تدعم Sequoia Coana لمساعدة الشركات على تحديد أولويات نقاط الضعف باستخدام تحليل البرامج “المدركة للتعليمات البرمجية”
تدعم شركة سيكويا العملاقة لرأس المال الاستثماري في وادي السيليكون (VC) شركة دنماركية ناشئة لبناء أداة تحليل تكوين البرامج (SCA) من الجيل التالي، وهي أداة تعد بمساعدة الشركات على تصفية الضوضاء وتحديد نقاط الضعف التي تشكل تهديدًا حقيقيًا.
بالنسبة للسياق، تحتوي معظم البرامج على بعض المكونات مفتوحة المصدر على الأقل، والعديد منها قديم ولا تتم صيانته بشكل منتظم – هذا إن تمت صيانته على الإطلاق. وقد أدى هذا إلى جميع أنواع العيوب الأمنية، مثل Log4Shell الذي أثر على إطار عمل تسجيل Java مفتوح المصدر Log4j وأدى إلى انتهاكات أثرت على المنظمات رفيعة المستوى مثل الوكالة الفيدرالية الأمريكية التي فشلت في تصحيح الخطأ. وهذا بدوره يؤدي إلى مجموعة من التنظيمات الجديدة، المصممة لمساعدة الشركات على إدارة سلسلة توريد برمجيات أكثر صرامة.
تكمن المشكلة في أنه مع تغلغل ملايين المكونات في سلسلة توريد البرامج، ليس من السهل دائمًا معرفة ما إذا كان تطبيق معين يستخدم مكونًا معينًا. هناك، بالطبع، العديد من أدوات تحليل تكوين البرامج (SCA)، من Snyk إلى Synopsis، والتي تنبه الشركات حول نقاط الضعف المعروفة في مجموعتها التكنولوجية – ولكن هذا يمكن أن يخلق الكثير من الضجيج، خاصة إذا لم يكن التطبيق نشطًا باستخدام هذا المكون، مما يجعل من الصعب على فرق الأمان تحديد أولويات نقاط الضعف المهمة حقًا.
وهذا هو المكان الذي تسعى فيه شركة Coana الدنماركية الناشئة في مجال الأمن السيبراني إلى إحداث فرق، باستخدام SCA “المدرك للتعليمات البرمجية” لمساعدة مستخدميها على فصل التنبيهات غير ذات الصلة والتركيز فقط على التنبيهات المهمة.
كوانا: مثال التنبيهات
تأسست شركة Coana في الدنمارك في عام 2021، وهي من عمل أستاذ علوم الكمبيوتر (أندرس مولر) واثنين من الحاصلين على درجة الدكتوراه (مارتن تورب وبنجامين بارسليف نيلسن) الذين يقولون إنهم حققوا “اختراقًا تقنيًا” بينما كانوا جزءًا من مجموعة بحثية في آرهوس بالدنمارك. الجامعة، اكتشاف تقنية جديدة لتحليل وفهم التطبيقات الكبيرة المستندة إلى JavaScript. انضم الرئيس التنفيذي Anders Søndergaard إلى الثلاثي كمؤسس مشارك في عام 2022، بعد أن خرج من شركة ناشئة سابقة في مجال تكنولوجيا القياسات الحيوية تسمى Resilio في العام السابق.
للمساعدة في تمويل شركتهم خلال مرحلة الوصول المبكر إلى التسويق الكامل، أعلنت Coana اليوم أنها جمعت 1.6 مليون دولار في جولة تمويل ما قبل التأسيس بقيادة Sequoia Capital، بمشاركة Essence VC وعدد كبير من المستثمرين الملائكة بما في ذلك الحاليين والسابقين. المديرين التنفيذيين من Google وRed Hat وGitHub.
طرف ثالث
يمكن أن يتكون التطبيق النموذجي من ما يصل إلى 90% من مكتبات الطرف الثالث، وأغلبها مفتوحة المصدر ويتم صيانتها (أو لا) بواسطة أي عدد من المطورين المتطوعين.
لذلك قد تقوم شركة بناء البرامج ببناء طبقة التطبيقات الخاصة بها والتي تعتمد على هذه المكتبات التي لا تعد ولا تحصى، مما يؤدي إلى إنشاء سلسلة طويلة من التبعيات المرتبطة بالوظائف. تقليديًا، تقوم أداة SCA بفحص رقم إصدار تبعية معينة، ومقارنتها بقاعدة بيانات من الثغرات الأمنية المعروفة ثم تقديم تقرير إلى المطورين إذا وجدت تطابقًا. ومع ذلك، في كثير من الحالات، قد يستخدم التطبيق وظيفة واحدة أو اثنتين فقط من مكتبة ربما تحتوي على 50 وظيفة – لذلك إذا كانت هناك ثغرة أمنية في جزء من المكتبة لا يستدعيه التطبيق مطلقًا، فلا ينبغي أن يؤثر ذلك حقًا على هذا التطبيق.
يمكن للشركات استخدام Coana لبناء ما يطلق عليه “الرسم البياني للاتصال” للتطبيق بأكمله، والذي يشمل كود التطبيق وتبعياته، لفهم مسارات تدفق البيانات، ثم استخدامه للتخلص من النتائج الإيجابية الخاطئة.
قال سوندرجارد لـ TechCrunch: “يمكن أن تكون كمية الحزم المستخدمة وأسطر التعليمات البرمجية كبيرة للغاية، لذا فهي تتطلب بعض التحليلات الثابتة المعقدة حقًا”. “يمكّننا الرسم البياني للاتصال من إجراء تحليل ضخم لجميع المسارات الممكنة بين التبعيات المختلفة. لذا، تخيل تطبيقًا يتكون من مئات أو آلاف التبعيات، يمكننا تحديد جميع المسارات بين تلك التبعيات لفهم أي منها معرض للخطر حقًا – وأي منها ليس كذلك.
لا يزال الوقت مبكرًا جدًا، بالطبع، حيث قدمت Coana الإصدار الأول لمنتجها في أكتوبر لعملائها الأوائل الذين يدفعون – وهو مزيج من الشركات الناشئة والسلسلة الناشئة في المرحلة B وC. ومع ذلك، تعمل الشركة على توسيع دعمها إلى ما هو أبعد من JavaScript وإلى Java وPython هذا العام، مما سيساعدها على استهداف قاعدة عملاء أوسع.
قال سوندرجارد: “مع نضوج منتجنا ونضوج شركتنا، فإننا نتقدم في السوق، ونستهدف في النهاية المؤسسات الكبيرة، لكن ذلك سيستغرق بعض الوقت قبل أن يكون لدينا التطور في الدعم اللغوي للوصول إلى هذا المستوى”.
يمكن للشركات التي تتطلع إلى التحقق من Coana اليوم التقدم بطلب للوصول المبكر الآن.
