La startup de cybersécurité Socket Inc. a révélé aujourd'hui avoir levé 60 millions de dollars de financement pour une valorisation de 1 milliard de dollars.
Les développeurs intègrent souvent des composants ou packages open source dans leurs projets logiciels. Ils téléchargent généralement ces modules à l'aide d'un programme appelé gestionnaire de packages qui accélère les tâches liées à l'installation. Ces dernières années, les gestionnaires de paquets sont devenus une cible majeure des cyberattaques. Les pirates injectent du code malveillant dans des projets open source légitimes pour compromettre les machines des développeurs.
« Une grande partie de ce que produit l'IA atteint les développeurs de dépendances open source n'ont jamais lu », a écrit le fondateur et PDG de Socket, Feross Aboukhadijeh, dans un communiqué. article de blog. « Le volume de codes tiers entrant en production ne cesse d'augmenter, le temps passé à les examiner ne cesse de diminuer et les outils de sécurité de l'ère précédente ne peuvent pas suivre. »
Socket fournit une plate-forme qui bloque les packages malveillants avant que les développeurs ne les téléchargent. Selon la société, elle analyse les modules open source non seulement à la recherche de logiciels malveillants, mais également de vulnérabilités connues et de restrictions de licence. Socket affirme qu'il bloque plus de 1 000 attaques de chaîne d'approvisionnement par semaine pour les utilisateurs.
Les clients peuvent personnaliser la façon dont la plateforme répond aux téléchargements à risque. Par exemple, une équipe logicielle pourrait configurer Socket pour afficher un avertissement lorsqu'un développeur installe un package qui ne reçoit pas de mises à jour régulières. Une fonctionnalité appelée Monitor permet aux administrateurs de permettre à la plate-forme de surveiller les composants potentiellement dangereux au fil du temps.
En plus de bloquer les téléchargements malveillants, la plate-forme Socket aide également les développeurs à corriger les vulnérabilités du code open source qu'ils ont déjà installé. Un scanner intégré peut rechercher dans une application des packages malveillants en quelques secondes. À partir de là, un outil appelé Socket Reachability filtre les vulnérabilités qui ne doivent pas être corrigées de toute urgence car elles ne peuvent pas être exploitées par des pirates. Socket indique que l'outil réduit les faux positifs jusqu'à 90 %.
Corriger un composant vulnérable peut impliquer une quantité de travail importante. Les développeurs doivent vérifier si la mise à jour peut entraîner des problèmes dans l'application qui utilise le code open source en cours de modification. De plus, l'installation de correctifs est souvent un processus compliqué qui nécessite des modifications de configuration et des outils spécialisés.
Socket fournit un service appelé Socket Certified Patches qui rationalise le flux de travail. Selon la société, elle vérifie les correctifs pour détecter les problèmes de fiabilité en utilisant l'intelligence artificielle pour épargner aux développeurs des tracas. Les mises à jour peuvent être installées avec une seule commande, ce qui évite les étapes manuelles habituellement impliquées dans le processus.
Un autre outil Socket promet d'aider les développeurs à réduire le nombre de dépendances transitives dans leurs applications. Une dépendance transitive est un package open source qui inclut d'autres packages open source. Plus il y a de composants dans un bundle de code, plus il y a de chances qu'il contienne des vulnérabilités. Socket fournit également une collection de 130 packages optimisés qui contiennent peu ou pas de dépendances.
L'entreprise utilisera le produit de son cycle de financement pour embaucher davantage d'employés et améliorer sa plateforme. Il prévoit notamment d'ajouter de nouvelles intégrations avec des outils de développement tiers tels que des éditeurs de code. Socket a également l'intention de lancer plusieurs nouveaux produits.
