protector de cadena, una startup que se enfoca en asegurar las cadenas de suministro de software, anunció hoy que recaudó $ 50 millones en una ronda de financiamiento Serie A organizada por Sequoia Capital. Asistieron, entre otros Amplify, Mantis VC Chainsmokers, LiveOak Venture Partners, Banana Capital, K5/JPMC y CISO de Google y Square.
Además de la nueva financiación, la compañía, que en este momento solo tiene 8 meses, también lanzó su primer conjunto de imágenes base de contenedores, que Chainguard promete no tener vulnerabilidades de seguridad conocidas y que se actualizarán constantemente. Estas imágenes estarán totalmente firmadas e incluirán la Lista de materiales del software (SBOM).
“Los ingenieros de seguridad están acostumbrados a razonar con raíces de confianza usando sistemas de autenticación e identificación de dos factores, y estableciendo confianza con el hardware usando claves de encriptación. Pero hoy no tenemos eso con el código fuente y los artefactos de software ”, dijo Dan Lorenc, cofundador y director ejecutivo de Chainguard. «Nuestra visión es combinar estas raíces de confianza a lo largo del ciclo de vida del desarrollo de software y a lo largo de la cadena de suministro de software, y dar a los desarrolladores y CISO confianza tanto en el código que ejecutan en producción como en la integridad de sus sistemas».
Además de estas nuevas imágenes base, Chainguard ya ofreció Enforce para cargas de trabajo de contenedores. Construida sobre tienda de regalosherramientas de código abierto para firmar código criptográficamente, verificar estas firmas y permitir el control de todos esos datos, así como otras herramientas de código abierto como Knative y otros servicios nativos de la nube, Enforce permite a las empresas aplicar políticas de cadena de suministro basadas en El marco SLSA y el marco de desarrollo de software seguro de NIST. Por ejemplo, pueden hacer cumplir qué código puede ejecutarse dónde y garantizar que los desarrolladores y los equipos de seguridad sepan qué se está utilizando para desarrollar software en la empresa.
Con pocos desarrolladores buscando agregar más herramientas a su repertorio (después de todo, solo puede deslizar este extremo hacia la izquierda), el equipo hizo que instalar el servicio fuera tan fácil como ejecutar un solo comando, y también ofrece soporte para sistemas de automatización como como CloudFormation y Terraform.
El hecho de que Chainguard haga hincapié en proteger las tecnologías nativas de la nube no sorprende. Sus cofundadores incluyen a Ville Aikas, Kim Lewandowski, Matt Moore (CTO) y Scott Nichol, quienes anteriormente estuvieron en Google y estuvieron muy involucrados en la comunidad de código abierto.
Me reuní con Aikas, quien formó parte del primer equipo de Kubernetes de Google y el gerente técnico de la empresa. Concurso completo nativo, en el evento KubeCon / CloudNativeCon en España el mes pasado. Señaló que Enforce era la primera pieza del rompecabezas de Chainguard.
“La aplicación de la ley viene con una actitud en la que entendemos que la cadena es larga y vamos a ocuparnos de ella, no con una actitud de ‘Oh, sí, genial, aquí está la actitud de ‘seguro mi mierda’. No construimos aceite de serpiente. El punto es que estamos construyendo una plataforma tecnológica sólida que luego podemos usar, agregar funciones y comenzar a tapar agujeros en diferentes cadenas. Enforce es el primer elemento del mismo y el segundo son las imágenes”.
También señaló que la misión general de Chainguard es mejorar la experiencia del desarrollador, al mismo tiempo que asegura las cadenas de suministro de software.
No es de extrañar que la empresa planee utilizar nueva financiación para acelerar el desarrollo de sus productos. Además de eso, Chainguard también está planeando importantes inversiones en proyectos de código abierto como Sigstore, SLSA y OpenSSF, así como un nuevo programa de educación para desarrolladores que se enfoca en la seguridad de la cadena de suministro.
«Los ataques avanzados a la cadena de suministro de software, como Log4j, han resaltado la necesidad de crear una base de confianza en el software que las empresas ponen en producción», dijo Bogomil Balkansky, socio de Sequoia Capital. “Chainguard brinda a las empresas confianza en el software crítico de código abierto que implementan al proporcionar una forma fácil y amigable para los desarrolladores de firmar y verificar artefactos de software, de modo que tengan un rastro para rastrear en caso de una infracción. El equipo de Chainguard está a la vanguardia del pensamiento en este espacio y es el equipo adecuado en el momento adecuado de la historia para resolver este problema.
#Chainguard #recauda #millones #para #proteger #las #cadenas #suministro
