banner
Centro notizie
Ha collaborato con l'azienda famosa del mondo

Investire in Socket

Oct 01, 2023

L’open source è il fondamento su cui sono costruite tutte le applicazioni moderne. Ma ecco l'elefante nella stanza: c'è un'enorme superficie di attacco nascosta all'interno di queste fondamenta apparentemente solide, e la proliferazione dell'utilizzo dell'open source ha aperto un vaso di Pandora di minacce alla sicurezza.

Chiedete in privato a qualsiasi CISO esperto cosa pensa dei rischi associati alla catena di fornitura open source e sentirete una serie di preoccupazioni serie. La quantità di codice open source incorporato in qualsiasi applicazione oggi rappresenta una superficie di attacco enorme e in espansione, che rende le dipendenze open source un obiettivo sempre più allettante per gli autori malintenzionati. I team di sicurezza sono alle prese con il modo di gestire le proprie dipendenze, un compito apparentemente infinito, e faticano a fare progressi con lo stato degli attuali strumenti di analisi della composizione del software (SCA). Spesso devono ricorrere a soluzioni patchwork, utilizzando strumenti inadeguati o addirittura tentando di esaminare manualmente i pacchetti ad alto rischio.

Peggio ancora, mentre alcune minacce alla sicurezza informatica rimangono teoriche, gli attacchi alla catena di fornitura sono fin troppo reali. Per anni, gli aggressori si sono resi conto di quanto possano essere efficaci e hanno eseguito violazioni di alto profilo dopo violazioni di alto profilo utilizzando questa tattica. L’esempio più famoso è la violazione di SolarWinds del 2020, che ha attirato l’attenzione sulle debolezze troppo spesso trascurate nella catena di fornitura del software.

Inserisci Presa. Piuttosto che limitarsi a cercare vulnerabilità già note pubblicamente, Socket scava più a fondo per monitorare i pacchetti open source per individuare i problemi più importanti, coprendo lo spettro di rischi lungo tutta la catena di fornitura del software, da segnali di allarme di alto livello come malware, errori di battitura e errori di battitura. pacchetti fuorvianti, codice non gestito, manutentori sconosciuti e autorizzazioni eccessive.

Ciò che distingue veramente Socket, tuttavia, è il suo approccio incentrato sullo sviluppatore. Il fondatore e CEO di Socket Feross Aboukhadijeh è uno straordinario sviluppatore noto per i suoi prolifici contributi all'open source, incluso come autore originale dei popolari progetti WebTorrent e Standard JS. È esattamente la persona che desideri creare strumenti di sviluppo incentrati sulla sicurezza che gli sviluppatori utilizzano effettivamente.

Siamo entusiasti di guidare la serie A di Socket e di collaborare con Feross e il suo team per proteggere la catena di fornitura del software in modo che gli sviluppatori possano costruire con fiducia.

***

Le opinioni qui espresse sono quelle del singolo personale di AH Capital Management, LLC (“a16z”) citato e non rappresentano le opinioni di a16z o delle sue affiliate. Alcune informazioni qui contenute sono state ottenute da fonti di terze parti, comprese le società di portafoglio dei fondi gestiti da a16z. Sebbene provengano da fonti ritenute affidabili, a16z non ha verificato in modo indipendente tali informazioni e non fornisce alcuna garanzia circa l'accuratezza attuale o duratura delle informazioni o la loro adeguatezza per una determinata situazione. Inoltre, questi contenuti potrebbero includere pubblicità di terze parti; a16z non ha esaminato tali annunci pubblicitari e non approva alcun contenuto pubblicitario in essi contenuto.

Questo contenuto è fornito solo a scopo informativo e non deve essere considerato come consulenza legale, commerciale, di investimento o fiscale. Dovresti consultare i tuoi consulenti per quanto riguarda tali questioni. I riferimenti a titoli o risorse digitali sono solo a scopo illustrativo e non costituiscono una raccomandazione di investimento o un'offerta per fornire servizi di consulenza sugli investimenti. Inoltre, questo contenuto non è rivolto né destinato all'uso da parte di investitori o potenziali investitori e non può in alcun caso essere considerato affidabile quando si prende una decisione di investire in qualsiasi fondo gestito da a16z. (Un'offerta di investimento in un fondo a16z sarà effettuata solo tramite il memorandum di collocamento privato, il contratto di sottoscrizione e altra documentazione pertinente di tale fondo e deve essere letta nella sua interezza.) Qualsiasi investimento o società in portafoglio menzionata, citata o descritti non sono rappresentativi di tutti gli investimenti in veicoli gestiti da a16z e non vi è alcuna garanzia che gli investimenti saranno redditizi o che altri investimenti effettuati in futuro avranno caratteristiche o risultati simili. Un elenco degli investimenti effettuati dai fondi gestiti da Andreessen Horowitz (esclusi gli investimenti per i quali l'emittente non ha concesso il permesso ad a16z di divulgare pubblicamente così come gli investimenti non annunciati in asset digitali negoziati pubblicamente) è disponibile su https://a16z.com/investments /.