Cloudsmith, получил 7,2 миллиона долларов инвестиций... Распространение ИИ вызывает рост спроса на безопасность цепочек поставок

Продуктовая компания по управлению программными компонентами Cloudsmith успешно привлекла 72 миллиона долларов новых инвестиций. По курсу иен это примерно 106,38 миллиарда йен. На фоне быстрого распространения открытого программного обеспечения и искусственного интеллекта, растет спрос предприятий на “безопасность программных цепочек поставок”, что считается одним из факторов этого раунда инвестиций.

Этот раунд финансирования серии C возглавила компания TCV. TCV также была крупнейшим инвестором в предыдущем раунде финансирования Cloudsmith в прошлом году. В этом раунде приняли участие существующие инвесторы и Insight Partners. Таким образом, совокупный внешний объем финансирования Cloudsmith превысил 110 миллионов долларов.

Штаб-квартира Cloudsmith расположена в Белфасте, Северная Ирландия. Компания предоставляет облачную платформу, позволяющую командам разработчиков централизованно управлять различными компонентами и файлами приложений, используемыми в работе. Проще говоря, это скорее корпоративная платформа для хранения и проверки, предназначенная для объединения управления открытыми проектами, конфигурационными скриптами, моделями искусственного интеллекта, файлами операционных систем и другими “программными активами”.

Эта услуга привлекает внимание, поскольку среда предприятий становится все более сложной. Разработчики скачивают необходимые компоненты не только с GitHub, но и из множества внешних репозиториев. Например, модели искусственного интеллекта часто получают с таких платформ, как Hugging Face. Проблема в том, что с точки зрения специалистов по безопасности, проверка каждого внешнего элемента на соответствие стандартам кибербезопасности требует много времени и ресурсов.

Cloudsmith сосредоточена на снижении этой нагрузки. Ее концепция заключается в том, что администратор не должен мониторить разрозненные внешние репозитории на разных сайтах, а может управлять компонентами централизованно внутри платформы. Особенность в том, что платформа не ограничивается простым хранением кода, а также способна обрабатывать различные “продукты”. Продукты — это общее название для всех файлов, используемых в программных проектах.

Интеграция проверки контейнеров и моделей ИИ

Cloudsmith также поддерживает хранение программных контейнеров. Один контейнер может содержать десятки и более отдельных продуктов, каждый из которых потенциально может представлять угрозу безопасности. Для снижения сложности компания автоматически генерирует для каждого контейнера “список компонентов программного обеспечения” (SBOM). SBOM — это файл, в котором перечислены все элементы, составляющие конкретную рабочую среду.

Функции проверки безопасности также были усилены. Перед публикацией открытых компонентов в виде скачиваемых файлов, Cloudsmith сначала проверяет их на известные уязвимости. Уровень риска уязвимостей оценивается с помощью системы оценки “прогнозирования эксплуатации уязвимостей” (EPSS). Это стандарт, который предсказывает вероятность того, что злоумышленники в течение следующих 30 дней реально используют данную уязвимость.

Компания заявляет, что также проверяет и другие проблемы, помимо уязвимостей. Например, выявляет лицензионные условия, которые могут создать нагрузку на программный проект. Это означает возможность заранее фильтровать лицензионные риски, такие как условия, запрещающие коммерческое использование, что может напрямую повлиять на бизнес.

Рост спроса на безопасность цепочек поставок в связи с развитием AI

Клиенты Cloudsmith могут использовать данные платформы для разработки автоматизированных стратегий. Например, автоматически блокировать открытые компоненты с высокими рисками уязвимостей. Такой автоматизированный рабочий процесс создается с помощью специального языка Rego, который широко используется для конфигурации облачной инфраструктуры и других областей.

Генеральный директор Гленн Вайнштейн заявил: “АИ-агенты создают огромное количество программного обеспечения с невероятной скоростью, и человеку практически невозможно проверять каждую из них вручную. Благодаря возможностям Cloudsmith, позволяющим широко анализировать всю экосистему открытого ПО и масштабируемости, мы можем защитить предприятия от новых угроз, вызванных развитием ИИ.”

Cloudsmith планирует использовать привлеченные средства для обновления будущих функций. Особенно — для усиления возможностей по контролю кибербезопасности и автоматизации на базе ИИ. Общий рынок считает, что чем быстрее развивается ИИ, тем важнее становится платформа “безопасности цепочек поставок”, которая его поддерживает.

Примечание по AI: В статье использована базовая языковая модель TokenPost.ai для краткого изложения. Основное содержание может быть пропущено или не соответствовать фактам.