A cadeia de fornecimento de software, que compreende os componentes e processos utilizados para desenvolver software, tornou-se precária. De acordo com um recente enquete88% das empresas acreditam que a segurança deficiente da cadeia de fornecimento de software representa um “risco para toda a empresa” para as suas organizações.
Os componentes da cadeia de abastecimento de código aberto são especialmente difíceis, graças aos obstáculos logísticos para manter cada componente bem conservado. Empresa de segurança Synopsys encontrado em seu relatório de 2023, 89% das bases de código das empresas continham ferramentas de código aberto desatualizadas há mais de quatro anos. Um 2024 relatório do Ponemon Institute descobriu que mais da metade das organizações sofreram um ataque à cadeia de suprimentos de software. Estes ataques poderão custar à economia quase 81 mil milhões de dólares em perdas de receitas e danos até 2026, estimativas Pesquisa Junípero.
Soqueteuma startup que fornece ferramentas para detectar vulnerabilidades de segurança em código-fonte aberto, arrecadou US$ 40 milhões para ajudar a resolver o problema.
O CEO Feross Aboukhadijeh fundou a Socket em 2020. Um prolífico mantenedor de código aberto e palestrante de segurança da web em Stanford, Aboukhadijeh diz que passou a acreditar que as ferramentas de segurança tradicionais eram insuficientes para enfrentar os desafios do desenvolvimento de software moderno.
“A extensa rede de dependências – que chega a milhares – representa riscos de segurança significativos que as ferramentas tradicionais não conseguem mitigar”, disse Aboukhadijeh ao TechCrunch. Dependências são partes de software ou bibliotecas das quais um aplicativo depende para funcionar. “Mesmo com revisões rigorosas de código interno, as dependências externas apresentam o risco de ataques à cadeia de fornecimento de software que são difíceis de detectar e gerenciar”, continuou Aboukhadijeh.
A solução da Socket é um scanner que procura atividades maliciosas, como backdoors e código ofuscado, em componentes de código aberto, e alerta os desenvolvedores quando dependências e pacotes são atualizados ou adicionados.
Por meio de integrações com APIs de IA generativas da Anthropic e OpenAI, o Socket também pode gerar resumos de vulnerabilidades (com mínimo alucinaçõesespera-se). Além disso, a plataforma pode opcionalmente verificar se o código-fonte aberto está devidamente licenciado – e, portanto, legal – para reutilização.
“O Socket foi projetado para equipes de engenharia e equipes de segurança de aplicativos que dependem fortemente de software de código aberto”, disse Aboukhadijeh. “Ele se integra perfeitamente ao fluxo de trabalho do desenvolvedor, fornecendo insights em tempo real durante revisões de código e atualizações de dependências, sem sobrecarregar os usuários com falsos positivos.”
Mais empresas de software estão confiando no código aberto do que nunca. Em um 2023 relatório publicado em colaboração com a Open Source Initiative e a Eclipse Foundation, 95% dos entrevistados disseram que suas organizações aumentaram — ou pelo menos mantiveram — o uso de código aberto no ano passado.
Com a expectativa de que o mercado de plataformas de segurança da cadeia de suprimentos de software crescer para até US$ 3,5 bilhões até 2027, não é surpreendente que a Socket tenha rivais.
Oligouma empresa que se concentra na segurança e observabilidade de aplicativos em tempo de execução, saiu do sigilo em fevereiro, apoiada por US$ 28 milhões. Endor emergiu do sigilo com US$ 25 milhões em outubro passado, após Guarda-corrente Aumento de US$ 50 milhões no início de junho.
O que diferencia o Socket, argumenta Aboukhadijeh, é sua capacidade de capturar códigos possivelmente prejudiciais que outras ferramentas não percebem – em particular códigos para exfiltrar dados confidenciais. A Socket está detectando mais de 100 ataques de dia zero à cadeia de suprimentos de software todas as semanas, afirma ele.
A impressionante lista de apoiadores – e clientes – do Socket sugere que há alguma credibilidade nessas afirmações.
Os empreendedores Elad Gil e Andreessen Horowitz participaram da Série B do Socket, junto com o cofundador do Yahoo, Jerry Yang (divulgação: o Yahoo é o controlador corporativo do TechCrunch), o presidente da OpenAI, Bret Taylor, o cofundador da Twilio, Jef Lawson, e o cofundador e CEO do Shopify, Tobias Lutke.
Os clientes da Socket, por sua vez, incluem Anthropic, Harvey, Figma, Vercel, um dos quatro maiores bancos dos EUA e “a maior e mais reconhecida empresa de IA”. (Interprete o último como quiser.)
Aboukhadijeh descreveu a nova rodada da Série B como “preventiva”, alegando que Socket ainda não gastou o Dinheiro da Série A que levantou em agosto passado.
“Estamos no caminho certo para aumentar a receita em 400% em 2024”, disse Aboukhadijeh ao TechCrunch. “Atualmente, a Socket tem mais de 100 clientes e protege mais de 7.500 organizações, defendendo 300.000 repositórios de código e apoiando mais de 1 milhão de desenvolvedores em todo o mundo.”
O novo dinheiro eleva o total arrecadado pela Socket para US$ 65 milhões durante o que Aboukhadijeh descreveu como um momento crucial na história do código aberto. A IA, ressaltou ele, está sendo usada para escreva mais e mais códigoque é apresentando o potencial para falhas de segurança.
“Agora era o momento certo para angariar estes fundos”, disse Aboukhadijeh. “Novos vetores de ataque de IA criaram uma necessidade urgente para que o Socket traga garantias de segurança ao código gerado por essas ferramentas alimentadas por IA. A tecnologia da Socket aborda esta lacuna crítica no mercado, e o financiamento adicional ajudará a dimensionar o seu impacto.”
A Socket, que hoje tem 32 funcionários, planeja aumentar sua equipe para 50 pessoas até o final do ano, com foco nas áreas de engenharia, produto, design e vendas da empresa sediada em Stanford.