banner
Центр новостей
Сотрудничал со всемирно известной компанией

Инвестиции в розетки

Oct 01, 2023

Открытый исходный код — это основа, на которой строятся все современные приложения. Но вот слон в комнате: за этим, казалось бы, прочным фундаментом скрывается огромная поверхность атаки, а распространение использования открытого исходного кода открыло ящик Пандоры угроз безопасности.

Спросите любого опытного директора по информационной безопасности в частном порядке, что он думает о рисках, связанных с цепочкой поставок с открытым исходным кодом, и вы услышите множество серьезных опасений. Объем открытого исходного кода, встроенного в любое приложение сегодня, представляет собой огромную и расширяющуюся поверхность атаки, что делает зависимости с открытым исходным кодом все более привлекательной целью для злоумышленников. Команды безопасности пытаются разобраться со своими зависимостями (задача, казалось бы, бесконечная) и изо всех сил пытаются добиться прогресса в современном состоянии инструментов анализа композиции программного обеспечения (SCA). Им часто приходится прибегать к лоскутным решениям, использовать неадекватные инструменты или даже пытаться вручную проверять пакеты с высоким уровнем риска.

Хуже того, хотя некоторые угрозы кибербезопасности остаются теоретическими, атаки на цепочки поставок вполне реальны. В течение многих лет злоумышленники осознали, насколько эффективными они могут быть, и совершали громкие взломы за громкими взломами, используя эту тактику. Самым известным примером является взлом SolarWinds в 2020 году, который привлек пристальное внимание к слишком часто упускаемым из виду недостаткам в цепочке поставок программного обеспечения.

Введите Сокет. Вместо того, чтобы просто искать уже общеизвестные уязвимости, Socket углубляется в мониторинг пакетов с открытым исходным кодом на предмет наиболее важных проблем, охватывая весь спектр рисков по всей цепочке поставок программного обеспечения — от тревожных сигналов высокого уровня, таких как вредоносное ПО, опечатки и вводящие в заблуждение пакеты, необслуживаемый код, неизвестные сопровождающие и чрезмерные разрешения.

Однако что действительно отличает Socket, так это его подход, ориентированный на разработчиков. Основатель и генеральный директор Socket Феросс Абухадие — замечательный разработчик, известный своим плодотворным вкладом в открытый исходный код, в том числе как первоначальный автор популярных проектов WebTorrent и Standard JS. Он именно тот, кого вам нужно, для создания инструментов разработчика, ориентированных на безопасность, которые разработчики действительно используют.

Мы рады возглавить серию A Socket и сотрудничать с Feross и командой в обеспечении безопасности цепочки поставок программного обеспечения, чтобы разработчики могли уверенно строить.

***

Мнения, выраженные здесь, принадлежат отдельным сотрудникам компании AH Capital Management, LLC («a16z») и не являются точкой зрения a16z или ее аффилированных лиц. Определенная информация, содержащаяся здесь, была получена из сторонних источников, в том числе от портфельных компаний фондов, управляемых a16z. Несмотря на то, что a16z взята из источников, которые считаются надежными, она не проводила независимую проверку такой информации и не делает никаких заявлений о текущей или постоянной точности информации или ее пригодности для конкретной ситуации. Кроме того, этот контент может включать стороннюю рекламу; a16z не просматривал такую ​​рекламу и не одобрял какой-либо рекламный контент, содержащийся в ней.

Этот контент предоставляется исключительно в информационных целях, и на него не следует полагаться как на юридическую, деловую, инвестиционную или налоговую консультацию. По этим вопросам вам следует проконсультироваться со своими советниками. Ссылки на любые ценные бумаги или цифровые активы предназначены только для иллюстративных целей и не представляют собой инвестиционные рекомендации или предложения по предоставлению инвестиционных консультативных услуг. Кроме того, этот контент не предназначен и не предназначен для использования какими-либо инвесторами или потенциальными инвесторами, и на него ни при каких обстоятельствах нельзя полагаться при принятии решения инвестировать в любой фонд, управляемый a16z. (Предложение инвестировать в фонд a16z будет сделано только на основании меморандума о частном размещении, соглашения о подписке и другой соответствующей документации любого такого фонда и должно быть прочитано полностью.) Любые инвестиции или портфельные компании, упомянутые, упомянутые или описанные не являются репрезентативными для всех инвестиций в транспортные средства, управляемые a16z, и не может быть никакой гарантии, что инвестиции будут прибыльными или что другие инвестиции, сделанные в будущем, будут иметь аналогичные характеристики или результаты. Список инвестиций, сделанных фондами под управлением Andreessen Horowitz (за исключением инвестиций, для которых эмитент не предоставил a16z разрешение на публичное раскрытие, а также необъявленных инвестиций в публично торгуемые цифровые активы) доступен по адресу https://a16z.com/investments. /.