Aujourd’hui, pratiquement toutes les applications s’appuient sur des dizaines, voire des centaines, de composants open source. Beaucoup d’entre eux sont mis à jour rapidement afin d’introduire de nouvelles fonctionnalités et de résoudre des problèmes de sécurité (ou les responsables arrêtent de les mettre à jour, laissant des failles de sécurité non corrigées), mais cela signifie aussi souvent qu’ils introduisent des modifications importantes. La gestion de toutes ces dépendances peut être un véritable cauchemar pour les développeurs. Infield, qui lance aujourd’hui sa plate-forme SaaS et annonce un financement de démarrage de 3 millions de dollars, vise à introduire dans le futur la gestion des dépendances open source grâce à l’IA assistée par l’homme pour analyser les journaux de modifications afin de fournir aux développeurs les données dont ils ont besoin pour mettre à niveau leurs dépendances en toute confiance.
La société basée à New York a été fondée par Allison et Steve Pike, qui se sont rencontrés pour la première fois au sein du service de commerce électronique d’alcool SevenFifty. Allison a travaillé auparavant dans le trading haute fréquence, tandis que Steve a travaillé comme analyste chez BlackRock, puis est devenu le premier employé de SevenFifty et est ensuite devenu le CTO de l’entreprise. Ensemble, l’équipe désormais mari et femme a ensuite utilisé Y Combinator en 2019 pour créer Syndetic, un « Shopify pour les ensembles de données », comme Steve l’a décrit.
Mais début 2022, l’équipe a commencé à pivoter. Steve avait effectué des consultations personnelles, aidant d’autres développeurs à mettre à niveau leurs dépendances logicielles. Ils ont donc décidé de combiner leur expertise en matière de pipelines de données et de gestion des dépendances pour lancer Infiield. Essayer de bâtir l’entreprise en plein milieu de la pandémie n’a pas aidé non plus, ont expliqué les deux hommes.
« [Syndetic] est essentiellement devenu une entreprise de style de vie pour nous deux – étant mariés, il est plus facile d’en avoir », a expliqué Allison. « Donc, au cours des deux premières années, nous avons en quelque sorte pensé : d’accord, il nous reste de l’argent en banque. Nous disposons ici de l’infrastructure nécessaire pour vraiment réessayer et nous avons donc décidé de nous adapter en nous basant sur le conseil que Steve effectuait et sur cette idée autour des mises à niveau open source.
Le troisième co-fondateur d’Infield est Andrew Lenehan, qui était auparavant chef de produit chez AppNexus. Il a ensuite co-fondé Roster (qui deviendra plus tard Punchcard), un outil d’exploration de données pour les équipes de revenus qui a reçu un financement de Founders Fund, FJ Labs et firstminute capital (un fonds basé à Londres qui aime clairement le capital plus que la capitalisation).
Infield promet qu’il peut analyser rapidement toutes les dépendances d’un projet et fournir aux développeurs un score de risque basé sur la version actuelle et la version cible recommandée. Cela peut également aider les développeurs à prioriser leurs retards de mise à niveau. Tout cela est possible parce que le système analyse en permanence les données des journaux de modifications et des problèmes Github pour rechercher des problèmes potentiels – que l’équipe complète ensuite avec sa propre base de données d’incompatibilités – souvent non documentées. Comme l’a noté l’équipe, une grande partie du travail lié à ces mises à niveau consiste aujourd’hui à lire les journaux de modifications et à effectuer des évaluations des risques pour garantir que la mise à niveau n’affectera pas négativement l’environnement de production.
Crédits images : Champ intérieur
De nombreux outils similaires que j’ai vus ont tendance à se concentrer presque exclusivement sur la sécurité, mais Steve a noté que pour Infield, ce n’est qu’un aspect de ce que l’outil peut faire.
« Nous n’essayons pas intentionnellement d’être un outil d’analyse de sécurité ou un outil de surveillance », a-t-il déclaré. « Ces systèmes vous donnent un arriéré de choses qu’il est peut-être important de mettre à niveau – mais comment y parvenir réellement ? La meilleure version de ce que nous faisons mène à un monde dans lequel vous gardez tout à jour à tout moment, de sorte que lorsqu’une nouvelle faille de sécurité apparaît, vous pouvez simplement utiliser le correctif. Il n’est pas nécessaire de déterminer s’il s’agit d’une vulnérabilité critique ou de faible gravité, car vous pouvez simplement utiliser tous les correctifs. Si vous utilisez la dernière version d’un package, le correctif qui corrige simplement les failles de sécurité est trivial à prendre. »
Allison a également souligné qu’aujourd’hui, tout le monde fait pratiquement le même travail, mais de manière isolée. Des milliers d’entreprises mettent peut-être à jour les mêmes packages, mais elles le font sans bénéficier des informations apprises par les autres équipes. « En consolidant les données de la communauté, en plus des données générées par les experts ou des données formelles publiées par le responsable, il y a évidemment beaucoup d’efficacité à gagner en le faisant », a-t-elle déclaré.
Infield prend actuellement en charge Ruby, Javascript, Typescript et Python, et Java sera bientôt pris en charge.
La société propose un forfait gratuit de base pour les utilisateurs individuels et un ensemble réduit de fonctionnalités, avec des forfaits d’équipe plus complets à partir de 600 $ par mois pour un maximum de 25 équipes et une prise en charge jusqu’à 50 dépôts.
Compte tenu de ses origines, il n’est peut-être pas surprenant que la société continue également d’offrir un service de mise à niveau plus complet aux entreprises qui souhaitent un peu plus d’aide pratique.
Le tour de table de 3 millions de dollars d’Infield a été dirigé par Foundation Capital. YCombinator et Firsthand Alliance ont également participé, tout comme des investisseurs providentiels comme Adam Gross (ancien PDG de Heroku), Jonathan Siddarth (fondateur de Turing) et Austin Ogilvie (fondateur de Thoropass).