Cloudsmith, nhận đầu tư 72 triệu USD... Sự lan tỏa của AI thúc đẩy nhu cầu an toàn chuỗi cung ứng tăng cao

Quản lý thành phần phần mềm của công ty khởi nghiệp Cloudsmith thành công thu hút 72 triệu USD vốn đầu tư mới. Tính theo won Hàn Quốc, quy mô khoảng 1063,8 tỷ won. Trong bối cảnh phát triển nhanh của mã nguồn mở và trí tuệ nhân tạo, nhu cầu về “an toàn chuỗi cung ứng phần mềm” ngày càng tăng, được xem là yếu tố nền tảng của vòng đầu tư này.

Vòng gọi vốn Series C này do TCV dẫn đầu. TCV cũng là nhà đầu tư lớn nhất trong vòng gọi vốn trước đó của Cloudsmith vào năm ngoái. Trong vòng gọi vốn này, các nhà đầu tư hiện tại cũng tham gia đầu tư cùng Insight Partners. Tính đến nay, tổng số vốn đầu tư bên ngoài của Cloudsmith đã vượt quá 110 triệu USD.

Trụ sở chính đặt tại Belfast, Bắc Ireland, Cloudsmith cung cấp một nền tảng đám mây cho phép các nhóm phát triển quản lý tập trung các thành phần và tệp phần mềm sử dụng. Nói đơn giản, nó giống như một nền tảng lưu trữ và xác thực dành cho doanh nghiệp, dùng để tập hợp quản lý các “tài sản phần mềm” như dự án mã nguồn mở, script cấu hình, mô hình trí tuệ nhân tạo, tệp hệ điều hành, v.v.

Dịch vụ này thu hút sự chú ý vì môi trường doanh nghiệp ngày càng trở nên phức tạp. Các nhà phát triển không chỉ tải các thành phần từ GitHub mà còn từ nhiều kho lưu trữ bên ngoài khác. Ví dụ, các mô hình AI thường lấy từ các nền tảng độc lập như Hugging Face. Vấn đề là, từ góc độ quản lý an ninh, việc xác nhận từng thành phần bên ngoài này có đáp ứng tiêu chuẩn an toàn mạng hay không sẽ tốn rất nhiều thời gian và chi phí.

Cloudsmith tập trung giảm bớt gánh nặng này. Thiết kế của họ là, quản trị viên không cần phải theo dõi từng kho lưu trữ bên ngoài phân tán trên nhiều trang web, mà có thể quản lý thống nhất các thành phần trong nền tảng. Điểm đặc biệt là, không chỉ đơn thuần là lưu trữ mã nguồn, mà còn có thể xử lý nhiều loại “sản phẩm”. Sản phẩm là thuật ngữ chung cho các tệp dùng trong dự án phần mềm.

Tích hợp kiểm tra container và mô hình AI

Cloudsmith cũng hỗ trợ lưu trữ container phần mềm. Một container có thể chứa hàng chục thành phần riêng biệt, mỗi thành phần có thể là một nguy cơ tiềm ẩn về an ninh. Để giảm độ phức tạp này, công ty sẽ tự động tạo ra “danh sách vật liệu phần mềm”, hay SBOM, cho mỗi container. SBOM là một tệp liệt kê các thành phần cấu thành môi trường làm việc cụ thể.

Chức năng kiểm tra an toàn cũng đã được nâng cao. Trước khi phát hành các thành phần mã nguồn mở dưới dạng có thể tải xuống, Cloudsmith sẽ kiểm tra các lỗ hổng đã biết. Mức độ rủi ro của lỗ hổng được đánh giá dựa trên hệ thống “đánh giá dự đoán khai thác lỗ hổng” (EPSS). Đây là tiêu chuẩn dự đoán khả năng hacker khai thác lỗ hổng trong vòng 30 ngày tới.

Công ty cũng cho biết họ sẽ kiểm tra các vấn đề khác ngoài lỗ hổng, ví dụ như xác định các điều khoản cấp phép có thể gây gánh nặng cho dự án phần mềm. Điều này có nghĩa là có thể lọc trước các rủi ro về cấp phép có thể ảnh hưởng trực tiếp đến dịch vụ doanh nghiệp, như điều kiện cấm sử dụng thương mại.

Phát triển AI thúc đẩy nhu cầu an toàn chuỗi cung ứng

Khách hàng của Cloudsmith còn có thể dựa trên dữ liệu phát hiện trong nền tảng để xây dựng các chiến lược tự động hóa. Ví dụ, tự động chặn các thành phần mã nguồn mở chứa lỗ hổng rủi ro cao. Quy trình tự động này sử dụng cú pháp đặc biệt gọi là “Rego”, thường dùng trong cấu hình hạ tầng đám mây.

Giám đốc điều hành Glenn Weinstein cho biết: “Các đại lý AI đang tạo ra một lượng lớn phần mềm với tốc độ cực nhanh, khiến con người gần như không thể kiểm tra kỹ từng cái một. Với khả năng và khả năng mở rộng để xem xét toàn bộ hệ sinh thái mã nguồn mở, Cloudsmith có thể bảo vệ doanh nghiệp khỏi các mối đe dọa mới do AI chi phối phát triển mang lại.”

Cloudsmith dự định sử dụng số tiền huy động được để nâng cấp các chức năng trong tương lai. Đặc biệt tập trung vào tăng cường các chức năng kiểm soát an ninh mạng và tự động hóa dựa trên AI. Thị trường chung nhận định rằng, tốc độ phát triển AI càng nhanh, tầm quan trọng của các nền tảng “an toàn chuỗi cung ứng” hỗ trợ sẽ càng tăng theo.