يجمع Cloudsmith 23 مليون دولار لتحسين أمان سلسلة التوريد البرمجيات

تتميز سلسلة إمداد البرمجيات بمسورة: تحتوي 81 ٪ من رواريات المبلغ عنها على نقاط الضعف ذات المصدر المفتوح عالي الخطورة أو الحرجة. يمكن أن يكون للضعف الفردي تأثير بعيد المدى على سلسلة التوريد على نطاق البرمجيات الأوسع ، كما يتضح من أمثال استغلال Log4Shell الذي شهد ملايين التطبيقات المعرضة لمخرقات تنفيذ التعليمات البرمجية عن بُعد المحتملة عبر مكتبة تسجيل Log4J.

تنطلق شركة Cloudsmith Northern Irish لحل هذه المشكلة الدقيقة من خلال “منصة إدارة القطع الأثرية” السحابة ، والتي ترتبط بها كبديل أكثر حداثة لمنصات سلسلة التوريد القديمة مثل JFROG أو Sonatype.

للمساعدة في قيادة المرحلة التالية من النمو ، قالت الشركة الناشئة يوم الاثنين إنها جمعت 23 مليون دولار في جولة من السلسلة B من التمويل بقيادة TCV ، بمشاركة من Insight Partners وبعض المستثمرين العائدين.

بناء جديد

يشير “قطعة أثرية” ، في سياق صناعة Cloudsmith ، إلى أي حزمة برامج أو ملف ثنائي أو مكون يتم إنشاؤه أو توزيعه خلال عملية تطوير البرمجيات. يمكن أن تكون هذه المكتبات وتبعياتها وملفات التكوين والتطبيقات المترجمة والمزيد.

على الرغم من أن الشركة عادة ما تكتب رمزها الخاص ، فإنها تعتمد عادة على حزم الطرف الثالث المخزنة في سجلات المصدر المفتوح العام. هذه الحزم مطلوبة في وقت الإنشاء (عندما يتم تجميع الكود بتنسيق قابل للتنفيذ) ، ولكن في هذه المرحلة ، قد تكون الحزمة قد غيرت الإصدارات ، أو قد لا تكون متاحة ببساطة. هذا هو المكان الذي يدخل فيه Cloudsmith المعركة ، ويقدم “مرايا” من هذه الحزم.

وقال جلين وينشتاين ، الرئيس التنفيذي لشركة Cloudsmith لـ TechCrunch: “يعد Cloudsmith بمثابة سجل خاص لهذه القطع الأثرية الثنائية ، لذلك فهي متاحة دائمًا للبناء المستقبلي ، حتى لو تغيرت أو تختفي من مصادرها الأصلية”. “يضمن Cloudsmith أن تكون التصميمات قابلة للتكرار وموثوقة ، وتوفر مركزيًا
DevOps أو فرق هندسة المنصات مع رؤية ما يحدث في برامج الإنتاج الخاصة بهم. “

ولكن حتى إذا كانت الحزمة لا تزال متوفرة في مستودع مفتوح المصدر ، فيمكنها تطوير مشكلات أمنية مع مرور الوقت بسبب نقص الصيانة ، أو لأسباب أكثر شهرة. هذا هو السبب في قيام الغيوم بمسح التبعيات من أجل نقاط الضعف ، ومشكلات الترخيص ، والبرامج الضارة قبل تعريض هذه الحزم للمطورين في بيئات الترميز الخاصة بهم.

تجدر الإشارة إلى أنه على الرغم من أن Cloudsmith يمكن أن يدعم الحزم التي طورها عملائها في الشركة ، فإن الغالبية العظمى من القطع الأثرية المخزنة على المنصة هي حزم مفتوحة المصدر من الفهارس المعتادة ، بما في ذلك PYPI و Docker Hub و Maven Central و NPMJS.

“جميع البيانات والبرامج تتدفق من خلال الغيوم ، لذا فإن Cloudsmith هو نقطة تفتيش أمان لتبعيات المصدر المفتوح ؛ وقال وينشتاين: “يمسح Cloudsmith أيضًا مجموعة أعمى لديها العديد من المؤسسات من حيث الإشراف الواضحة على التصنيفات التي يستخدمونها ، سواء كانت خاصة أو عامة أو مفتوحة المصدر.”

المال يهم

تأسست Cloudsmith في بلفاست في عام 2016 من قبل آلان كارسون و CTO Lee Skillen ، وقد جمعت سابقًا 26 مليون دولار في جولة من السلسلة A التي بدأت بمبلغ 15 مليون دولار في عام 2021 وانتهت بمبلغ آخر 11 مليون دولار في عام 2023. جاءت الشريحة الثانية بعد فترة وجيزة من انتقال كارسون إلى دور كبير مسؤولي الاستراتيجية وتوضيح العميل Twilio Weinstein.

وفقًا لكارسون ، مكّن فريق بدء التشغيل وتوسيع نطاقه من ذوي الخبرة من المؤسسين المشاركين في التركيز أكثر على المنتج “الرؤية ، خريطة الطريق والهندسة المعمارية” ، مع فتحه على مجموعة واسعة من المؤسسات والمستثمرين في الولايات المتحدة-بما في ذلك TCV و Insight Partners.

وقال كارسون لـ TechCrunch عبر البريد الإلكتروني: “هؤلاء المستثمرون هم إشارة قوية إلى أن Cloudsmith قد تحول إلى قيادة الفئة”. “تحت قيادة غلين ، قامت Cloudsmith بتقييمها بشكل مباشر تجاه الشركات الكبيرة وتحدياتها في السيطرة على وتأمين سلاسل إمداد البرمجيات الخاصة بهم ، وفي تلبية معايير امتثال صارمة.”

يوجد معظم موظفي Cloudsmith 100 ، بما في ذلك المؤسسون ، في بلفاست ، لكن وينشتاين يقول إن حوالي ثلاثة أرباع إيراداتها تأتي الآن من العملاء في الولايات المتحدة.

من خلال التمويل الجديد ، تخطط Cloudsmith لتوظيف المبيعات والتسويق ونجاح العملاء ، وكذلك الاستثمار في البحث والتطبيقات الجديدة. في الواقع ، قال وينشتاين إن لديها “فرصة فريدة” لتحويل بنوك واسعة من بيانات استهلاك حزم البرامج إلى “رؤى قابلة للتنفيذ” للمطورين.

وقال وينشتاين: “نريد مساعدة المطورين على اختيار حزم أفضل وأكثر أمانًا مفتوح المصدر”. “سنفعل ذلك من خلال مساعدة فرق الأمن السيبراني على إنشاء سجلات برعاية داخلية ، حيث يكون من الأسهل على المطور مصدر حزمة من ريبو داخلي منسق من السجل العام.”

سيتضمن ذلك على الأرجح تقديم توصيات ، مثل التبديل من حزمة نادراً ما يتم تحديثها أو تنخفض في شعبيتها ، إلى حزمة مماثلة اعتنقها عملاء الغيوم الآخرين.

“هذه هي المشورة التي يعتمد عليها مطوروها اليوم ، وإن كان بشكل غير رسمي -“.مهلا ، سمعت عن هذه الحزمةقال وينشتاين: ” – وتحويلها إلى نصيحة متاحة على الفور عبر منصة Cloudsmith”.