banner
Centre d'Information
Coopéré avec la société de renommée mondiale

Investir dans la prise

Oct 01, 2023

L’Open Source est le fondement sur lequel reposent toutes les applications modernes. Mais voici le problème : une énorme surface d'attaque est cachée dans cette base apparemment solide, et la prolifération de l'utilisation de l'open source a ouvert la boîte de Pandore des menaces de sécurité.

Demandez en privé à n'importe quel RSSI chevronné ce qu'il pense des risques associés à la chaîne d'approvisionnement open source, et vous entendrez un certain nombre de préoccupations sérieuses. La quantité de code open source intégré dans n'importe quelle application représente aujourd'hui une surface d'attaque énorme et croissante, ce qui fait des dépendances open source une cible de plus en plus attrayante pour les acteurs malveillants. Les équipes de sécurité se demandent comment maîtriser leurs dépendances (une tâche apparemment sans fin) et ont du mal à progresser avec l'état actuel des outils d'analyse de la composition logicielle (SCA). Ils doivent souvent recourir à des solutions disparates, utiliser des outils inadéquats ou même tenter d'examiner manuellement les packages à haut risque.

Pire encore, même si certaines menaces à la cybersécurité restent théoriques, les attaques contre la chaîne d’approvisionnement ne sont que trop réelles. Depuis des années, les attaquants ont réalisé à quel point ils peuvent être efficaces et ont procédé à des violations très médiatisées après des violations très médiatisées en utilisant cette tactique. L’exemple le plus célèbre est la violation de SolarWinds en 2020, qui a attiré l’attention sur les faiblesses trop souvent négligées de la chaîne d’approvisionnement des logiciels.

Entrez Socket. Plutôt que de simplement rechercher des vulnérabilités déjà connues publiquement, Socket approfondit sa surveillance des packages open source pour détecter les problèmes les plus importants, couvrant l'éventail des risques tout au long de la chaîne d'approvisionnement logicielle, depuis les signaux d'alarme de haut niveau tels que les logiciels malveillants, les fautes de frappe et les vulnérabilités déjà connues du public. des packages trompeurs, du code non maintenu, des responsables inconnus et des autorisations excessives.

Ce qui distingue vraiment Socket, c'est son approche centrée sur les développeurs. Le fondateur et PDG de Socket, Feross Aboukhadijeh, est un développeur exceptionnel connu pour ses contributions prolifiques à l'open source, notamment en tant qu'auteur original des projets populaires WebTorrent et Standard JS. Il est exactement celui que vous souhaitez créer des outils de développement axés sur la sécurité que les développeurs utilisent réellement.

Nous sommes ravis de diriger la série A de Socket et de nous associer à Feross et à son équipe pour sécuriser la chaîne d'approvisionnement logicielle afin que les développeurs puissent construire en toute confiance.

***

Les opinions exprimées ici sont celles du personnel individuel d’AH Capital Management, LLC (« a16z ») citées et ne sont pas celles d’a16z ou de ses sociétés affiliées. Certaines informations contenues ici ont été obtenues auprès de sources tierces, y compris auprès de sociétés de portefeuille de fonds gérés par a16z. Bien qu'elles proviennent de sources considérées comme fiables, a16z n'a pas vérifié ces informations de manière indépendante et ne fait aucune déclaration quant à l'exactitude actuelle ou durable de ces informations ou à leur pertinence pour une situation donnée. De plus, ce contenu peut inclure des publicités de tiers ; a16z n'a pas examiné ces publicités et n'approuve aucun contenu publicitaire qu'elles contiennent.

Ce contenu est fourni à titre informatif uniquement et ne doit pas être considéré comme un conseil juridique, commercial, d'investissement ou fiscal. Vous devriez consulter vos propres conseillers sur ces questions. Les références à des titres ou à des actifs numériques sont uniquement à des fins d’illustration et ne constituent pas une recommandation d’investissement ou une offre de fourniture de services de conseil en investissement. De plus, ce contenu n'est ni destiné ni destiné à être utilisé par des investisseurs ou des investisseurs potentiels, et ne peut en aucun cas être invoqué pour prendre la décision d'investir dans un fonds géré par a16z. (Une offre d'investissement dans un fonds a16z sera faite uniquement par le biais du mémorandum de placement privé, du contrat de souscription et de tout autre document pertinent d'un tel fonds et doit être lu dans son intégralité.) Tout investissement ou société de portefeuille mentionné, mentionné ou Les investissements décrits ne sont pas représentatifs de tous les investissements dans des véhicules gérés par a16z, et rien ne garantit que les investissements seront rentables ou que d'autres investissements réalisés dans le futur auront des caractéristiques ou des résultats similaires. Une liste des investissements réalisés par les fonds gérés par Andreessen Horowitz (à l'exclusion des investissements pour lesquels l'émetteur n'a pas autorisé a16z à divulguer publiquement ainsi que des investissements inopinés dans des actifs numériques cotés en bourse) est disponible sur https://a16z.com/investments /.