Cloudsmith, recibe 72 millones de dólares en inversión... La difusión de la IA impulsa el aumento de la demanda de seguridad en la cadena de suministro

La startup de gestión de componentes de software Cloudsmith ha logrado captar con éxito 72 millones de dólares en una nueva ronda de inversión. En won surcoreano, esto equivale aproximadamente a 106.380 millones de won. En un contexto de rápida expansión del desarrollo de código abierto e inteligencia artificial, la demanda de “seguridad en la cadena de suministro de software” está creciendo cada vez más, considerándose un factor clave en esta ronda de inversión.

Esta ronda de financiación de Serie C fue liderada por TCV. TCV también fue el mayor inversor en la ronda anterior de financiación de Cloudsmith el año pasado. En esta ronda, participaron tanto los inversores existentes como Insight Partners. Con esto, la financiación externa acumulada de Cloudsmith supera los 110 millones de dólares.

Con sede en Belfast, Irlanda del Norte, Cloudsmith ofrece una plataforma en la nube que permite a los equipos de desarrollo gestionar de manera centralizada los diversos componentes y archivos de aplicaciones que utilizan. En términos simples, es más parecido a una plataforma de almacenamiento y verificación para empresas, diseñada para consolidar y gestionar activos de software como proyectos de código abierto, scripts de configuración, modelos de inteligencia artificial, archivos del sistema operativo, entre otros.

El interés en este servicio se debe a que los entornos empresariales se vuelven cada vez más complejos. Los desarrolladores no solo descargan componentes desde GitHub, sino también desde múltiples repositorios externos. Por ejemplo, los modelos de inteligencia artificial a menudo se obtienen de plataformas independientes como Hugging Face. El problema, desde la perspectiva de los responsables de seguridad, es que verificar individualmente si estos elementos externos cumplen con los estándares de ciberseguridad requiere mucho tiempo y recursos.

Cloudsmith se enfoca en aliviar esta carga. Su filosofía de diseño es que los administradores no necesitan monitorear de manera separada los repositorios externos dispersos en diferentes sitios, sino que pueden gestionar todos los componentes de forma unificada dentro de la plataforma. Una característica clave es que no solo se trata de un almacenamiento simple de código, sino que también puede manejar diversos tipos de “productos”. Los productos son un término general para los archivos utilizados en proyectos de software.

Integración de inspección de contenedores y modelos de IA

Cloudsmith también soporta el almacenamiento de contenedores de software. Un contenedor puede contener más de decenas de productos independientes, cada uno de los cuales puede representar un riesgo potencial de seguridad. Para reducir esta complejidad, la compañía genera automáticamente una “lista de materiales de software”, conocida como SBOM, para cada contenedor. La SBOM es un archivo que organiza en una lista los elementos que componen un entorno de trabajo específico.

Las funciones de inspección de seguridad también se han fortalecido. Antes de publicar componentes de código abierto en estado descargable, Cloudsmith realiza una revisión en busca de vulnerabilidades conocidas. El nivel de riesgo de las vulnerabilidades se evalúa mediante un marco llamado “Sistema de puntuación de predicción de explotación de vulnerabilidades” (EPSS). Este es un estándar que estima la probabilidad de que un hacker explote una vulnerabilidad en los próximos 30 días.

La compañía afirma que también detectan otros problemas además de las vulnerabilidades. Por ejemplo, identifican posibles riesgos de licencias que podrían suponer una carga para el proyecto de software. Esto permite filtrar con anticipación riesgos de licencias que podrían afectar directamente los servicios empresariales, como condiciones que prohíben el uso comercial.

El desarrollo de IA impulsa el crecimiento de la demanda de seguridad en la cadena de suministro

Los clientes de Cloudsmith también pueden desarrollar estrategias automatizadas basadas en los datos descubiertos en la plataforma. Por ejemplo, pueden interceptar automáticamente componentes de código abierto con vulnerabilidades de alto riesgo. Este flujo de trabajo automatizado se escribe en un lenguaje especializado llamado “Rego”, que se usa comúnmente en configuraciones de infraestructura en la nube.

El CEO Glenn Weinstein afirmó: “Los agentes de IA están generando una cantidad enorme de software a una velocidad vertiginosa, lo que hace que sea casi imposible para los humanos revisar cuidadosamente cada uno. Gracias a su capacidad y escalabilidad para examinar ampliamente todo el ecosistema de código abierto, Cloudsmith puede proteger a las empresas de las nuevas amenazas que surgen con el desarrollo liderado por IA.”

Cloudsmith planea utilizar los fondos recaudados para mejorar futuras funciones, especialmente en el aumento de controles de seguridad de red y funciones de automatización basadas en IA. El mercado en general considera que, cuanto más rápido avance el desarrollo de IA, mayor será la importancia de plataformas de “seguridad en la cadena de suministro” que las respalden.

Notas sobre IA de TP Este resumen fue realizado utilizando el modelo de lenguaje base TokenPost.ai. El contenido principal puede estar incompleto o no reflejar con precisión los hechos.