Un porcentaje cada vez mayor del código que utilizan las empresas para desarrollar software es de código abierto. En una encuesta de 2018 realizada por Tidelift, una plataforma de gestión de la cadena de suministro de software, el 92 % de los desarrolladores de software profesionales dijeron que sus aplicaciones contenían bibliotecas de código abierto. Si bien esa es una tendencia positiva, el código abierto otorga una gran cantidad de beneficios, entre los que destaca la transparencia, puede tener sus inconvenientes, como la baja visibilidad de si el código puede contener vulnerabilidades.
Varios proveedores están abordando el problema de la seguridad de código abierto y ofrecen herramientas que escanean los metadatos y los descriptores de los paquetes para encontrar vulnerabilidades conocidas. Pero Varun Badhwar argumenta que no van lo suficientemente lejos. Es cofundador de Endor Labs, una startup que tiene poco más de 30 empleados y utiliza tecnología de análisis gráfico para saber cómo se utilizan las dependencias dentro de una organización y crear indicadores de riesgo.
En una muestra de interés de los inversores, Endor, que se lanzó hoy de forma sigilosa con una versión beta privada, ha atraído $ 25 millones hasta la fecha de Lightspeed Venture Partners, Dell Technologies Capital, Sierra Ventures e inversores ángeles, incluido el CEO de Palo Alto Networks, Nikesh Arora. Badhwar le dice a TechCrunch que la financiación no revelada anteriormente se está utilizando para respaldar el crecimiento mientras continúa expandiendo la I + D de Endor.
“Si los riesgos para la cadena de suministro de software aún no son una prioridad en la sala de juntas, pronto lo serán”, dijo Badhwar a TechCrunch en una entrevista por correo electrónico. “El software de código abierto ofrece un rico recurso para la velocidad de desarrollo, pero la expansión masiva de dependencias dificulta el desarrollo y aumenta la superficie de ataque. Los números son realmente asombrosos: una gran empresa típica, como la que tiene más de 10 000 empleados, tiene más de dos millones de dependencias totales. Como resultado, los desarrolladores luchan por mantener, solucionar problemas y actualizar las dependencias y pierden muchas horas lidiando con la fatiga de alertas de la manguera de incendios de falsos positivos. Mientras tanto, los equipos de seguridad carecen de verdadera visibilidad… Si bien el problema parece técnico, en esta era impulsada por aplicaciones, afecta todas las facetas de las operaciones».
Al punto de Badhwar, un informe reciente publicado por el Departamento de Seguridad Nacional de EE. UU. encontró que una agencia del gabinete del gobierno de EE. UU. pasó meses respondiendo a una vulnerabilidad en la biblioteca de Log4j2 de Apache, una utilidad de registro basada en Java, en parte porque sus equipos de seguridad tenían problemas. identificar dónde residían los paquetes vulnerables dentro de sus entornos de software. La Casa Blanca ha indicado su compromiso de abordar el problema más amplio de la seguridad de la cadena de suministro de software, declarándolo abiertamente un problema de seguridad nacional y emitiendo una orden ejecutiva destinada a establecer estándares mitigadores.
Antes de cofundar Endor, Badhwar dirigió RedLock, una startup de seguridad de infraestructura en la nube que fue adquirida por Palo Alto Networks en 2018. Se desempeñó como vicepresidente sénior y gerente general de Prisma Cloud en la posadquisición de Palo Alto Networks, junto con el CTO Dimitri Stiliadis, quien llegó a Palo Alto a través de la adquisición de la compañía de su puesta en marcha, Aporeto. Stiliadis también fue CTO en el brazo de riesgo de Alcatel-Lucent y Nuage Networks, una empresa de tecnología que desarrolla soluciones de redes definidas por software.
Badhwar dice que, luego de la brecha de seguridad de SolarWinds en 2020, se sintieron impulsados a desarrollar un servicio que pudiera analizar mejor el impacto potencial de las actualizaciones de software y las implementaciones de código. Ambos sintieron que las herramientas existentes pasan por alto «una clase completa» de ataques a la cadena de suministro y ahogan a las empresas en falsos positivos sobre vulnerabilidades, como las que surgen de errores en el código de los desarrolladores bien intencionados, sin proporcionar una forma de priorizar la remediación.
Créditos de imagen: Laboratorios Endor
“Dado que el 80 % del código de las aplicaciones modernas no lo escriben los desarrolladores dentro de una empresa, sino que se obtiene de paquetes de código abierto en Internet sin ninguna validación, determinamos que, en promedio, las empresas a menudo confían en más de 40 000 paquetes de código abierto. . Cada uno de ellos, a su vez, genera un promedio de 77 dependencias adicionales”, dijo Badhwar, en alusión a las encuestas que muestran que los equipos de seguridad están abrumados e insensibilizados por las alertas. “Esto provoca una expansión masiva e incontrolable, que ralentiza el desarrollo y aumenta la superficie de ataque”.
Para intentar resolver esto, Endor aplica lo que Badhwar llama «análisis profundo de programas» para construir un gráfico de dependencia para el software de las organizaciones. El gráfico muestra cómo se usan las dependencias dentro de una organización, específicamente qué dependencias se llaman desde el código, cuáles no se usan y qué paquetes vulnerables son explotables. Cada dependencia obtiene una puntuación basada en la calidad, la seguridad, la actividad del mantenedor, la popularidad y los datos de CI/CD con referencias cruzadas.
Endor también proporciona herramientas para medir la seguridad y el riesgo operativo, así como para eliminar dependencias no utilizadas o no mantenidas. Badhwar señala que el gráfico se puede utilizar para crear una lista de materiales de software, estableciendo una fuente de verdad para el inventario de software de una empresa.
“Nuestra plataforma de gestión del ciclo de vida de la dependencia presenta una visibilidad holística y profunda de todo el gráfico de dependencia, proporciona una señal multidimensional que identifica y prioriza el riesgo y ayuda a los clientes a seleccionar, asegurar, monitorear y mantener mejores dependencias a escala”, dijo Badhwar. “Lo que hemos construido, y continuamos desarrollando, es una plataforma que permite la toma de decisiones inteligente y el desarrollo a gran velocidad, incluida la reutilización de software a escala de manera más rápida, fácil y mucho, mucho más segura”.
Si bien Badhwar afirma que la plataforma de Endor es más holística que la mayoría, surgen regularmente nuevos rivales en el espacio. Apenas en septiembre, Ox Security, que ofrece servicios para fortalecer las cadenas de suministro de software empresarial, se lanzó de forma furtiva con una financiación de 34 millones de dólares. Otro competidor, Chainguard, ha recaudado varios millones de dólares para crear herramientas de seguridad para software de código abierto. También están Cycode y Dustico, el último de los cuales Checkmarx adquirió por una suma no revelada en agosto de 2021.
No son solo las nuevas empresas con las que Endor, con sede en Palo Alto, se enfrenta cara a cara. En mayo, un grupo de la industria que incluye a Google, Amazon, Ericsson, Intel, Microsoft y VMware comprometió $30 millones para trabajar con Linux Foundation y Open Source Security Foundation para mejorar la seguridad del software de código abierto. Pero Badhwar, que se negó a revelar ninguna métrica sobre la base de clientes o los ingresos de Endor, no los ve como una amenaza para el negocio.
No es necesariamente una mentalidad temeraria. La financiación de capital de riesgo sigue siendo sólida en cibernética, con inversiones de capital de riesgo de $ 12,5 mil millones en 531 acuerdos en la primera mitad de 2022, según Momentum Cyber, un volumen comparable al de la primera mitad de 2021 ($ 12,6 mil millones).
“Tenemos grandes aspiraciones para resolver problemas técnicos difíciles en un mercado extremadamente grande… Endor ha estado operando en secreto durante el año pasado y en ese tiempo ha captado clientes y prospectos importantes”, dijo Badhwar. “El momento resulta ser ideal, ya que la seguridad del software de código abierto se ha convertido en el centro de atención a nivel nacional, si no global… Durante el último año, más de 75 organizaciones nos han brindado comentarios que hemos incorporado al producto. , y actualmente se encuentran en versión beta privada con varias empresas que van desde los 200 hasta los 35 000 empleados”.