بنیانگذاران Kubernetes و sigstore 17.5 میلیون دلار برای راه اندازی استارتاپ زنجیره تامین نرم افزار Stacklok جمع آوری کردند.

پس از اینکه در راه اندازی پروژه منبع باز Kubernetes نقش مهمی داشتند، کریگ مک لوکی و جو بیدا، بنیانگذاران Kubernetes، گوگل را ترک کردند تا Heptio را در سال 2016 راه اندازی کنند. سپس در سال 2018 شرکت را به VMware فروختند. هر دو VMware را در سال 2022 ترک کردند و McLuckie به تاسیس یک شرکت ادامه داد. استارت‌آپ مخفی کاری پس از یک دوره کوتاه کارآفرینی در Accel. اکنون می دانیم که این استارت آپ مخفیانه Stacklok است که هدف آن ساخت ابزارها و خدماتی است که بر امنیت زنجیره تامین نرم افزار تمرکز دارند.

برای ساخت Stacklok، McLuckie با Luke Hinds به عنوان CTO شرکت همکاری کرد. Hinds بنیانگذار پروژه sigstore است که به پروژه منبع باز پیش فرض تبدیل شده است که در هسته بسیاری از زنجیره تامین قرار دارد. همانطور که هیندز به من گفت، سیگستور در روزهای اولیه قرنطینه های همه گیر سال 2020 شکل گرفت، زمانی که او در Red Hat کار می کرد.

اعتبار تصویر: Stacklok

مدت‌هاست که این ایده را در سر داشتم، اما با اکوسیستم‌های منبع باز، ماده تاریک زیادی در آنجا وجود دارد – یک جانور اسپاگتی بزرگ از وابستگی‌هایی که به طرز پیچیده‌ای ترکیب شده‌اند اما قادر به دیدن یک الگوی واضح نیستند. هیندز به من گفت. بنابراین من این ایده را داشتم که این نوع دفتر کل زنجیره تامین را بسازم تا قابلیت مشاهده و شفافیت در زنجیره تامین داشته باشد. بنابراین با یک پایه واقعا خوب شروع کنید که در آن هر چیزی که در آن وجود دارد غیر قابل انکار و امضای رمزنگاری باشد. بنابراین می دانید که به یک هویت گره خورده است، خواه ماشین باشد یا یک انسان. بنابراین اگر با یک پایه اعتماد واقعاً خوب شروع کنیم – یک ساختار اعتماد – آنگاه می‌توانیم شروع به لایه‌بندی روی آن پشته کنیم.»

امروزه، sigstore بخشی از بنیاد امنیت منبع باز بنیاد لینوکس (OpenSSF) است. از آنجایی که امنیت زنجیره تامین نرم‌افزار در میان اکوسیستم‌های نرم‌افزار اولویت دارد، ابزاری مانند sigstore که به توسعه‌دهندگان کمک می‌کند پروژه خود و کتابخانه‌هایی را که استفاده می‌کنند امضا و تأیید کنند، به ابزاری اصلی برای ساختن نرم‌افزار امن‌تر تبدیل شده است. و در حالی که این دو بنیانگذار هنوز در مورد برنامه های محصول خود برای Stacklok صحبت نمی کنند، بدیهی است که sigstore در هسته اصلی این پروژه نیز خواهد بود.

مک‌لاکی به من گفت که او نیز مدتی است که به امنیت زنجیره تامین فکر می‌کند – و همچنین دلتنگ ساختن چیزها شده است. “وجود دارد هیچ چی بیشتر سرگرم کننده نسبت به. تا ساختمان آ شرکت،» او گفت. “من داشتم بوده فكر كردن در باره مشکلات امنیتی زنجیره تامین برای آ طولانی زمان. من داشتم بوده صحبت کردن در باره این از آنجا که خوب قبل از را حادثه بادهای خورشیدی اتفاق افتاد که در من ذهن، آی تی به نظر می رسید پسندیدن چیزی که بود یک واضح بردار برای [attackers]. اگر شما فکر در باره شرکت، پروژه سازمان های، یکی از آنها اولیه متمایز کننده است آنها توانایی به تولید کردن و مصرف کردن فن آوری به حل را کسب و کار مشکل الفnd چه زمانی شما دیدن را جهان تبدیل شدن به طور فزاینده ای تاریک – الف مقدار کمی بیت بیشتر خطرناک – با این عجیب و غریب مرتب سازی از ادغام از بازیگران دولت-ملت و تجاری هکرها بنابراین آنها تقریبا قابل تشخیص شود منطقی به نظر می رسید که تیاو محل که شخص شروع می شود به پرداخت توجه به است را عرضه زنجیر: چگونه می توان شما درج کنید چیزی به آ عرضه زنجیر که بنگاه ها مصرف می کنند؟”

از بسیاری جهات، اکوسیستم امنیتی زنجیره تامین منبع باز در نقطه ای مشابه با اکوسیستم اولیه Kubernetes قرار دارد. برخی از بلوک های ساختمانی اساسی در دسترس هستند، اما کار زیادی برای دسترسی بیشتر به فناوری برای طیف گسترده ای از کاربران بالقوه باقی مانده است. اکثر توسعه دهندگان، به همان اندازه که می خواهند کد ایمن بنویسند و فقط با بسته های قابل اعتماد کار می کنند، در نهایت متخصص رمزنگاری نیستند. در همین حال، چشم انداز امنیتی همچنان در حال تغییر است، در حالی که دستور اجرایی 14028 اکنون این موضوع را به یک اولویت ملی در ایالات متحده تبدیل کرده است.

چشم اندازی که من و لوک داریم این است که واقعاً با توسعه دهندگان شروع کنیم و به آنها مجموعه ای بسیار واضح و دقیق از آنچه که باید انجام دهند تا شروع به تولید نرم افزار بهتر انجام دهند ارائه می دهیم – درک بهتر در مورد وابستگی هایی که آنها دارند، بهتر است. درک در مورد اولویت‌های عملیاتی خود – و با انجام این کار، آنها شروع به تولید داده‌هایی می‌کنند که سپس می‌توانند در یک دفتر کل نوشته شوند، تا بتوانند کار خود را به طور مؤثر نشان دهند. “هی، وقتی این را تولید کردم رفتار خوبی داشتم.”

در اوایل، Stacklok انتظار دارد ابزارهایی بسازد که بسیاری از این داده های منشأ را مستقیماً در اختیار توسعه دهندگان قرار دهد و این کار را به گونه ای انجام دهد که این فناوری را برای آنها شفاف تر و در دسترس تر کند. McLuckie اشاره کرد که تیم احتمالاً ابتدا شروع به یکپارچگی با GitHub خواهد کرد، اما تیم بیشتر برنامه‌های خود را تا زمانی که آماده راه‌اندازی نسخه بتا شود، مخفی نگه می‌دارد.

ما می خواهیم این چرخه فضیلت مند را ایجاد کنیم. مک‌لاکی گفت: این چرخ لنگر تعامل. اما وقتی شروع به بررسی نیازهای تیم‌ها می‌کنید، اینجاست که جنبه تجاری جالب‌تر چیزها برای ما مطرح می‌شود. هنگامی که توسعه دهندگان شروع به مصرف این و استفاده از آن و تولید اطلاعات پروژه می کنند، سوال منطقی واضح بعدی این است که کجا قرار دارد و چگونه می توانم در مقابل آن تصمیمات سیاسی بگیرم؟ اینجاست که خط تولید تجاری ما وارد خواهد شد.»

Stacklok امروز اعلام کرد که مبلغ 17.5 میلیون دلاری سری A را جمع آوری کرده است. دور بذر شرکت را از دست ندهید. Stacklok به سادگی تصمیم گرفت از این مرحله صرف نظر کند و اولین دور مالی خود را سری A نامید (و با توجه به اندازه آن، منطقی است). با توجه به نقش سابق مک‌لاکی به‌عنوان یک کارآفرین در محل اقامت Accel، شوک‌آور نیست که این شرکت به همراه مادرونا، یکی دیگر از سرمایه‌گذاران اولیه Heptio، در Stacklok نیز سرمایه‌گذاری کند.

تیم پورتر و سابرینا وو از Madrona امروز در بیانیه خود می نویسند: “بازار امنیت زنجیره تامین نرم افزار پراکنده است، با بسیاری از ارائه دهندگان راه حل های نقطه ای، اما رهبر پلت فرم مشخصی وجود ندارد.” “ما معتقدیم Stacklok با توجه به پیشینه و توانایی منحصربه‌فرد تیم برای ایجاد یک راه‌حل پلتفرم جدید که در کل فرآیند DevSecOps هم فعال و هم اصلاح‌کننده است، یک رویکرد زیبا و مؤثر برای CodeSec ارائه می‌کند و طبیعتاً در طول زمان به سناریوهای AppSec گسترش می‌یابد، به‌طور منحصربه‌فردی برای برنده شدن موقعیت دارد. به عنوان مثال، ما تصور می کنیم Stacklok زمانی که آسیب‌پذیری روز صفر جدیدی کشف شد، قادر به اصلاح بسته‌های تولیدی خواهد بود و با مفید ساختن اطلاعات زمینه‌ای، دید را در زنجیره تامین بهبود بخشد.

هپتیو نسبتاً سریع فروخته شد – قبل از اینکه تیم حتی بتواند به طور کامل سبد محصولاتی را که در نظر گرفته بود بسازد. در واقع، وقتی از مک‌لاکی در این مورد پرسیدم، او گفت که ممکن است خیلی زود فروخته باشد. خیلی سریع بود. خیلی زود بود. این بهترین کار بود.» او استدلال می کند که تیم Stacklok برای مدت طولانی در آن حضور دارد.