Rantai pasokan perangkat lunak terkenal berpori: A yang dilaporkan 81% Basis kode mengandung kerentanan kerentanan kritik terbuka atau risiko. Kerentanan tunggal dapat memiliki dampak besar pada rantai pasokan perangkat lunak yang lebih luas, sebagaimana dibuktikan oleh selera Eksploitasi Log4Shell yang melihat jutaan aplikasi yang terpapar potensial Hacks Eksekusi Kode Jarak Jauh Melalui Perpustakaan Pendaftaran Log4J.
Startup Irlandia Utara Awan Dia sedang bersiap untuk menyelesaikan masalah yang tepat ini dengan platform manajemen artefak “cloud asli”, yang menjanjikan sebagai alternatif yang lebih modern untuk platform rantai pasokan perangkat lunak yang diwarisi sebagai JFROG atau SONATIPE.
Untuk membantu meningkatkan fase pertumbuhan berikutnya, startup pada hari Senin mengatakan telah mengumpulkan $ 23 juta dalam rand pembiayaan B -Run oleh TCV, dengan partisipasi Insight Partners dan beberapa investor yang kembali.
Konstruksi Baru
“Artefak”, dalam konteks industri CloudSmith, mengacu pada paket perangkat lunak, biner atau file komponen yang dibuat atau didistribusikan di seluruh proses pengembangan perangkat lunak. Ini bisa berupa perpustakaan dan ketergantungannya, file konfigurasi, aplikasi yang dikompilasi dan banyak lagi.
Sementara perusahaan umumnya akan menulis kodenya sendiri, umumnya didasarkan pada paket -paket pihak ketiga yang disimpan dalam catatan publik yang terbuka. Paket -paket ini diperlukan dalam waktu kompilasi (ketika kode dikompilasi dalam format yang dapat dieksekusi), tetapi pada saat itu, paket dapat mengubah versi atau tidak tersedia. Di sinilah cloudsmith memasuki keributan, melayani “cermin” dari paket -paket ini.
“Cloudsmith berfungsi sebagai catatan pribadi untuk artefak biner ini, jadi mereka selalu tersedia untuk konstruksi di masa depan, bahkan jika mereka berubah atau menghilang dari sumber aslinya,” CEO Cloudsmith Glenn Weinstein Dia memberi tahu TechCrunch. “Cloudsmith mengatakan bahwa konstruksi dapat diulang dan dapat diandalkan, dan menyediakan terpusat
DevOps atau Platform Engineering Equipment dengan visibilitas apa yang masuk ke perangkat lunak produksinya. “
Tetapi bahkan jika suatu paket masih tersedia dalam repositori open source, Anda dapat mengembangkan masalah keamanan dari waktu ke waktu karena kurangnya pemeliharaan atau untuk alasan yang lebih buruk. Inilah alasan mengapa Cloudsmith memindai unit untuk kerentanan, masalah lisensi dan malware sebelum mengekspos paket ini kepada pengembang di lingkungan pengkodean mereka.
Perlu dicatat bahwa sementara Cloudsmith dapat mengakui paket yang dikembangkan oleh pelanggannya secara internal, sebagian besar artefak yang disimpan di platform ini adalah paket open source dari indeks biasa, termasuk PYPI, Docker Hub, Maven Central dan NPMJS.
“Semua data dan perangkat lunak mengalir melalui cloudsmith, jadi CloudSmith adalah titik kontrol keamanan untuk unit open source; Memindai, menyembuhkan, dan memblokir artefak bermasalah sebelum mencapai produksi, ”kata Weinstein. “Cloudsmith juga mengklarifikasi titik buta yang dimiliki banyak perusahaan dalam hal pengawasan yang jelas terhadap artefak yang mereka gunakan, baik source, publik atau open source.”
Uang penting
Didirikan di Belfast pada tahun 2016 oleh Alan Carson dan CTO Lee SkillenCloudsmith sebelumnya mengumpulkan $ 26 juta dalam satu putaran seri A yang dimulai dengan $ 15 juta pada tahun 2021 dan berakhir dengan a $ 11 juta pada tahun 2023. Bagian kedua datang tak lama setelah Carson melakukan transisi ke Direktur Strategi dan Direktur Pelanggan Twilio, Weinstein Seperti CEO.
Menurut Carson, membawa startup yang berpengalaman dan seorang pengusaha yang diperluas memungkinkan dua co -founder untuk lebih fokus pada “visi, rute, dan arsitektur produk, sambil membukanya ke berbagai perusahaan dan investor yang lebih luas di Amerika Serikat, termasuk TCV dan Insight Partners.
“Investor ini adalah pertanda kuat bahwa Cloudsmith telah berubah menjadi kepemimpinan kategori,” kata Carson kepada TechCrunch melalui email. “Di bawah kepemimpinan Glenn, Cloudsmith telah beralih langsung ke perusahaan besar dan tantangan mereka untuk mengendalikan dan mengamankan rantai pasokan perangkat lunak mereka, dan dalam mematuhi standar kepatuhan yang ketat.”
Sebagian besar dari 100 karyawan Cloudsmith, termasuk kedua pendiri, berbasis di Belfast, tetapi Weinstein mengatakan bahwa sekitar tiga perempat pendapatan mereka sekarang berasal dari pelanggan di Amerika Serikat.
Dengan pembiayaan baru, Cloudsmith berencana untuk mempekerjakan penjualan, pemasaran dan keberhasilan klien, serta berinvestasi dalam R&D untuk aplikasi AI baru. Faktanya, Weinstein mengatakan ia memiliki “peluang unik” untuk mengubah bank data konsumsi yang besar dari paket perangkat lunak menjadi “ide -ide yang dapat diproses” untuk pengembang.
“Kami ingin membantu pengembang memilih paket sumber terbuka yang lebih baik dan aman,” kata Weinstein. “Kami akan melakukannya untuk tim keamanan siber untuk membuat catatan internal yang disembuhkan, di mana lebih mudah bagi pengembang untuk mendapatkan paket repositori sembuh internal daripada dari registri publik.”
Ini mungkin akan melibatkan membuat rekomendasi, seperti mengubah paket yang jarang diperbarui atau menjadi populer, ke paket serupa yang telah diadopsi klien cloudsmith lainnya.
“Ini adalah dewan di mana pengembang percaya hari ini, meskipun secara informal.”Hei, saya mendengar tentang paket ini” – dan membuatnya langsung tersedia tips melalui platform CloudSmith,” kata Weinstein.
