Cloudsmith Inc., une startup qui aide les équipes logicielles à gérer les composants applicatifs, a obtenu un nouveau financement de 72 millions de dollars.
Le tour de table de série C a été mené par TCV, qui était également le plus gros bailleur de fonds de la précédente augmentation de capital de la société l'année dernière. Cloudsmith a déclaré aujourd'hui dans son annonce de financement que le fonds de risque avait été rejoint par d'autres investisseurs existants et Insight Partners. Le financement extérieur total de l'entreprise dépasse désormais 110 millions de dollars.
Les développeurs téléchargent les composants open source qu'ils utilisent dans leurs projets logiciels non seulement à partir des référentiels GitHub, mais également de nombreuses autres sources. Les modèles d'intelligence artificielle, par exemple, proviennent généralement du portail homonyme de Hugging Face Inc.. Pour les administrateurs, vérifier que tous les composants open source utilisés par les développeurs répondent aux exigences de cybersécurité peut prendre beaucoup de temps.
Cloudsmith, basé à Belfast, vend une plateforme cloud qui facilite la tâche. Il s'agit d'une sorte de boutique d'applications optimisée pour stocker des projets open source et d'autres éléments constitutifs de logiciels. Les administrateurs peuvent gérer ces composants de manière centralisée, ce qui est plus simple que de surveiller des référentiels tiers dispersés sur plusieurs sites Web.
Cloudsmith peut stocker non seulement du code, mais également une gamme d'autres artefacts, terme générique désignant les fichiers de projets logiciels. La plateforme est capable d'héberger, entre autres, des scripts de configuration, des modèles d'IA et des systèmes d'exploitation.
Un autre cas d'utilisation pris en charge par Cloudsmith est le stockage de conteneurs logiciels. Un conteneur peut contenir plus de dizaines d’artefacts individuels, chacun représentant un risque potentiel de cybersécurité. Cloudsmith s'attaque à cette complexité en générant automatiquement une facture ou des matériaux logiciels, ou SBOM, pour chaque conteneur. Un SBOM est un fichier qui répertorie les composants d'une charge de travail.
Avant de rendre un composant open source disponible au téléchargement, Cloudsmith l'analyse à la recherche de vulnérabilités connues. La plateforme détermine la gravité de chaque problème détecté à l’aide d’un cadre appelé Exploit Prediction Scoring System. Le cadre estime la probabilité qu'une vulnérabilité soit exploitée par des pirates informatiques dans les 30 prochains jours.
Cloudsmith détecte également d'autres problèmes que les vulnérabilités. Selon la société, sa plate-forme analyse les composants open source à la recherche de conditions de licence susceptibles de compliquer les projets logiciels. Cloudsmith peut repérer, entre autres, les clauses de licence interdisant une utilisation commerciale.
Les clients peuvent utiliser les données présentées par la plateforme pour créer des flux de travail d'automatisation. Par exemple, une entreprise pourrait créer une politique qui bloque les composants open source s'ils contiennent une vulnérabilité de haute gravité. Les clients écrivent des workflows d'automatisation dans Rego, une syntaxe de programmation spécialisée optimisée pour des tâches telles que la configuration des instances cloud.
« Les agents IA génèrent tellement de logiciels, si rapidement qu'il est presque impossible pour les humains de tout examiner attentivement », a déclaré Glenn Weinstein, PDG de Cloudsmith. « Cloudsmith possède l'envergure et la vision globale de l'écosystème open source nécessaires pour protéger les entreprises contre les nouveaux types de menaces introduites par le développement basé sur l'IA. »
La société investira son nouveau financement dans le développement de fonctionnalités. Cloudsmith prévoit notamment d’ajouter davantage de contrôles de cybersécurité et de capacités d’automatisation basées sur l’IA.
