Sequoia, el gigante del capital de riesgo (VC) de Silicon Valley, está respaldando a una incipiente startup danesa para construir una herramienta de análisis de composición de software (SCA) de próxima generación, que promete ayudar a las empresas a filtrar el ruido e identificar vulnerabilidades que son una amenaza genuina.
Por contexto, la mayoría del software contiene al menos algunos componentes de código abierto, muchos de los cuales están desactualizados y mantenido de manera irregular (si es que se mantiene). Esto ha dado lugar a todo tipo de fallos de seguridad, como Log4Shell que afectó el marco de registro de Java de código abierto Log4j y llevado a incumplimientos impactando a organizaciones de alto perfil como Agencia federal de EE. UU. que no logró corregir el error. A su vez, esto está dando lugar a una serie de nueva regulacióndiseñado para obligar a las empresas a ejecutar una cadena de suministro de software más estricta.
El problema es que, con millones de componentes presentes en la cadena de suministro de software, no siempre es fácil saber si una aplicación determinada utiliza un componente en particular. Por supuesto, existen muchas herramientas de análisis de composición de software (SCA), de snyk a Sinopsisque alertan a las empresas sobre vulnerabilidades conocidas en su pila de tecnología, pero esto puede generar mucho ruido, especialmente si una aplicación no utiliza activamente ese componente, lo que dificulta que los equipos de seguridad prioricen las vulnerabilidades que realmente importan.
Y aquí es donde la startup danesa de ciberseguridad Mamá se propone marcar la diferencia, utilizando SCA «con reconocimiento de código» para ayudar a sus usuarios a separar alertas irrelevantes y centrarse solo en aquellas que importan.
Coana: Alertas de ejemplo
Fundada en Dinamarca en 2021, Coana es obra de un profesor de informática (Anders Moller) y dos doctorados (Martín Torp y Benjamín Barslev Nielsen) quienes dicen haber logrado un «avance técnico» mientras formaban parte de un grupo de investigación en la Universidad de Aarhus en Dinamarca, al descubrir una nueva técnica para analizar y comprender aplicaciones grandes basadas en JavaScript. CEO Anders Sondergaard se unió al trío como cofundador en 2022, habiendo salió de una startup de tecnología biométrica anterior llamada Resilio el año previo.
Para ayudar a financiar su empresa a través de su etapa de acceso temprano a la comercialización total, Coana anunció hoy que ha recaudado $ 1,6 millones en una ronda de financiación previa a la semilla liderada por Sequoia Capital, con la participación de Essence VC y una gran cantidad de ángeles, incluidos actuales y anteriores. ejecutivos de Google, Red Hat y GitHub.
Tercero
Una aplicación típica puede constar de hasta un 90 % de bibliotecas de terceros, la mayoría de las cuales son de código abierto y mantenidas (o no) por cualquier número de desarrolladores voluntarios.
Por lo tanto, una empresa que crea software podría crear su propia capa de aplicación que se base en estas innumerables bibliotecas, creando una larga cadena de dependencias que están conectadas por funciones. Tradicionalmente, una herramienta SCA analizaba el número de versión de una dependencia particular, la asignaba a una base de datos de vulnerabilidades conocidas y luego informaba a los desarrolladores si encontraba una coincidencia. Sin embargo, en muchos casos, una aplicación solo puede usar una o dos funciones de una biblioteca de quizás 50, por lo que si existe una vulnerabilidad en una parte de la biblioteca a la que la aplicación nunca llama, en realidad no debería afectar esa aplicación.
Las empresas pueden utilizar Coana para crear lo que se llama un «gráfico de llamadas» de toda la aplicación, que abarca el código de la aplicación y las dependencias, para comprender las rutas del flujo de datos y luego utilizarlo para eliminar falsos positivos.
«La cantidad de paquetes que se utilizan y las líneas de código pueden ser extremadamente altas, por lo que requiere un análisis estático realmente sofisticado», dijo Søndergaard a TechCrunch. “El gráfico de llamadas nos permite hacer un gran análisis de todos los caminos posibles entre diferentes dependencias. Entonces, imagine una aplicación que consta de cientos o miles de dependencias, podemos identificar todos los caminos entre esas dependencias para comprender cuáles son realmente vulnerables y cuáles no”.
Por supuesto, todavía es muy temprano, ya que Coana presentó la primera versión de su producto en octubre para sus primeros clientes de pago: una combinación de empresas emergentes y en expansión de las etapas Serie B y Serie C. Sin embargo, la empresa está trabajando para ampliar su soporte más allá de JavaScript y a Java y Python este año, lo que le ayudará a dirigirse a una base de clientes más amplia.
«A medida que nuestro producto y nuestra empresa maduran, avanzamos en el mercado y eventualmente apuntamos a grandes empresas, pero pasará un tiempo antes de que tengamos la sofisticación del soporte lingüístico necesario para llegar a ese nivel», dijo Søndergaard.
Las empresas que quieran probar Coana hoy pueden Solicite acceso temprano ahora.
