کنند اطمینان دهیم.”

علاوه بر این تصاویر پایه جدید، Chainguard قبلاً سرویس حجم کاری کانتینر Enforce خود را ارائه کرده است. Enforce که بر روی Sigstore، ابزارهای منبع باز برای امضای کد رمزنگاری، تأیید این امضاها و ممیزی همه این داده ها، و همچنین سایر ابزارهای منبع باز مانند Knative و سایر خدمات ابری ساخته شده است، به کسب و کارها اجازه می دهد تا سیاست های زنجیره تامین خود را بر اساس چارچوب SLSA و چارچوب توسعه نرم افزار امن NIST. با انجام این کار، آن‌ها می‌توانند، برای مثال، کدهایی را که می‌توانند در کجا اجرا شوند، اجرا کنند و اطمینان حاصل کنند که توسعه‌دهندگان و تیم‌های امنیتی از چه چیزی برای ساختن نرم‌افزار در یک شرکت استفاده می‌شود، می‌دانند.

از آنجایی که تعداد کمی از توسعه دهندگان می خواهند ابزارهای بیشتری را به کارنامه خود اضافه کنند (در نهایت، شما فقط می توانید به سمت چپ حرکت کنید)، تیم تلاش می کند تا نصب سرویس را به آسانی اجرای یک فرمان ساده کند، و همچنین از سیستم های اتوماسیون پشتیبانی می کند. به عنوان CloudFormation و Terraform.

این واقعیت که Chainguard بر حفاظت از فناوری های ابری تمرکز می کند، تعجب آور نیست. از بنیانگذاران آن می توان به ویل آیکاس، کیم لواندوفسکی، مت مور (CTO) و اسکات نیکل اشاره کرد که قبلاً با گوگل بوده و به طور فعال در جامعه منبع باز مشارکت دارند.

ماه گذشته در رویداد KubeCon / CloudNativeCon در اسپانیا با Aikas، که بخشی از تیم اولیه Google Kubernetes و مدیر فناوری Knative Eventing بود، ملاقات کردم. او خاطرنشان کرد که Enforce اولین قطعه از پازل Chainguard است.

“پیاده سازی با این نگرش انجام می شود که ما درک می کنیم که زنجیره طولانی است و ما شروع به مقابله با آن خواهیم کرد، و نه با تفکر” اوه، بله، عالی است، این پرچم “حتماً” است. ما روغن مار نمی سازیم. ایده این است که یک پلت فرم فناوری جامد بسازیم، که سپس می توانیم از آن استفاده کنیم، وارد شویم و ویژگی هایی را به آن اضافه کنیم و شروع به وصل کردن سوراخ ها در مدارهای مختلف کنیم. برنامه بخش اول آن است و قسمت دوم تصاویر.

او همچنین خاطرنشان کرد که ماموریت کلی Chainguard بهبود تجربه توسعه دهنده است – در حالی که زنجیره های تامین نرم افزار را ارائه می دهد.

جای تعجب نیست که این شرکت قصد دارد از بودجه جدید برای تسریع توسعه محصول استفاده کند. اما علاوه بر این، Chainguard همچنین قصد دارد در پروژه‌های منبع باز مانند Sigstore، SLSA و OpenSSF، و همچنین یک برنامه آموزشی جدید توسعه‌دهنده که بر امنیت زنجیره تامین تمرکز دارد، سرمایه‌گذاری زیادی کند.

بوگومیل بالکانسکی، یکی از شرکای Sequoia Capital، گفت: «حملات در زنجیره تأمین نرم‌افزار با سابقه مانند Log4j نیاز به ایجاد اعتماد در شرکت‌های نرم‌افزاری را که در تولید سرمایه‌گذاری می‌کنند، برجسته کرده است. Chainguard به شرکت‌ها به نرم‌افزار متن‌باز حیاتی که پیاده‌سازی می‌کنند اطمینان می‌دهد و به توسعه‌دهندگان راه آسانی برای امضا و تأیید مصنوعات نرم‌افزاری ارائه می‌کند تا بتوانند در صورت وقوع نقض، ردیابی داشته باشند. تیم Chainguard رهبران فکری در این فضا هستند و این تیم مناسب در زمان مناسب در تاریخ برای مقابله با این مشکل است.