【獵雲網(微信號:ilieyun)】9月26日報導(編譯:福爾摩望)
開源軟體現在是一個價值140多億美元的市場,而且增長迅速,95%的企業都在以這種或那種方式使用。但這種擴張伴隨著一個陰影:開源組件可能存在漏洞,因此它們在應用中的廣泛使用成為公司網絡安全的負擔。
現在,英國一家名為Snyk的初創公司已經建立了一種方法來檢測這些應用或組件何時遭到入侵。該創企宣布獲得了2200萬美元的融資,以滿足那些希望解決問題的企業需求。
此輪融資由Accel所領投,GV以及之前的投資者Boldstart Ventures和Heavybit跟投。此次B輪融資是Snyk在七個月內進行的第二輪融資,它在3月份進行了700萬美元的A輪融資。這反映了該公司增長方式的衡量標準(以及投資者對目前公司業績的熱情程度)。該創企並沒有披露其估值,但了解該交易的消息人士表示,其估值約為1億美元(迄今已獲得了約3300萬美元融資)。
作為Snyk增長的另一個衡量標準,該公司表示,它現在擁有超過200個付費客戶和15萬用戶,在過去九個月中,收入增長了五倍。3月份時,它擁有130個付費客戶。
(該公司表示,目前的客戶包括ASOS、Digital Ocea、New Relic和Skyscanner。)
Snyk在當今企業服務的格局中一直保持著中立。它為組織提供了在本地、通過雲或兩者混合版本的選項,以及一系列付費和免費層級,以使用戶熟悉該服務。
該公司首席執行官Guy Podjarny與Assaf Hefetz和Danny Grander共同創立了Snyk。他解釋說,Snyk分兩部分工作。第一部分,該初創公司已經構建了一個“監聽開源活動”的威脅情報系統。利用開放式對話平台——例如,GitHub提交和論壇聊天——Snyk使用機器學習來檢測潛在的漏洞提及。然後,它將這些內容匯集到一個人工分析師團隊中,“他們是在我們的漏洞數據庫中驗證和解決漏洞的人員。”
第二部分,該公司分析源代碼存儲庫——再次包括GitHub和BitBucket——“以了解每個人使用哪些開源組件,標記易受攻擊的組件,然後通過提出正確的依賴關係版本,使用我們的安全團隊構建的補丁,來自動修複它們。”
他補充說,開源組件並沒有比閉源組件擁有更多的漏洞,“但是它們的大量使用使這些漏洞更具影響力。”組件可以在數千個應用中使用,而根據Snyk的估計,大約77%的應用最終會出現具有安全漏洞的組件。 “因此,通過易受攻擊的開源組件破壞組織的可能性遠遠大於其代碼中的安全漏洞。”
Podjarny表示,該計劃不是為了長期解決專有代碼問題,而是擴展監控開源構建應用的方式。
“我們的重點是兩個方面——構建開發人員喜愛的安全工具,並解決開源安全性,”他說。“我們認為開源代碼的不安全使用所帶來的風險遠大於代碼本身,這一問題在業界並沒有得到很好的解決。我們的目的是擴大我們的保護範圍,從修複開源組件中的已知漏洞,到在運行時監控和保護它們,標記並包含惡意和受損組件。”
雖然這是安全團隊監控和解決的一個相對較新的領域,但他補充說,如果這些問題未被發現,那麽Equifax漏洞事件就突顯了在最壞情況下可能發生的情況。Snyk並不是唯一一家發現市場缺口的公司。Black Duck專注於標記不合規的開源許可證,並提供一些安全功能。
然而,Snyk似乎是目前最受關注的。
“近年來一些最大的數據泄露事件是開源依賴項中未修複漏洞的結果;因此,我們已經看到採用監控和修複此類漏洞的工具呈指數級增長,”Accel的合夥人Philippe Botteri表示。Botteri也在此次融資中加入了董事會。“我們還看到應用安全的所有權轉向了開發人員。鑒於團隊深入的安全領域知識和以開發人員為中心的思維方式,我們認為Snyk在市場中具有獨特的優勢。我們也很高興能夠加入他們,為開發人員帶來安全工具。”
香港九龍灣馬來街興發大廈15樓D室