La expansión secreta, donde las empresas almacenan credenciales de autenticación y datos confidenciales similares en múltiples ubicaciones, es un real y Problema creciente para cualquier empresa que quiera evitar una brecha de seguridad.
Las empresas pueden tener cientos de secretos, como claves de API, contraseñas o tokens de acceso a la base de datos, repartidos por su infraestructura, lo que dificulta controlar qué se almacena dónde, quién tiene acceso a él y si alguno de estos datos se ha filtrado inadvertidamente. encontró su camino en el ámbito público. A modo de ejemplo, en 2017, Uber reveló una brecha importante que expuso los datos personales de unos 57 millones de clientes, y aunque hubo muchas fallas de seguridad en juego, la causa principal provino de piratas informáticos que encontraron una clave de acceso de AWS en un repositorio de GitHub de un desarrollador de Uber.
Y es en ese contexto que hemos visto una gran cantidad de nuevas empresas y herramientas de Big Tech salir al mercado diseñadas para ayudar a las empresas a administrar su expansión secreta. La última es una empresa con sede en San Francisco llamada Infisicalque anunció hoy que ha recaudado 2,8 millones de dólares en una ronda inicial de financiación dirigida por Gradient Ventures de Google para ayudar a empresas de todos los tamaños a centralizar su gestión secreta.
Ultra secreto
Infisical se presenta como una plataforma holística de gestión de secretos que combina todos los componentes que necesita una empresa, un poco como lo que Rippling ha estado haciendo en el espacio de gestión de la fuerza laboral, excepto los secretos, según el cofundador de Infisical. Vlad Matsiiako.
“A medida que las empresas se vuelven más digitales y se integran con otro software, es más difícil administrar todos los secretos de sus aplicaciones y desarrolladores: tienen que comprar varias herramientas y darles a todas acceso a sus secretos, lo cual es un problema de seguridad en sí mismo. Matsiiako explicó a TechCrunch. “Puede pensar en Infisical como una pila de administración secreta todo en uno que combina todas las verticales de productos relacionados para una empresa”.
Esto incluye un panel para gestionar secretos en diferentes proyectos y entornos; cliente SDK; una interfaz de línea de comandos (CLI); nativo integraciones con los gustos de GitHub, Netlify y Vercel; versión secreta y ‘recuperación puntual’; registros de auditoría; y escaneo secreto.
Tablero Infiscal Créditos de imagen: Infisical
En cuanto al modelo de negocios, Infisical obtiene ingresos a través de su encarnación en la nube alojada, que vende como SaaS, y a través de su contraparte autohospedada mediante la venta de funciones de nivel empresarial.
El (más o menos) factor de código abierto
Si bien Infisical se está promocionando como una plataforma SecretOps de “código abierto”, un vistazo rápido a su licencias en GitHub revela que tal vez esté más alineado con el ámbito de código abierto o fuente disponible, que con la esfera pura de código abierto. Es decir, si bien gran parte de la funcionalidad central de la plataforma aparentemente está disponible para su uso bajo el permisivo licencia MITincluido el escaneo de secretos y las integraciones de infraestructura, ha conservado muchas de las características, como registros de auditoría, inicio de sesión único, recuperación y controles de acceso, bajo una licencia propietaria bajo una edición empresarial (EE) separada.
“Todo nuestro código base está disponible para que todos lo vean en GitHub, y mantenemos todas las funcionalidades básicas de administración de secretos disponibles bajo la licencia MIT”, dijo Matsiiako. “Creemos firmemente que los desarrolladores independientes y los aficionados deberían poder experimentar con la mayoría de las funciones de forma gratuita utilizando Infisical Cloud o Infisical self-hosted”.
El pensamiento aquí es que cuando los usuarios comienzan a considerar Infisical en términos de implementación para casos de uso comerciales críticos, necesitan más funciones, como seguridad y cumplimiento avanzados. Por lo tanto, incluso si una empresa ha optado por autohospedar Infisical, todavía tiene que comprar una licencia empresarial para aprovechar las funciones patentadas principales.
“El objetivo es realmente cobrar solo a las empresas más grandes”, agregó Matsiiako.
Ya hay un montón de herramientas similares en el mercado, incluido el código abierto Bóveda proyecto del gigante de infraestructura en la nube de mil millones de dólares HashiCorp, que prácticamente ha establecido el estándar para el sector de la gestión secreta. Sin embargo, Matsiiako argumenta que Infisical está más dirigido a los desarrolladores generales que a los equipos de ingeniería de plataformas, lo que facilita la implementación con una curva de aprendizaje más plana.
“Vault es difícil de adoptar para los desarrolladores sin experiencia en seguridad o infraestructura, y creemos que es más popular entre los equipos de seguridad e ingeniería de plataformas”, dijo. “Debido a eso, las empresas experimentan ciclos de desarrollo más lentos y algunas incluso recurren al desarrollo de soluciones totalmente personalizadas para desarrolladores además de Vault o en lugar de Vault.
Otras alternativas notables incluyen Doppler y Akeyless, que son productos SaaS sustancialmente patentados, e incluso productos tangenciales como herramientas de escaneo secreto de Gitguardian, una función que Infisical ya admite como parte de su plataforma.
“Al integrar el escaneo de secretos dentro de la oferta de paquetes de Infisical, extraemos sinergias entre la gestión de secretos y el escaneo de secretos, y una empresa que busca soluciones de gestión de secretos relacionadas ahora solo necesita pasar por un proveedor en lugar de varios”, dijo Matsiiako.
La historia hasta ahora
El trío de fundadores de la empresa — Matsiiako, Islamy tony dang — se conocieron en la Universidad de Cornell, donde estudiaron una combinación de temas de informática y ciencia de datos, y luego trabajaron en varias empresas como AWS, Figma y Bung. Luego se reunieron para poner en marcha su nueva aventura juntos en San Francisco en agosto pasado.
“A lo largo de nuestras experiencias colectivas pasadas y hablando con colegas de la industria, reconocimos que administrar los secretos de las aplicaciones era engorroso y que los problemas en la industria de administración de secretos estaban lejos de resolverse”, dijo Matsiiako. “Nos quedó claro que necesitábamos crear una solución de código abierto que fuera fácil de usar para la gestión de secretos; ser de código abierto brinda a los desarrolladores la flexibilidad de usar Infisical Cloud o alojarlo en su propia infraestructura, que es lo que hacen con frecuencia las empresas más grandes”.
Infisical recaudó $500,000 de su participación en Y Combinator’s (YC) programa invierno ’23y recientemente hizo su primera contratación de ingenieros que se unieron a ellos del gigante de software empresarial Red Hat.
Además del principal patrocinador Gradient Ventures, la ronda semilla de la compañía incluyó inversiones de YC, 22 Ventures y patrocinadores ángeles como Elad Gil y YC’s diana hu.
Source link