Un pourcentage croissant du code utilisé par les entreprises pour développer des logiciels est open source. Dans une enquête réalisée en 2018 par Tidelift, une plateforme de gestion de la chaîne d’approvisionnement logicielle, 92 % des développeurs de logiciels professionnels ont déclaré que leurs applications contenaient des bibliothèques open source. Bien qu’il s’agisse d’une tendance positive – l’open source confère de nombreux avantages, dont la transparence -, elle peut avoir ses inconvénients, comme une faible visibilité sur la possibilité que le code contienne des vulnérabilités.
Un certain nombre de fournisseurs s’attaquent au problème de la sécurité open source, offrant des outils qui analysent les métadonnées et les descripteurs des packages pour trouver les exploits connus. Mais Varun Badhwar soutient qu’ils ne vont pas assez loin. Il est le co-fondateur d’Endor Labs, une startup qui compte un peu plus de 30 employés et utilise la technologie d’analyse graphique pour apprendre comment les dépendances sont utilisées au sein d’une organisation et créer des indicateurs de risque.
Dans une manifestation d’intérêt des investisseurs, Endor – qui a été lancé furtivement aujourd’hui avec une version bêta privée – a attiré 25 millions de dollars à ce jour de Lightspeed Venture Partners, Dell Technologies Capital, Sierra Ventures et des investisseurs providentiels, dont le PDG de Palo Alto Networks, Nikesh Arora. Badhwar dit à TechCrunch que le financement précédemment non divulgué est utilisé pour soutenir la croissance tout en continuant à développer la R&D d’Endor.
« Si les risques pour la chaîne d’approvisionnement en logiciels ne sont pas encore une priorité de la salle de conférence, ils le seront bientôt », a déclaré Badhwar à TechCrunch dans une interview par e-mail. « Les logiciels open source offrent une riche ressource pour la vitesse de développement, mais l’extension massive des dépendances entrave le développement et augmente la surface d’attaque. Les chiffres sont vraiment stupéfiants : une grande entreprise type, par exemple avec plus de 10 000 employés, compte plus de deux millions de dépendances au total. En conséquence, les développeurs ont du mal à maintenir, dépanner et mettre à jour les dépendances et perdent de nombreuses heures à gérer la lassitude des alertes causée par la multitude de faux positifs. Pendant ce temps, les équipes de sécurité manquent de véritable visibilité… Bien que le problème semble technique, à l’ère des applications, il affecte toutes les facettes des opérations.
Pour Badhwar, un récent rapport publié par le département américain de la Sécurité intérieure a révélé qu’une agence du gouvernement américain a passé des mois à répondre à une vulnérabilité dans la bibliothèque d’Apache Log4j2, un utilitaire de journalisation basé sur Java, en partie parce que ses équipes de sécurité avaient des problèmes identifier où les packages vulnérables résidaient dans leurs environnements logiciels. La Maison Blanche a indiqué son engagement à résoudre le problème plus large de la sécurité de la chaîne d’approvisionnement des logiciels, en le déclarant ouvertement comme un problème de sécurité nationale et en publiant un décret exécutif visant à établir des normes d’atténuation.
Avant de co-fonder Endor, Badhwar a dirigé RedLock, une startup de sécurité d’infrastructure cloud qui a été acquise par Palo Alto Networks en 2018. Il a été SVP et GM de Prisma Cloud chez Palo Alto Networks après l’acquisition, aux côtés du CTO Dimitri Stiliadis, qui est arrivé à Palo Alto grâce à l’acquisition par la société de le sien démarrage, Aporeto. Stiliadis était également auparavant directeur technique de la branche capital-risque d’Alcatel-Lucent et de Nuage Networks, une société de technologie développant des solutions de mise en réseau définies par logiciel.
Badhwar dit qu’à la suite de la violation de SolarWinds en 2020, ils ont été incités à développer un service qui pourrait mieux analyser l’impact potentiel des mises à jour logicielles et des déploiements de code. Ils ont tous deux estimé que les outils existants manquent «toute une classe» d’attaques de la chaîne d’approvisionnement et noient les entreprises dans de faux positifs sur les vulnérabilités – telles que celles résultant de bogues dans le code de développeurs bien intentionnés – sans fournir de moyen de prioriser les corrections.
Crédits image : Laboratoires Endor
« Avec 80 % du code des applications modernes qui n’est pas écrit par des développeurs au sein d’une entreprise, mais plutôt extrait de packages open source sur Internet sans aucune validation, nous avons déterminé qu’en moyenne, les entreprises s’appuient souvent sur plus de 40 000 packages open source. . Chacun de ceux-ci, à son tour, entraîne en moyenne 77 dépendances supplémentaires », a déclaré Badhwar, faisant allusion à des enquêtes qui montrent que les équipes de sécurité sont submergées et désensibilisées par les alertes. « Cela provoque une prolifération massive et incontrôlable, qui ralentit le développement tout en augmentant la surface d’attaque. »
Pour tenter de résoudre ce problème, Endor applique ce que Badhwar appelle «l’analyse approfondie des programmes» pour créer un graphique de dépendance pour les logiciels des organisations. Le graphique montre comment les dépendances sont utilisées au sein d’une organisation – en particulier quelles dépendances sont appelées à partir du code, lesquelles sont inutilisées et quels packages vulnérables sont exploitables. Chaque dépendance obtient un score basé sur la qualité, la sécurité, l’activité du responsable, la popularité et les données CI/CD croisées.
Endor fournit également des outils pour mesurer la sécurité et le risque opérationnel, ainsi que pour supprimer les dépendances inutilisées ou non maintenues. Badhwar note que le graphique peut être utilisé pour créer une nomenclature logicielle, établissant une source de vérité pour l’inventaire logiciel d’une entreprise.
« Notre plate-forme de gestion du cycle de vie des dépendances offre une visibilité globale et approfondie sur l’ensemble du graphique des dépendances, fournit un signal multidimensionnel qui identifie et hiérarchise les risques et aide les clients à sélectionner, sécuriser, surveiller et maintenir de meilleures dépendances à grande échelle », a déclaré Badhwar. « Ce que nous avons construit, et que nous continuons à développer, est une plate-forme qui permet une prise de décision et un développement intelligents à la vitesse et à la vitesse, y compris la réutilisation de logiciels à grande échelle plus rapidement, plus facilement et beaucoup, beaucoup plus sûr. »
Alors que Badhwar affirme que la plate-forme d’Endor est plus holistique que la plupart, de nouveaux rivaux dans l’espace émergent régulièrement. Rien qu’en septembre, Ox Security, qui propose des services pour renforcer les chaînes d’approvisionnement de logiciels d’entreprise, s’est lancé furtivement avec un financement de 34 millions de dollars. Un autre concurrent, Chainguard, a levé plusieurs millions de dollars pour créer des outils de sécurité pour les logiciels open source. Il y a aussi Cycode et Dustico, ce dernier dont Checkmarx a acquis pour une somme non divulguée en août 2021.
Ce ne sont pas seulement les startups avec lesquelles Endor, basé à Palo Alto, va affronter. En mai, un groupe industriel comprenant Google, Amazon, Ericsson, Intel, Microsoft et VMware a promis 30 millions de dollars pour travailler avec la Linux Foundation et l’Open Source Security Foundation afin d’améliorer la sécurité des logiciels open source. Mais Badhwar – qui a refusé de révéler des mesures concernant la clientèle ou les revenus d’Endor – ne les considère pas comme une menace pour les entreprises.
Ce n’est pas nécessairement un état d’esprit téméraire. Le financement des VC reste important dans le cyber, avec des VC investissant 12,5 milliards de dollars dans 531 transactions au premier semestre 2022, selon Momentum Cyber – un volume comparable au premier semestre 2021 (12,6 milliards de dollars).
« Nous avons de grandes aspirations à résoudre des problèmes techniques difficiles sur un marché extrêmement vaste … Endor a opéré en catimini au cours de l’année écoulée et, pendant cette période, a engagé d’importants clients et prospects », a déclaré Badhwar. « Le moment s’avère être idéal, car la sécurité des logiciels open source est sous le feu des projecteurs à l’échelle nationale, voire mondiale… Au cours de la dernière année, plus de 75 organisations nous ont fourni des commentaires que nous avons intégrés au produit. , et sont actuellement en version bêta privée avec plusieurs entreprises allant de 200 à 35 000 employés.