Guardacadenas, una startup que se enfoca en asegurar las cadenas de suministro de software, anunció hoy que ha recaudado una ronda de financiamiento Serie A de $50 millones liderada por Sequoia Capital. En esta ronda también participaron Amplify, Mantis VC de Chainsmokers, LiveOak Venture Partners, Banana Capital, K5/JPMC y CISOs de Google y Square, entre otros.
Además de la nueva financiación, la empresa, que en este momento solo tiene 8 meses, también lanzó hoy su primer conjunto de imágenes base de contenedores, que Chainguard promete tener cero vulnerabilidades conocidas y que se actualizarán continuamente. Estas imágenes estarán completamente firmadas y contarán con una lista de materiales de software (SBOM).
“Los ingenieros de seguridad están acostumbrados a razonar con raíces de confianza mediante el uso de sistemas de identificación y autenticación de dos factores y el establecimiento de confianza con el hardware mediante el uso de claves de cifrado. Pero hoy no tenemos eso para el código fuente y los artefactos de software”, dijo Dan Lorenc, cofundador y director ejecutivo de Chainguard. “Nuestra visión es conectar estas raíces de confianza a lo largo del ciclo de vida del desarrollo y a lo largo de la cadena de suministro de software y dar a los desarrolladores y CISOs confianza por igual en el código que ejecutan en producción y en la integridad de sus sistemas”.
Además de estas nuevas imágenes base, Chainguard ya ofreció su servicio Enforce para cargas de trabajo en contenedores. Construido sobre la sigstorelas herramientas de código abierto para firmar código criptográficamente, verificar esas firmas y hacer que todos estos datos sean auditables, así como otras herramientas de código abierto como Knative y otros servicios nativos de la nube, Enforce permite a las empresas hacer cumplir sus políticas de cadena de suministro en función de la Marco SLSA y el marco de desarrollo de software seguro de NIST. Con esto, pueden, por ejemplo, hacer cumplir qué código se puede ejecutar en qué lugar y asegurarse de que los desarrolladores y los equipos de seguridad sepan qué se está utilizando para crear software dentro de una empresa.
Dado que pocos desarrolladores quieren agregar más herramientas a su repertorio (después de todo, solo puede cambiar hasta el extremo izquierdo), el equipo se propuso hacer que la instalación de su servicio fuera tan fácil como ejecutar un solo comando y también ofrece soporte para sistemas de automatización como CloudFormation y Terraform. .
El hecho de que Chainguard ponga énfasis en proteger las tecnologías nativas de la nube no es una sorpresa. Entre sus cofundadores se encuentran Ville Aikas, Kim Lewandowski, Matt Moore (CTO) y Scott Nichol, quienes anteriormente trabajaron en Google y estuvieron muy involucrados en la comunidad de código abierto.
Me reuní con Aikas, quien formó parte del primer equipo de Kubernetes en Google y líder técnico de Concurso completo nativo, en el evento KubeCon/CloudNativeCon en España el mes pasado. Señaló que Enforce es en gran medida la primera pieza del rompecabezas de Chainguard.
“Enforce viene con la mentalidad de que entendemos que la cadena es larga y vamos a comenzar a abordarla, no con la mentalidad de ‘oh sí, genial, aquí está la bandera de ‘asegurar mi mierda’. No construimos aceite de serpiente. La idea es que construyamos una plataforma tecnológica sólida que luego podamos usar y agregar características y comenzar a tapar agujeros en diferentes cadenas. Enforce es la primera pieza de esto y la segunda son las imágenes”.
También señaló que la misión general de Chainguard es mejorar la experiencia del desarrollador, al mismo tiempo que asegura las cadenas de suministro de software.
Como era de esperar, la compañía planea utilizar la nueva financiación para acelerar el desarrollo de su producto. Pero además de eso, Chainguard también planea invertir fuertemente en proyectos de código abierto como Sigstore, SLSA y OpenSSF, así como en un nuevo programa de educación para desarrolladores que se enfoca en la seguridad de la cadena de suministro.
“Los ataques de la cadena de suministro de software de alto perfil como Log4j han puesto de relieve la necesidad de establecer una base de confianza en el software que las empresas ponen en producción”, dijo Bogomil Balkansky, socio de Sequoia Capital. “Chainguard brinda a las empresas confianza en el software de código abierto crítico que implementan al proporcionar una forma sencilla y fácil de usar para los desarrolladores de firmar y verificar artefactos de software para que tengan un rastro para rastrear si ocurre una infracción. El equipo de Chainguard son los líderes de pensamiento en este espacio, y es el equipo adecuado en el momento adecuado de la historia para abordar este problema”.
Source link