Cloudsmith, 获7200万美元投资...AI扩散致供应链安全需求增长

软件组件管理初创公司Cloudsmith成功吸引了7200万美元的新投资。按韩元计算，规模约为1063.8亿韩元。在开源和人工智能开发快速普及的背景下，企业对"软件供应链安全"的需求日益增长，被认为是本轮投资的背景因素。

本轮C轮融资由TCV领投。TCV在去年Cloudsmith的上一轮融资中也是最大的投资者。本轮融资中，现有投资者以及Insight Partners也参与了投资。至此，Cloudsmith的累计外部融资额已超过1.1亿美元。

总部位于北爱尔兰贝尔法斯特的Cloudsmith，提供了一个云端平台，让开发团队可以在中央统一管理所使用的各种应用程序组件和文件。简单来说，它更像是一个面向企业的存储与验证平台，用于将开源项目、配置脚本、人工智能模型、操作系统文件等"软件资产"集中在一起进行管理。

这项服务之所以受到关注，是因为企业环境正变得越来越复杂。开发人员不仅从GitHub，还会从多个外部存储库下载所需的组件。例如，人工智能模型常常从Hugging Face等独立平台获取。问题在于，从安全管理人员的角度来看，逐一确认这些外部元素是否满足网络安全标准，需要耗费大量的时间和成本。

Cloudsmith专注于减轻这类负担。其设计理念是，管理员无需分别监控分散在多个网站的外部存储库，而可以在平台内部对组件进行统一管理。其特点尤其在于，不仅仅是简单的代码存储，还能够处理各种各样的"制品"。制品是软件项目中使用的各类文件的统称。

整合检查容器与AI模型

Cloudsmith也支持软件容器的存储。一个容器可能包含数十个以上的独立制品，每一个都可能成为潜在的安全风险。为了降低这种复杂性，该公司会为每个容器自动生成"软件物料清单"，即SBOM。SBOM是一份将构成特定工作环境的元素整理成清单的文件。

安全检查功能也得到了加强。在将开源组件以可下载的状态发布之前，Cloudsmith会首先检查已知漏洞。漏洞的风险等级利用名为"漏洞利用预测评分系统"（EPSS）框架进行评估。这是一个预估未来30天内黑客实际利用该漏洞可能性的标准。

该公司表示，他们还会检测除漏洞之外的其他问题。例如，找出可能给软件项目带来负担的许可条款。这意味着能够提前过滤掉可能直接影响企业服务的许可风险，比如禁止商业使用的条件。

AI开发展开使供应链安全需求增长

Cloudsmith的客户还可以基于平台发现的数据制定自动化策略。例如，自动拦截包含高风险漏洞的开源组件。这种自动化工作流使用一种名为"Rego"的专用语法编写，该语法常用于云基础设施配置等领域。

首席执行官Glenn Weinstein表示：“AI代理正以极快的速度生成大量软件，这使得人类几乎无法逐一进行仔细审查。Cloudsmith凭借能够广泛审视整个开源生态系统的能力和可扩展性，能够保护企业免受AI主导开发所带来的新威胁。”

Cloudsmith计划将筹集的资金用于未来功能的升级。尤其将专注于增加网络安全控制功能和基于AI的自动化功能。市场普遍认为，AI开发速度越快，为其提供支撑的"供应链安全"平台的重要性也将随之增加。

TP AI注意事项 本文使用TokenPost.ai基础语言模型进行摘要。正文主要内容可能被遗漏或与事实不符。