لقد أصبحت سلسلة توريد البرمجيات، التي تضم المكونات والعمليات المستخدمة لتطوير البرمجيات، غير مستقرة. وفقًا لأحد الاستطلاعات الحديثة، تعتقد 88% من الشركات أن ضعف أمان سلسلة توريد البرامج يمثل “خطرًا على مستوى المؤسسة” على مؤسساتها.
تعد مكونات سلسلة التوريد مفتوحة المصدر محفوفة بالمخاطر بشكل خاص، وذلك بفضل العقبات اللوجستية التي تحول دون الحفاظ على صيانة كل مكون بشكل جيد. وجدت شركة الأمن Synopsys في تقريرها لعام 2023 أن 89٪ من قواعد التعليمات البرمجية للشركات تحتوي على أدوات مفتوحة المصدر على مدى أربع سنوات قديمة. وجد تقرير صادر عن معهد بونيمون عام 2024 أن أكثر من نصف المؤسسات تعرضت لهجوم على سلسلة توريد البرمجيات. يمكن أن تكلف هذه الهجمات الاقتصاد ما يقرب من 81 مليار دولار من الإيرادات والأضرار المفقودة بحلول عام 2026، وفقًا لتقديرات شركة Juniper Research.
قامت شركة سوكيت، وهي شركة ناشئة توفر أدوات للكشف عن الثغرات الأمنية في التعليمات البرمجية مفتوحة المصدر، بجمع 40 مليون دولار للمساعدة في معالجة المشكلة.
أسس الرئيس التنفيذي فروس أبو خديجة شركة سوكيت في عام 2020. يقول أبو خديجة، وهو مشرف غزير الإنتاج ومحاضر في مجال أمن الويب في جامعة ستانفورد، إنه أصبح يعتقد أن أدوات الأمان التقليدية لم تكن كافية لمواجهة تحديات تطوير البرمجيات الحديثة.
وقال أبو خديجة لـ TechCrunch: “إن الشبكة الواسعة من التبعيات – التي يبلغ عددها بالآلاف – تشكل مخاطر أمنية كبيرة تفشل الأدوات التقليدية في التخفيف منها”. التبعيات هي أجزاء من البرامج أو المكتبات التي يعتمد عليها التطبيق ليعمل. وتابع أبو خديجة: “حتى مع المراجعات الداخلية الصارمة للتعليمات البرمجية، فإن التبعيات الخارجية تشكل خطر هجمات سلسلة توريد البرامج التي يصعب اكتشافها وإدارتها”.
الحل الذي تقدمه شركة سوكيت هو ماسح ضوئي يبحث عن الأنشطة الضارة، مثل الأبواب الخلفية والتعليمات البرمجية المبهمة، في المكونات مفتوحة المصدر، وينبه المطورين عند تحديث التبعيات والحزم أو إضافتها.
من خلال عمليات التكامل مع واجهات برمجة تطبيقات الذكاء الاصطناعي التوليدية من Anthropic وOpenAI، يمكن لـSocket أيضًا إنشاء ملخصات لنقاط الضعف (مع الحد الأدنى من الهلوسة، كما نأمل). بالإضافة إلى ذلك، يمكن للنظام الأساسي التحقق اختياريًا للتأكد من أن التعليمات البرمجية مفتوحة المصدر مرخصة بشكل صحيح – وبالتالي قانونية – لإعادة استخدامها.
وقال أبوخديجة: “تم تصميم تطبيق سوكيت للفرق الهندسية وفرق أمن التطبيقات التي تعتمد بشكل كبير على البرمجيات مفتوحة المصدر”. “إنه يتكامل بسلاسة مع سير عمل المطور، مما يوفر رؤى في الوقت الفعلي أثناء مراجعات التعليمات البرمجية وتحديثات التبعية دون إرباك المستخدمين بالإيجابيات الكاذبة.”
تعتمد المزيد من شركات البرمجيات على المصادر المفتوحة أكثر من أي وقت مضى. في تقرير عام 2023 نُشر بالتعاون مع مبادرة المصدر المفتوح ومؤسسة Eclipse، قال 95% من المشاركين إن مؤسساتهم زادت – أو على الأقل حافظت – على استخدامها للمصادر المفتوحة في العام الماضي.
مع توقع نمو سوق منصات أمان سلسلة توريد البرمجيات إلى ما يصل إلى 3.5 مليار دولار بحلول عام 2027، فليس من المستغرب أن يكون لـSocket منافسين.
خرجت شركة Oligo، وهي شركة تركز على أمان التطبيقات وإمكانية ملاحظتها في وقت التشغيل، من التخفي في فبراير بدعم بمبلغ 28 مليون دولار. خرج Endor من التخفي بمبلغ 25 مليون دولار في أكتوبر الماضي، بعد زيادة Chainguard البالغة 50 مليون دولار في أوائل يونيو.
يقول أبو خديجة إن ما يميز سوكيت عن غيره هو قدرته على اكتشاف التعليمات البرمجية الضارة التي قد تفتقدها الأدوات الأخرى – وخاصة التعليمات البرمجية لتصفية البيانات الحساسة. ويزعم أن شركة سوكيت تكتشف أكثر من 100 هجوم على سلسلة توريد البرامج كل أسبوع.
تشير القائمة المثيرة للإعجاب من الداعمين – والعملاء – لـSocket إلى أن هناك بعض المصداقية لهذه التأكيدات.
شارك رجل الأعمال إيلاد جيل وأندريسن هورويتز في سلسلة “Socket’s B”، جنبًا إلى جنب مع المؤسس المشارك لشركة Yahoo جيري يانغ (الإفصاح: Yahoo هي الشركة الأم لشركة TechCrunch)، ورئيس OpenAI بريت تايلور، والمؤسس المشارك لـ Twilio جيف لوسون، والمؤسس المشارك والرئيس التنفيذي لـ Shopify توبياس. لوتكي.
وفي الوقت نفسه، يشمل عملاء سوكيت أنثروبيك، وهارفي، وفيجما، وفيرسل، وهو أحد أكبر أربعة بنوك في الولايات المتحدة، و”أكبر شركة للذكاء الاصطناعي وأكثرها شهرة”. (فسر الأخير كما تريد.)
ووصف أبو خديجة الجولة الجديدة من السلسلة B بأنها “استباقية”، مدعيًا أن شركة سوكيت لم تنفق بعد أموال السلسلة A التي جمعتها في أغسطس الماضي.
وقال أبو خديجة لـ TechCrunch: “نحن نسير على الطريق الصحيح لزيادة الإيرادات بنسبة 400٪ في عام 2024”. “لدى شركة Switchet حاليًا أكثر من 100 عميل وتحمي أكثر من 7500 مؤسسة، وتدافع عن 300000 مستودع أكواد برمجية وتدعم أكثر من مليون مطور حول العالم.”
وبذلك يصل المبلغ النقدي الجديد إلى إجمالي مبلغ سوكيت الذي تم جمعه إلى 65 مليون دولار خلال ما وصفه أبو خديجة بأنه لحظة محورية في تاريخ المصادر المفتوحة. وأشار إلى أن الذكاء الاصطناعي يُستخدم لكتابة المزيد والمزيد من التعليمات البرمجية، مما يؤدي إلى احتمال حدوث ثغرات أمنية.
وقال أبوخديجة: “الآن هو الوقت المناسب لجمع هذه الأموال”. “لقد خلقت ناقلات هجوم الذكاء الاصطناعي الجديدة حاجة ملحة لـSocket لتقديم ضمانات أمنية للتعليمات البرمجية التي تم إنشاؤها بواسطة هذه الأدوات التي تعمل بالذكاء الاصطناعي. تعالج تقنية سوكيت هذه الفجوة الحرجة في السوق، وسيساعد التمويل الإضافي في توسيع نطاق تأثيرها.
وتخطط شركة “سوكيت”، التي تضم 32 موظفًا اليوم، لتنمية فريقها إلى 50 شخصًا بحلول نهاية العام مع التركيز على الجوانب الهندسية والمنتجات والتصميم والمبيعات للشركة التي يقع مقرها في ستانفورد.
اكتشاف المزيد من موقع شعاع للمعلوماتية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.