La seguridad de la cadena de suministro de software es más amplia que SolarWinds y Log4J

Los fundadores de Kubernetes y sigstore recaudan 17,5 millones de dólares para lanzar la startup de cadena de suministro de software Stacklok

Después de jugar un papel decisivo en el lanzamiento del proyecto de código abierto Kubernetes, los cofundadores de Kubernetes, Craig McLuckie y Joe Beda, dejaron Google para lanzar Heptio en 2016. Luego vendieron la empresa a VMware en 2018. Ambos dejaron VMware en 2022 y McLuckie fundó una puesta en marcha sigilosa después de un breve período como empresario en residencia en Accel. Ahora sabemos que esta startup sigilosa es Stacklokcuyo objetivo es crear herramientas y servicios que se centren en la seguridad de la cadena de suministro de software.

Para construir Stacklok, McLuckie se asoció con Luke Hinds como CTO de la empresa. Hinds es el fundador de la sigstore proyecto, que se ha convertido en el proyecto de código abierto predeterminado que se encuentra en el núcleo de muchas pilas de la cadena de suministro. Como me dijo Hinds, sigstore tomó forma durante los primeros días de los cierres por la pandemia de 2020, mientras trabajaba en Red Hat.

Créditos de imagen: Stacklok

“He tenido la idea en mi cabeza durante bastante tiempo, pero con los ecosistemas de código abierto, hay mucha materia oscura por ahí, una enorme bestia espagueti de dependencias que están intrincadamente combinadas pero que no pueden ver un patrón claro. ”, me dijo Hinds. “Así que tuve la idea de construir este tipo de libro mayor de la cadena de suministro para tener visibilidad y transparencia en la cadena de suministro. Así que comience con una base realmente buena donde todo lo que hay allí tenga no repudio y una firma criptográfica. Entonces sabes que está ligado a una identidad, ya sea una máquina o un ser humano. Entonces, si comenzamos con una base de confianza realmente buena, un tejido de confianza, entonces podemos comenzar a colocar capas encima de esa pila”.

Hoy, sigstore es parte de la Fundación Linux Fundación de seguridad de código abierto (OpenSSF). Dado que la seguridad de la cadena de suministro de software es una prioridad en los ecosistemas de software, una herramienta como sigstore que ayuda a los desarrolladores a firmar y verificar su propio proyecto y las bibliotecas que utilizan, se ha convertido en una herramienta central para crear software más seguro. Y aunque los dos cofundadores aún no hablaron mucho sobre sus planes de productos para Stacklok, sigstore obviamente también estará en el centro de este proyecto.

McLuckie me dijo que él también había estado pensando en la seguridad de la cadena de suministro durante un tiempo y que también extrañaba construir cosas. “No hay nada más divertido que construir una empresa”, dijo. “He estado pensando en los problemas de seguridad de la cadena de suministro durante mucho tiempo. He estado hablando de esto desde mucho antes de que ocurriera el incidente de SolarWinds. En mi mente, parecía algo que era un vector obvio para [attackers]. Si piensa en las organizaciones empresariales, uno de sus principales diferenciadores es su capacidad para producir y consumir tecnología para resolver el problema comercial y cuando ve que el mundo se vuelve cada vez más oscuro, un poco más peligroso, con este extraño tipo de fusión de naciones. actores estatales y piratas informáticos comerciales para que se vuelvan casi distinguibles. Parecía lógico que el lugar al que esa persona comienza a prestar atención es la cadena de suministro: ¿Cómo se puede insertar algo en una cadena de suministro que consumen las empresas?”.

En muchos sentidos, el ecosistema de seguridad de la cadena de suministro de código abierto se encuentra en un punto similar al ecosistema inicial de Kubernetes. Algunos de los componentes básicos están disponibles, pero aún queda mucho trabajo por hacer para hacer que la tecnología sea más accesible para una amplia gama de usuarios potenciales. La mayoría de los desarrolladores, por mucho que quieran escribir código seguro y solo trabajen con paquetes confiables, después de todo no son expertos en criptografía. Mientras tanto, el panorama de la seguridad continúa cambiando, todo mientras Orden Ejecutiva 14028 ahora ha hecho de esto una prioridad nacional en los EE. UU.

“La visión que Luke y yo tenemos realmente comienza con los desarrolladores y les brinda un conjunto de conocimientos muy claro y preciso sobre lo que deben hacer para comenzar a producir mejor software: una mejor comprensión de las dependencias que están tomando, mejor comprender sus preferencias operativas, y al hacerlo, comienzan a producir datos que luego se pueden escribir en un libro de contabilidad, para que puedan mostrar su trabajo de manera efectiva. ‘Oye, me estaba portando bien cuando produje esto’”.

Por lo tanto, desde el principio, Stacklok espera crear herramientas que muestren una gran cantidad de estos datos de procedencia directamente a los desarrolladores y hacerlo de una manera que haga que esta tecnología sea más transparente y accesible para ellos. McLuckie insinuó que el equipo probablemente comenzará primero a construir una integración con GitHub, pero el equipo mantiene la mayoría de sus planes en secreto hasta que esté listo para lanzar una versión beta.

“Queremos crear este círculo virtuoso. Este volante de compromiso”, dijo McLuckie. “Pero cuando comienzas a ver lo que necesitan los equipos, ahí es donde entra en juego el lado comercial más interesante para nosotros. Una vez que los desarrolladores están comenzando a consumir esto y utilizarlo y generar información del proyecto, la siguiente pregunta lógica y obvia es ¿dónde está alojado y cómo tomo decisiones políticas en vista de eso? Ahí es donde entrará nuestra línea de productos comerciales”.

Stacklok anunció hoy que ha recaudado una ronda Serie A de $17,5 millones. No te perdiste la ronda semilla de la compañía. Stacklok simplemente decidió renunciar a este paso y llamar a su primera ronda de financiación Serie A (y dado su tamaño, eso tiene sentido). Dado el papel anterior de McLuckie como empresario residente en Accel, no sorprende que la empresa también invierta en Stacklok, junto con Madrona, otro de los primeros inversores de Heptio.

“El mercado de la seguridad de la cadena de suministro de software está fragmentado, con muchos proveedores de soluciones puntuales pero ningún líder de plataforma claro”, escriben Tim Porter y Sabrina Wu de Madrona en su anuncio de hoy. “Creemos que Stacklok está en una posición única para ganar dados los antecedentes únicos del equipo y la capacidad de crear una solución de plataforma novedosa que sea tanto proactiva como correctiva en todo el proceso de DevSecOps, proporcionando un enfoque elegante y efectivo para CodeSec y expandiéndose naturalmente con el tiempo a los escenarios de AppSec. . Por ejemplo, imaginamos que Stacklok podrá forzar la remediación de un paquete de producción cuando se descubra una nueva vulnerabilidad de día cero y mejorar la visibilidad de la cadena de suministro al hacer que la información contextual sea útil”.

Heptio se vendió con bastante rapidez, incluso antes de que el equipo pudiera desarrollar completamente la cartera de productos que había imaginado. De hecho, cuando le pregunté a McLuckie sobre esto, dijo que tal vez vendió demasiado pronto. “Fue demasiado rápido. Era demasiado pronto. Fue el mejor trabajo”, dijo. Sin embargo, argumenta que el equipo de Stacklok está en esto a largo plazo.


Source link