Investindo em soquete
O código aberto é a base sobre a qual todos os aplicativos modernos são construídos. Mas aqui está o elefante na sala: há uma enorme superfície de ataque escondida nesta base aparentemente sólida, e a proliferação do uso de código aberto abriu uma caixa de Pandora de ameaças à segurança.
Pergunte a qualquer CISO experiente em particular como ele se sente sobre os riscos associados à cadeia de suprimentos de código aberto e você ouvirá inúmeras preocupações sérias. A quantidade de código-fonte aberto incorporado em qualquer aplicativo hoje representa uma superfície de ataque enorme e em expansão, o que torna as dependências de código-fonte aberto um alvo cada vez mais atraente para atores mal-intencionados. As equipes de segurança estão lutando para lidar com suas dependências – uma tarefa aparentemente interminável – e lutando para progredir com o estado atual das ferramentas de análise de composição de software (SCA). Freqüentemente, eles têm que recorrer a soluções fragmentadas, usando ferramentas inadequadas ou até mesmo tentando revisar manualmente pacotes de alto risco.
Pior ainda, embora algumas ameaças à cibersegurança permaneçam teóricas, os ataques à cadeia de abastecimento são demasiado reais. Durante anos, os invasores perceberam o quão eficazes podem ser e realizaram violações de alto perfil após violações de alto perfil usando essa tática. O exemplo mais famoso é a violação da SolarWinds em 2020, que chamou grande atenção para as fraquezas muitas vezes esquecidas na cadeia de fornecimento de software.
Digite Soquete. Em vez de apenas verificar vulnerabilidades já conhecidas publicamente, o Socket se aprofunda para monitorar os pacotes de código aberto em busca dos problemas mais importantes, cobrindo o espectro de riscos em toda a cadeia de fornecimento de software – desde sinais de alerta de alto nível, como malware, invasão de erros de digitação e pacotes enganosos, código não mantido, mantenedores desconhecidos e permissões excessivas.
O que realmente diferencia o Socket é sua abordagem centrada no desenvolvedor. O fundador e CEO do Socket, Feross Aboukhadijeh, é um desenvolvedor incrível conhecido por suas prolíficas contribuições ao código aberto, inclusive como o autor original dos populares projetos WebTorrent e Standard JS. Ele é exatamente quem você deseja, criando ferramentas de desenvolvedor com foco na segurança que os desenvolvedores realmente usam.
Estamos entusiasmados em liderar a Série A do Socket e em fazer parceria com a Feross e sua equipe para proteger a cadeia de suprimentos de software para que os desenvolvedores possam construir com confiança.
***
As opiniões expressas aqui são as do pessoal individual da AH Capital Management, LLC (“a16z”) citado e não são as opiniões da a16z ou de suas afiliadas. Certas informações aqui contidas foram obtidas de fontes de terceiros, inclusive de empresas do portfólio de fundos administrados pela a16z. Embora retiradas de fontes consideradas confiáveis, a16z não verificou essas informações de forma independente e não faz nenhuma declaração sobre a precisão atual ou duradoura das informações ou sua adequação para uma determinada situação. Além disso, este conteúdo pode incluir anúncios de terceiros; a16z não revisou tais anúncios e não endossa qualquer conteúdo publicitário neles contido.
Este conteúdo é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico, comercial, de investimento ou fiscal. Você deve consultar seus próprios consultores sobre esses assuntos. As referências a quaisquer valores mobiliários ou ativos digitais são apenas para fins ilustrativos e não constituem uma recomendação de investimento ou oferta de prestação de serviços de consultoria de investimento. Além disso, este conteúdo não é direcionado nem destinado ao uso por quaisquer investidores ou potenciais investidores, e não pode, em nenhuma circunstância, ser considerado confiável ao tomar uma decisão de investir em qualquer fundo administrado pela a16z. (Uma oferta para investir em um fundo a16z será feita apenas pelo memorando de colocação privada, contrato de subscrição e outra documentação relevante de qualquer fundo e deverá ser lida na íntegra.) Quaisquer investimentos ou empresas do portfólio mencionadas, referidas ou descritos não são representativos de todos os investimentos em veículos geridos pela a16z, e não pode haver garantia de que os investimentos serão rentáveis ou que outros investimentos feitos no futuro terão características ou resultados semelhantes. Uma lista de investimentos feitos por fundos administrados por Andreessen Horowitz (excluindo investimentos para os quais o emissor não deu permissão para a a16z divulgar publicamente, bem como investimentos não anunciados em ativos digitais negociados publicamente) está disponível em https://a16z.com/investments /.