\n<\/p>\n
Un porcentaje cada vez mayor del c\u00f3digo que utilizan las empresas para desarrollar software es de c\u00f3digo abierto. En una encuesta de 2018 realizada por Tidelift, una plataforma de gesti\u00f3n de la cadena de suministro de software, el 92 % de los desarrolladores de software profesionales dijeron que sus aplicaciones conten\u00edan bibliotecas de c\u00f3digo abierto. Si bien esa es una tendencia positiva, el c\u00f3digo abierto otorga una gran cantidad de beneficios, entre los que destaca la transparencia, puede tener sus inconvenientes, como la baja visibilidad de si el c\u00f3digo puede contener vulnerabilidades.<\/p>\n
Varios proveedores est\u00e1n abordando el problema de la seguridad de c\u00f3digo abierto y ofrecen herramientas que escanean los metadatos y los descriptores de los paquetes para encontrar vulnerabilidades conocidas. Pero Varun Badhwar argumenta que no van lo suficientemente lejos. Es cofundador de Endor Labs, una startup que tiene poco m\u00e1s de 30 empleados y utiliza tecnolog\u00eda de an\u00e1lisis gr\u00e1fico para saber c\u00f3mo se utilizan las dependencias dentro de una organizaci\u00f3n y crear indicadores de riesgo.<\/p>\n
En una muestra de inter\u00e9s de los inversores, Endor, que se lanz\u00f3 hoy de forma sigilosa con una versi\u00f3n beta privada, ha atra\u00eddo $ 25 millones hasta la fecha de Lightspeed Venture Partners, Dell Technologies Capital, Sierra Ventures e inversores \u00e1ngeles, incluido el CEO de Palo Alto Networks, Nikesh Arora. Badhwar le dice a TechCrunch que la financiaci\u00f3n no revelada anteriormente se est\u00e1 utilizando para respaldar el crecimiento mientras contin\u00faa expandiendo la I + D de Endor.<\/p>\n
\u201cSi los riesgos para la cadena de suministro de software a\u00fan no son una prioridad en la sala de juntas, pronto lo ser\u00e1n\u201d, dijo Badhwar a TechCrunch en una entrevista por correo electr\u00f3nico. \u201cEl software de c\u00f3digo abierto ofrece un rico recurso para la velocidad de desarrollo, pero la expansi\u00f3n masiva de dependencias dificulta el desarrollo y aumenta la superficie de ataque. Los n\u00fameros son realmente asombrosos: una gran empresa t\u00edpica, como la que tiene m\u00e1s de 10 000 empleados, tiene m\u00e1s de dos millones de dependencias totales. Como resultado, los desarrolladores luchan por mantener, solucionar problemas y actualizar las dependencias y pierden muchas horas lidiando con la fatiga de alertas de la manguera de incendios de falsos positivos. Mientras tanto, los equipos de seguridad carecen de verdadera visibilidad… Si bien el problema parece t\u00e9cnico, en esta era impulsada por aplicaciones, afecta todas las facetas de las operaciones\u00bb.<\/p>\n
Al punto de Badhwar, un informe reciente publicado por el Departamento de Seguridad Nacional de EE. UU. encontr\u00f3 que una agencia del gabinete del gobierno de EE. UU. pas\u00f3 meses respondiendo a una vulnerabilidad en la biblioteca de Log4j2 de Apache, una utilidad de registro basada en Java, en parte porque sus equipos de seguridad ten\u00edan problemas. identificar d\u00f3nde resid\u00edan los paquetes vulnerables dentro de sus entornos de software. La Casa Blanca ha indicado su compromiso de abordar el problema m\u00e1s amplio de la seguridad de la cadena de suministro de software, declar\u00e1ndolo abiertamente un problema de seguridad nacional y emitiendo una orden ejecutiva destinada a establecer est\u00e1ndares mitigadores.<\/p>\n
Antes de cofundar Endor, Badhwar dirigi\u00f3 RedLock, una startup de seguridad de infraestructura en la nube que fue adquirida por Palo Alto Networks en 2018. Se desempe\u00f1\u00f3 como vicepresidente s\u00e9nior y gerente general de Prisma Cloud en la posadquisici\u00f3n de Palo Alto Networks, junto con el CTO Dimitri Stiliadis, quien lleg\u00f3 a Palo Alto a trav\u00e9s de la adquisici\u00f3n de la compa\u00f1\u00eda de su<\/em> puesta en marcha, Aporeto. Stiliadis tambi\u00e9n fue CTO en el brazo de riesgo de Alcatel-Lucent y Nuage Networks, una empresa de tecnolog\u00eda que desarrolla soluciones de redes definidas por software.<\/p>\n Badhwar dice que, luego de la brecha de seguridad de SolarWinds en 2020, se sintieron impulsados \u200b\u200ba desarrollar un servicio que pudiera analizar mejor el impacto potencial de las actualizaciones de software y las implementaciones de c\u00f3digo. Ambos sintieron que las herramientas existentes pasan por alto \u00abuna clase completa\u00bb de ataques a la cadena de suministro y ahogan a las empresas en falsos positivos sobre vulnerabilidades, como las que surgen de errores en el c\u00f3digo de los desarrolladores bien intencionados, sin proporcionar una forma de priorizar la remediaci\u00f3n.<\/p>\n Cr\u00e9ditos de imagen:<\/strong> Laboratorios Endor<\/p>\n<\/div>\n \u201cDado que el 80 % del c\u00f3digo de las aplicaciones modernas no lo escriben los desarrolladores dentro de una empresa, sino que se obtiene de paquetes de c\u00f3digo abierto en Internet sin ninguna validaci\u00f3n, determinamos que, en promedio, las empresas a menudo conf\u00edan en m\u00e1s de 40 000 paquetes de c\u00f3digo abierto. . Cada uno de ellos, a su vez, genera un promedio de 77 dependencias adicionales\u201d, dijo Badhwar, en alusi\u00f3n a las encuestas que muestran que los equipos de seguridad est\u00e1n abrumados e insensibilizados por las alertas. \u201cEsto provoca una expansi\u00f3n masiva e incontrolable, que ralentiza el desarrollo y aumenta la superficie de ataque\u201d.<\/p>\n Para intentar resolver esto, Endor aplica lo que Badhwar llama \u00aban\u00e1lisis profundo de programas\u00bb para construir un gr\u00e1fico de dependencia para el software de las organizaciones. El gr\u00e1fico muestra c\u00f3mo se usan las dependencias dentro de una organizaci\u00f3n, espec\u00edficamente qu\u00e9 dependencias se llaman desde el c\u00f3digo, cu\u00e1les no se usan y qu\u00e9 paquetes vulnerables son explotables. Cada dependencia obtiene una puntuaci\u00f3n basada en la calidad, la seguridad, la actividad del mantenedor, la popularidad y los datos de CI\/CD con referencias cruzadas.<\/p>\n Endor tambi\u00e9n proporciona herramientas para medir la seguridad y el riesgo operativo, as\u00ed como para eliminar dependencias no utilizadas o no mantenidas. Badhwar se\u00f1ala que el gr\u00e1fico se puede utilizar para crear una lista de materiales de software, estableciendo una fuente de verdad para el inventario de software de una empresa.<\/p>\n \u201cNuestra plataforma de gesti\u00f3n del ciclo de vida de la dependencia presenta una visibilidad hol\u00edstica y profunda de todo el gr\u00e1fico de dependencia, proporciona una se\u00f1al multidimensional que identifica y prioriza el riesgo y ayuda a los clientes a seleccionar, asegurar, monitorear y mantener mejores dependencias a escala\u201d, dijo Badhwar. \u201cLo que hemos construido, y continuamos desarrollando, es una plataforma que permite la toma de decisiones inteligente y el desarrollo a gran velocidad, incluida la reutilizaci\u00f3n de software a escala de manera m\u00e1s r\u00e1pida, f\u00e1cil y mucho, mucho m\u00e1s segura\u201d.<\/p>\n Si bien Badhwar afirma que la plataforma de Endor es m\u00e1s hol\u00edstica que la mayor\u00eda, surgen regularmente nuevos rivales en el espacio. Apenas en septiembre, Ox Security, que ofrece servicios para fortalecer las cadenas de suministro de software empresarial, se lanz\u00f3 de forma furtiva con una financiaci\u00f3n de 34 millones de d\u00f3lares. Otro competidor, Chainguard, ha recaudado varios millones de d\u00f3lares para crear herramientas de seguridad para software de c\u00f3digo abierto. Tambi\u00e9n est\u00e1n Cycode y Dustico, el \u00faltimo de los cuales Checkmarx adquiri\u00f3 por una suma no revelada en agosto de 2021.<\/p>\n No son solo las nuevas empresas con las que Endor, con sede en Palo Alto, se enfrenta cara a cara. En mayo, un grupo de la industria que incluye a Google, Amazon, Ericsson, Intel, Microsoft y VMware comprometi\u00f3 $30 millones para trabajar con Linux Foundation y Open Source Security Foundation para mejorar la seguridad del software de c\u00f3digo abierto. Pero Badhwar, que se neg\u00f3 a revelar ninguna m\u00e9trica sobre la base de clientes o los ingresos de Endor, no los ve como una amenaza para el negocio.<\/p>\n No es necesariamente una mentalidad temeraria. La financiaci\u00f3n de capital de riesgo sigue siendo s\u00f3lida en cibern\u00e9tica, con inversiones de capital de riesgo de $ 12,5 mil millones en 531 acuerdos en la primera mitad de 2022, seg\u00fan Momentum Cyber, un volumen comparable al de la primera mitad de 2021 ($ 12,6 mil millones).<\/p>\n \u201cTenemos grandes aspiraciones para resolver problemas t\u00e9cnicos dif\u00edciles en un mercado extremadamente grande\u2026 Endor ha estado operando en secreto durante el a\u00f1o pasado y en ese tiempo ha captado clientes y prospectos importantes\u201d, dijo Badhwar. \u201cEl momento resulta ser ideal, ya que la seguridad del software de c\u00f3digo abierto se ha convertido en el centro de atenci\u00f3n a nivel nacional, si no global\u2026 Durante el \u00faltimo a\u00f1o, m\u00e1s de 75 organizaciones nos han brindado comentarios que hemos incorporado al producto. , y actualmente se encuentran en versi\u00f3n beta privada con varias empresas que van desde los 200 hasta los 35 000 empleados\u201d.<\/p>\n<\/p><\/div>\n