تقوم كوساري ببناء منصة أمنية لسلسلة التوريد بالإضافة إلى المصادر المفتوحة

إن سلسلة توريد البرمجيات، التي تضم المكونات والمكتبات والعمليات التي تستخدمها الشركات لتطوير ونشر البرمجيات، معرضة للتهديد.

وفقًا لأحد الاستطلاعات الحديثة، تعتقد 88% من الشركات أن أمان سلسلة توريد البرامج يمثل “خطرًا على مستوى المؤسسة” على مؤسساتهم، في حين يعتقد ما يقرب من الثلثين (65%) أن برنامج أمان سلسلة توريد البرامج الخاص بمؤسساتهم ليس ناضجًا كما ينبغي أن يكون. ووجد استطلاع منفصل أن متوسط ​​عدد خروقات سلسلة التوريد ارتفع إلى حوالي أربعة حوادث لكل شركة في عام 2023، ارتفاعًا من حوالي ثلاث حوادث في عام 2022 – بزيادة قدرها 25٪.

الآن، قد تشير – وليس خطأً – إلى أن هناك عددًا من البائعين الكبار والصغار يتعاملون مع التحدي الأمني ​​لسلسلة التوريد. ولن تكون مخطئا. لكن الوافد الجديد، كوساري، يعتقد أن بإمكانه تحقيق أداء أفضل مع فريق يأتي من الخدمات المالية والصناعات الدفاعية.

يبدو أن المستثمرين على استعداد للشراء. هذا الشهر، كوساري – الذي يحمل الاسم نفسه هو السلاح الإقطاعي الياباني كوساري فوندو – جمعت 8 ملايين دولار عبر جولات التمويل الأولي والتمويل الأولي التي شاركت فيها J2 Ventures وGlasswing Ventures وUnusual Ventures. وقال تيم ميلر، المؤسس المشارك والرئيس التنفيذي، إن الأموال سيتم تخصيصها لبناء منصة كوساري للبرمجيات كخدمة (SaaS)، وزيادة فريق الشركة الناشئة من ثمانية أشخاص إلى حوالي 15 شخصًا.

وقال ميلر لـ TechCrunch في مقابلة عبر البريد الإلكتروني: “هناك نقص حقيقي في التعليم فيما يتعلق بإدارة سلسلة توريد البرامج والأدوات والمواصفات والمعايير ضمن هذا المجال”. “تعمل منصة Kusari مثل نظام تحديد المواقع العالمي (GPS) للتنقل بين مشكلات سلسلة التوريد، ومساعدة كبار مسؤولي أمن المعلومات على الفهم والتفكير بشأن مخاطر البرامج التي يواجهونها – ومساعدة موظفي DevOps على إصلاح هذه المشكلات بسهولة وتلقائيًا.”

شارك ميلر في تأسيس كوساري مع مايكل ليبرمان وبارث باتيل في عام 2022. قبل انضمامه إلى كوساري، كان ميلر مديرًا هندسيًا في سيتي، حيث التقى ليبرمان، بينما كان باتيل مهندسًا كبيرًا لأنظمة الأمن السيبراني في رايثيون.

يقول ميلر إنه وليبرمان وباتل دُفعوا لإطلاق كوساري بسبب مشكلة مشتركة: معرفة البرامج والتبعيات التي يستخدمها تطبيق أو نظام معين في لحظة معينة.

وقال ميلر: “إن التواجد في الظلام يسبب الكثير من المشكلات، مثل التباطؤ في الاستجابة لنقاط الضعف الأمنية، ومعرفة ما إذا كانت هناك مشكلات تتعلق بالترخيص أو الامتثال، وحتى الصيانة الأساسية مثل “إلى من يجب أن أذهب إذا تعطل هذا؟”. “لقد قمنا بتأسيس Kusari لتحقيق الشفافية والأمان لسلاسل توريد البرامج من خلال تسهيل التفكير بشأن ما هو موجود في برامج المؤسسة – وإظهار ما يجب فعله حيال ذلك.”

ولتحقيق هذه الغاية، يستفيد كوساري من مشروع Guac مفتوح المصدر – الذي ساهم فيه ميلر وليبرمان وباتيل – للعثور على المكونات الأكثر استخدامًا في سلسلة توريد البرمجيات وتحديد التعرض للتبعيات المحفوفة بالمخاطر. يمكن لـ Kusari – المدعوم من Guac – أيضًا تحديد ملكية التطبيقات في مؤسسة ما، والتأكد من أن التطبيقات تتوافق مع سياسات المؤسسة وتحديد التغييرات بين الإصدارات المختلفة من البرامج.

ومن ناحية المعالجة، يمكن لـ Guac – وKusari بالتالي – تحديد “نطاق الانفجار” للحزمة السيئة أو الضعف وتقديم خطة لتصحيحها. ويمكنه أيضًا تتبع نقطة الأصل للثغرات، وتحديد متى وأين تم تقديمها.

يرى ميلر أن Legit Security وOx Security وSnyk هم أقوى منافسي Kusari. لكنه أكد على نهج كوساري مفتوح المصدر، والذي يعتقد أنه فريد من نوعه.

وقال: “لدينا نموذج مفتوح المصدر بالإضافة إلى نموذج أعمال SaaS”. “كانت استراتيجيتنا الأولية هي تحقيق التحقق من صحة النهج من خلال المنتج مفتوح المصدر؛ سيتم إصدار منتج SaaS الخاص بنا في وقت لاحق من هذا العام. ونحن نعتقد أنه يمكننا تقليل تكلفة التعامل مع الثغرات الأمنية بشكل كبير مع زيادة الثقة في القيام بذلك، مما يسمح لصانعي القرار في مجال التكنولوجيا بفهم صحة سلسلة توريد البرمجيات الخاصة بهم وتحديد ما إذا كانت هناك مخاطر لم تتم معالجتها بسرعة.

تتضمن الإمكانيات المستقبلية في الأعمال روبوت دردشة يشبه ChatGPT والذي سيسمح للمستخدمين “بالدردشة” مع Guac (من خلال Kusari) لفحص سلسلة التوريد الخاصة بالمؤسسة والتعامل معها بشكل أفضل، على سبيل المثال من خلال طرح أسئلة مثل “ما هي الحاويات الجاري تشغيلها التي تتمتع بهذا؟” ومثل هذا الضعف؟

يقول ميلر إن الفريق يبذل قصارى جهده للسير بشكل “خالي” في الوقت الحالي، مع التركيز على توظيف “حفنة من الخبراء” الذين يمكنهم مساعدة كوساري على البناء بسرعة. لم يتم إطلاق النظام الأساسي بعد، لكن الشركة الناشئة تستهدف التوفر العام في وقت لاحق من هذا العام.

وأضاف ميلر: “نتيجة للتباطؤ، نرى بعض شركاء التصميم المحتملين ينسحبون قليلاً من التعاون حيث يركزون على مبادرات الأعمال الأكثر أهمية، لكن التباطؤ لم يؤثر علينا بقدر تأثيره على الآخرين. نحن نستخدم أحدث وأكبر التقنيات المبنية على المصادر المفتوحة لجعل عملية إنشاء منصتنا وتوسيع نطاقها فعالة من حيث التكلفة.”