تريد شركة Seal Security تسهيل عملية معالجة الثغرات الأمنية مفتوحة المصدر

شركة Seal Security، وهي شركة ناشئة مقرها تل أبيب أسستها مجموعة من الأعضاء السابقين في وحدة الاستخبارات الإسرائيلية 8200، تخرج من الخفاء اليوم وتعلن عن جولة تمويل أولية بقيمة 7.4 مليون دولار مثل Vertex Ventures Israel، بمشاركة من Crew Capital وPayPal. صندوق الخريجين، ونادي الإنترنت في لندن.

منذ اكتشاف ثغرة Log4j وأصدر البيت الأبيض أمره التنفيذي لسلسلة توريد البرمجيات، أصبح كل من يبني البرمجيات يدرك أهمية تحديث المكتبات العديدة مفتوحة المصدر التي يعتمد عليها. ولكن قول ذلك أسهل من فعله في كثير من الأحيان، حيث تقوم المؤسسات الكبيرة في كثير من الأحيان بتوظيف فرق كاملة لا تركز على أي شيء آخر سوى تحديث حزمها. في السنوات الأخيرة، رأينا عددًا من شركات الأمان المتخصصة في تنبيه المطورين عندما تكون إحدى حزمهم معرضة للخطر، وعلى الرغم من أهمية ذلك، إلا أن العمل الحقيقي هو معالجة نقاط الضعف هذه، والتي تتضمن في معظم الحالات ببساطة تثبيت تحديث.

تأسست شركة Seal على يد إيتامار شير (الرئيس التنفيذي)، ليف باشمانوف (CTO) وألون نافون (CPO). بعد فترة وجودهم في الوحدة 8200، عمل أعضاء الفريق في شركات مختلفة، بما في ذلك Cymmetria وCurv وPayPal. أخبرني شير أن الفريق انضم إلى صفوفه في صيف عام 2022.

قال شير: “بالنسبة لي، كان الأمر يتعلق حقًا بالرغبة في أن أصبح عامل بناء”. “لقد أمضيت بعض الوقت على الجانب الآخر: كوني باحثًا، أخترق الأشياء، وأكسرها – وهو أمر ممتع بطريقته الخاصة. لكنني أعتقد أن أحد الأشياء التي اهتممت بها – وأردت حقًا المضي قدمًا فيها – هو أن أكون أكثر في مجال البناء. ” وباعتباره أول موظف في Cymmetria، فقد تذوق تلك التجربة بالفعل، ولكن الآن كمؤسس ومدير تنفيذي، أصبح بإمكانه رؤية النطاق الكامل لتجربة بدء التشغيل.

ما يجعل Seal مختلفًا هو أنه يقوم بالفعل بتصحيح الحزم الضعيفة ولا يقوم فقط بتحديثها. أثناء عمله في PayPal، أدرك أن هناك نقصًا في الأدوات التي لا يمكنها اكتشاف الثغرات الأمنية فحسب، بل يمكنها أيضًا معالجتها. وشدد أيضًا على أن العديد من أدوات اليوم تمطر المطورين بمئات التنبيهات، مما يجعل من الصعب تحديد أولويات تلك التنبيهات التي يجب التركيز عليها. في النهاية، تقضي هذه الفرق جزءًا كبيرًا من وقتها وطاقتها في تحديث الحزم (حتى تلك التي قد لا يتم استخدامها حتى في الإنتاج). وأوضح شير: “ما لاحظناه هو أنه بالنسبة لغالبية الثغرات الأمنية الموجودة، يمكنك في الواقع استخدام التصحيح الأمني ​​الذي يخفف المخاطر وتطبيقه فقط على الإصدارات الحالية التي يستخدمها المطورون بالفعل”.

حاليًا، يتكامل Seal Security مع GitHub لتمكين هذه التصحيحات في مسار CI/CD الخاص بالشركة. ولكن ربما الأهم من ذلك هو أن Seal ينشئ هذه التصحيحات بنفسه. تتم أتمتة الكثير من هذه العملية ودعمها جزئيًا باستخدام نموذج لغة كبير. وأوضح شير أن هذه النماذج جيدة جدًا في تحديد الالتزام الذي قدم تصحيحًا معينًا، على سبيل المثال. في الواقع، بدون النماذج، من المحتمل أن حلًا مثل Seal Security لم يكن ليكون قابلاً للتوسع قبل عامين فقط.

“تعد المكونات مفتوحة المصدر أساسًا لتطوير البرمجيات، وتواجه المؤسسات تحديات كبيرة في إدارة المكتبات ذات الثغرات الحرجة. يوضح دانيال دينز، المؤسس المشارك والشريك العام في Crew Capital (والمؤسس المشارك والرئيس التنفيذي المشارك لشركة UiPath)، أن “هذه التحديات لها تأثير كبير على نتائج الأعمال”. “ختم حماية يعالج طلب السوق هذا من خلال حل يبسط حماية إدارة التصحيح، مما يسمح لعملائها بالقضاء على الثغرات الأمنية بشكل فعال.