زنجیره تامین نرم‌افزار، که شامل اجزا، کتابخانه‌ها و فرآیندهایی است که شرکت‌ها برای توسعه و انتشار نرم‌افزار استفاده می‌کنند، در معرض تهدید است.

بر اساس یک نظرسنجی اخیر، 88 درصد از شرکت‌ها معتقدند که امنیت زنجیره تأمین نرم‌افزار «خطری در سطح سازمانی» برای سازمان‌هایشان ایجاد می‌کند، در حالی که نزدیک به دو سوم (65 درصد) معتقدند که برنامه امنیتی زنجیره تأمین نرم‌افزار سازمان‌شان آنقدرها بالغ نیست. همانطور که باید باشد. یک نظرسنجی جداگانه نشان داد که میانگین تعداد نقض های زنجیره تامین به حدود چهار حادثه برای هر شرکت در سال 2023 افزایش یافته است که از تقریباً سه حادثه در سال 2022 افزایش یافته است - افزایش 25 درصدی.

اکنون، ممکن است - و نه به اشتباه - اشاره کنید که تعدادی فروشنده بزرگ و کوچک در آنجا وجود دارند که با چالش امنیتی زنجیره تامین مقابله می کنند. و شما اشتباه نمی کنید. اما یک تازه وارد، کوساری، فکر می کند که می تواند با تیمی که از خدمات مالی و صنایع دفاعی است، بهتر عمل کند.

به نظر می‌رسد سرمایه‌گذاران مایل به خرید هستند. در این ماه، کوساری - که همنامش سلاح فئودالی ژاپنی کوساری-فوندو است - 8 میلیون دلار در دورهای سرمایه‌گذاری اولیه و اولیه که J2 Ventures، Glasswing Ventures و Unusual Ventures مشارکت داشتند، جمع‌آوری کرد. تیم میلر، یکی از بنیانگذاران و مدیر عامل شرکت کوساری، بيان کرد که این پول برای ایجاد پلتفرم نرم افزار به عنوان سرویس (SaaS) کوساری و افزایش تیم استارتاپ از هشت نفر به حدود 15 نفر صرف خواهد شد.

میلر در یک مصاحبه ایمیلی به TechCrunch گفت: «در مورد مدیریت زنجیره تأمین نرم‌افزار و ابزار، مشخصات و استانداردهای موجود در آن فضا، آموزش واقعی وجود ندارد. پلتفرم Kusari مانند یک GPS برای پیمایش مشکلات زنجیره تامین عمل می‌کند، به افسران ارشد امنیت اطلاعات کمک می‌کند تا خطرات نرم‌افزاری که با آن‌ها مواجه هستند را درک کرده و استدلال کنند - و به افراد DevOps کمک می‌کند تا به راحتی و به طور خودکار این مشکلات را برطرف کنند.

میلر کوساری را با مایکل لیبرمن و پارت پاتل در سال 2022 تأسیس کرد. قبل از کوساری، میلر یک مدیر مهندسی در سیتی بود و در آنجا با لیبرمن ملاقات کرد، در حالی که پاتل یک مهندس ارشد سیستم های امنیت سایبری در Raytheon بود.

میلر او میگوید که او، لیبرمن و پاتل با یک مشکل مشترک تشویق شدند تا کوساری را راه‌اندازی کنند: دانستن اینکه کدام نرم‌افزار و وابستگی‌ها توسط یک برنامه یا سیستم خاص در یک لحظه مورد استفاده قرار می‌گیرند.

میلر گفت: «در تاریکی بودن باعث مشکلات زیادی می‌شود، مانند کند بودن در واکنش به آسیب‌پذیری‌های امنیتی، دانستن اینکه آیا مسائل مربوط به مجوز یا انطباق وجود دارد یا خیر و حتی تعمیر و نگهداری اولیه مانند «اگر این مشکل به چه کسی مراجعه کنم؟»؟ ما کوساری را تأسیس کردیم تا شفافیت و امنیت را به زنجیره‌های تامین نرم‌افزار بیاوریم و با آسان‌تر کردن استدلال در مورد آنچه در نرم‌افزار یک سازمان وجود دارد - و به شما نشان دهیم در مورد آن چه کاری باید انجام دهید.

برای این منظور، کوساری از پروژه منبع باز Guac - که میلر، لیبرمن و پاتل در آن مشارکت داشتند - برای یافتن اجزای پرکاربرد در زنجیره تامین نرم افزار و شناسایی قرار گرفتن در معرض وابستگی های خطرناک استفاده می کند. Kusari - با پشتیبانی Guac - همچنین می‌تواند مالکیت برنامه‌ها را در یک سازمان تعیین کند، مطمئن شود که برنامه‌ها با خط‌مشی‌های سازمان مطابقت دارند و تغییرات بین نسخه‌های مختلف نرم‌افزار را تعیین می‌کنند.

در سمت اصلاح، Guac - و کوساری به طور گسترده - می توانند "شعاع انفجار" یک بسته یا آسیب پذیری بد را تعیین کنند و برنامه ای برای اصلاح آن ارائه دهند. همچنین می تواند نقطه مبدا اکسپلویت ها را ردیابی کند و مشخص کند که چه زمانی – و کجا – معرفی شده اند.

میلر Legit Security، Ox Security و Snyk را قدرتمندترین رقبای Kusari می داند. اما او بر رویکرد منبع باز کوساری تاکید می کند که معتقد است منحصر به فرد است.

او گفت: «ما یک مدل کسب و کار منبع باز و SaaS داریم. «استراتژی اولیه ما این بود که اعتبار رویکرد را از طریق محصول منبع باز ایجاد کنیم. محصول SaaS ما اواخر امسال منتشر خواهد شد. ما معتقدیم که می‌توانیم هزینه‌های مقابله با آسیب‌پذیری‌های نرم‌افزاری را به‌طور قابل‌توجهی کاهش دهیم و در عین حال اعتماد به این کار را افزایش دهیم، به تصمیم‌گیرندگان فناوری اجازه می‌دهیم سلامت زنجیره تأمین نرم‌افزار خود را درک کنند و به سرعت تشخیص دهند که آیا خطرات جبران‌نشده وجود دارد یا خیر.»

قابلیت‌های آینده در حال کار شامل یک ربات چت مانند ChatGPT است که به کاربران اجازه می‌دهد با Guac (از طریق Kusari) با Guac چت کنند تا زنجیره تامین سازمان را تحلیل کرده و مدیریت بهتری بر آن داشته باشند، برای مثال با پرسیدن سؤالاتی مانند «کدام کانتینرهای در حال اجرا چنین چیزی دارند. و چنین آسیب‌پذیری؟»

میلر او میگوید که تیم فعلاً تلاش می‌کند تا «لاغر» کار کند و بر استخدام «تعدادی متخصص» تمرکز دارد که می‌توانند به کوساری در پیشرفت سریع کمک کنند. این پلتفرم هنوز راه اندازی نشده است - اما هدف استارتاپ اواخر امسال برای در دسترس بودن عمومی است.

میلر گفت : «در نتیجه کاهش سرعت، ما شاهد هستیم که برخی از شرکای طراحی بالقوه کمی از همکاری کنار می‌روند، زیرا آنها بر ابتکارات تجاری مهم‌تر تمرکز می‌کنند، اما این کندی به اندازه دیگران بر ما تأثیری نداشته است. ما از جدیدترین و بهترین فناوری ساخته شده بر روی منبع باز استفاده می کنیم تا ساخت و مقیاس پلت فرم خود را مقرون به صرفه کنیم."

خبرکاو