کلودسمیت ۲۳ میلیون دلار جذب سرمایه کرد تا امنیت زنجیره تأمین نرم‌افزار را بهبود بخشد.

Cloudsmith با جذب ۲۳ میلیون دلار، امنیت زنجیره تأمین نرم‌افزار را بهبود می‌بخشد

Cloudsmith raises $23M to improve software supply chain security

زنجیره تأمین نرم‌افزار به طور معروفی آسیب‌پذیر است: گزارش‌ها نشان می‌دهند که 81 درصد از کدهای منابع شامل آسیب‌پذیری‌های متن‌باز با ریسک بالا یا بحرانی هستند. تنها یک آسیب‌پذیری می‌تواند تأثیر قابل توجهی بر کل زنجیره تأمین نرم‌افزار داشته باشد؛ برای مثال، نفوذ خطرناک Log4Shell که میلیون‌ها برنامه را در معرض حملات اجرای کد از راه دور از طریق کتابخانه لاگ‌گیری Log4j قرار داد.
استارتاپ Cloudsmith در ایرلند شمالی قصد دارد این مشکل را با ارائه «پلتفرم مدیریت آثار» مبتنی بر ابر خود حل کند. این پلتفرم را به‌عنوان یک جایگزین مدرن برای پلتفرم‌های قدیمی زنجیره تأمین نرم‌افزار مانند JFrog و Sonatype معرفی کرده است. در راستای تسریع رشد خود، این استارتاپ روز دوشنبه اعلام کرد که 23 میلیون دلار در دور تأمین مالی سری B جذب کرده است. این دور تأمین مالی توسط TCV رهبری شده و با شرکت سرمایه‌گذاران Insight Partners و برخی سرمایه‌گذاران بازگشتی همراه بوده است.
خوشبختانه، این اقدام می‌تواند به تقویت امنیت و کاهش ریسک در زنجیره تأمین نرم‌افزار کمک کند. به این ترتیب، سازمان‌ها می‌توانند با اعتماد بیشتری به فناوری‌های جدید روی آورند و توجه بیشتری به تضمین امنیت پروژه‌های نرم‌افزاری خود داشته باشند. با مراجعه به وب‌سایت ما، iwl.ir، می‌توانید اطلاعات بیشتری در مورد این تحولات و راه‌حل‌های نوآورانه پیدا کنید.

ساخت جدید

New build

در زمینه صنعت Cloudsmith، "حجره" به هر بسته نرم‌افزاری، فایل باینری یا مؤلفه‌ای اطلاق می‌شود که در خلال فرایند توسعه نرم‌افزار ایجاد یا توزیع می‌گردد. این می‌تواند شامل کتابخانه‌ها و وابستگی‌های آن‌ها، فایل‌های پیکربندی، برنامه‌های کامپایل‌شده و موارد دیگر باشد. در حالی که شرکت‌ها معمولاً کدهای خود را می‌نویسند، آن‌ها به بسته‌های شخص ثالثی که در مخازن عمومی و متن باز ذخیره شده‌اند، اتکا دارند. این بسته‌ها در زمان ساخت (زمانی که کد به فرمت اجرایی تبدیل می‌شود) مورد نیاز هستند، اما در آن زمان ممکن است نسخه‌های آن تغییر کرده باشد یا اصلاً در دسترس نباشد. اینجا است که Cloudsmith وارد می‌شود و "آیینه‌هایی" از این بسته‌ها را ارائه می‌دهد.
گلن واینستین، مدیرعامل Cloudsmith، در گفتگو با TechCrunch گفت: "Cloudsmith به عنوان یک مخزن خصوصی برای این مواد باینری عمل می‌کند، بنابراین آن‌ها همیشه برای ساخت‌های آینده در دسترس هستند، حتی اگر تغییر کرده یا از منابع اصلی خود ناپدید شوند." او افزود: "Cloudsmith اطمینان حاصل می‌کند که ساخت‌ها تکرارپذیر و قابل اعتماد باشند و به تیم‌های دیوآپ‌ها یا مهندسی پلتفرم، دید کلی نسبت به آنچه وارد نرم‌افزار تولیدی‌شان می‌شود، ارائه می‌دهد."
اما حتی اگر یک بسته هنوز در یک مخزن متن باز موجود باشد، به مرور زمان ممکن است به دلیل عدم نگهداری یا دلایل دیگر مشکلات امنیتی پیدا کند. به همین دلیل، Cloudsmith برای آسیب‌پذیری‌ها، مسائل مربوط به مجوزها و بدافزارها وابستگی‌ها را اسکن می‌کند قبل از اینکه این بسته‌ها را در محیط‌های کدنویسی به توسعه‌دهندگان نمایش دهد. شایان ذکر است که در حالی که Cloudsmith می‌تواند بسته‌هایی را که مشتریان خود در خانه توسعه داده‌اند، پشتیبانی کند، اکثریت قریب به اتفاق محصولات ذخیره شده در این پلتفرم، بسته‌های متن باز از فهرست‌های معمول مانند PyPi، Docker Hub، Maven Central و Npmjs هستند.
واینستین گفت: "تمام داده‌ها و نرم‌افزارها از Cloudsmith عبور می‌کنند، بنابراین Cloudsmith به عنوان یک ایستگاه بازرسی امنیتی برای وابستگی‌های متن باز عمل می‌کند؛ این سرویس به اسکن، انتخاب و مسدود کردن مؤلفه‌های مشکل‌دار قبل از دستیابی به تولید کمک می‌کند." او اضافه کرد: "Cloudsmith همچنین یک نقطه کور که بسیاری از سازمان‌ها در زمینه نظارت بر ابزارهایی که استفاده می‌کنند، چه خصوصی، عمومی یا متن باز دارند، را رفع می‌کند."
در دنیای امروز که امنیت سایبری و کیفیت نرم‌افزار اهمیت بالایی دارند، Cloudsmith نقش حیاتی در تضمین تداوم و امنیت نرم‌افزارها ایفا می‌کند.

مسائل مالی

Money matters

مقاله درباره اهمیت مالی شرکت Cloudsmith است که در سال ۲۰۱۶ در بلفاست تأسیس شد. بنیان‌گذاران این شرکت، آلن کارسون و لی اسکیلن، قبلاً توانسته بودند در دور تأمین مالی سری A مبلغ ۲۶ میلیون دلار جمع‌آوری کنند که این مبلغ شامل ۱۵ میلیون دلار در سال ۲۰۲۱ و ۱۱ میلیون دلار دیگر در سال ۲۰۲۳ بود. دور دوم تأمین مالی به دنبال انتصاب کارسون به عنوان رئیس ارشد استراتژی و ورود گلن وینستین، رئیس بخش مشتریان Twilio به عنوان مدیرعامل، به سرعت انجام شد.
کارسون در گفتگو با TechCrunch بیان کرد که ورود یک کارآفرین با تجربه در زمینه استارتاپ‌ها و رشد به آن‌ها کمک کرده تا بیشتر بر روی “چشم‌انداز، نقشه راه و معماری محصول” تمرکز کنند و در عین حال زمینه را برای همکاری با شرکت‌ها و سرمایه‌گذاران بیشتری در ایالات متحده، از جمله TCV و Insight Partners فراهم کنند. او همچنین تأکید کرد که این سرمایه‌گذاران نشانه‌ای قوی از تغییر Cloudsmith به سمت رهبری در این صنعت بوده‌اند. تحت رهبری گلن، Cloudsmith به وضوح به سمت بزرگترین شرکت‌ها و چالش‌های آن‌ها در کنترل و امنیت زنجیره تأمین نرم‌افزار و همچنین رعایت استانداردهای سخت‌گیرانه جلب توجه کرده است.
اکثریت کارکنان این شرکت، که حدود ۱۰۰ نفر هستند، همچنان در بلفاست مستقرند، اما وینستین اشاره کرد که حدود سه‌چهارم درآمد Cloudsmith اکنون از مشتریان آمریکایی تأمین می‌شود. با دریافت این تأمین مالی جدید، Cloudsmith برنامه دارد تا در بخش‌های فروش، بازاریابی و موفقیت مشتری استخدام کند و همچنین در تحقیق و توسعه برای برنامه‌های جدید هوش مصنوعی سرمایه‌گذاری نماید. وینستین گفت که این شرکت فرصتی منحصر به فرد دارد تا داده‌های عظیم مربوط به مصرف بسته‌های نرم‌افزاری را به “بینش‌های قابل عمل” برای توسعه‌دهندگان تبدیل کند.
هدف آن‌ها این است که به توسعه‌دهندگان کمک کنند تا بسته‌های نرم‌افزاری آزاد و ایمن‌تری را انتخاب کنند. این کار با کمک به تیم‌های امنیت سایبری در ایجاد فهرست‌های داخلی انتخاب شده انجام خواهد شد؛ جایی که برای یک توسعه‌دهنده آسان‌تر است که یک بسته را از یک مخزن داخلی انتخاب شده به دست آورد تا از یک مخزن عمومی. این روند ممکن است شامل ارائه توصیه‌هایی باشد، از جمله تغییر از بسته‌ای که به ندرت به‌روزرسانی می‌شود یا به محبوبیت آن کاهش یافته است، به بسته‌ای مشابه که دیگر مشتریان Cloudsmith از آن استقبال کرده‌اند. وینستین خاطرنشان کرد که این مشاوره امروزه به‌صورت غیررسمی در میان توسعه‌دهندگان ارائه می‌شود و هدف آن‌ها تبدیل این توصیه‌ها به مشاوره‌ای قابل دسترس در بستر Cloudsmith است.

• cloudsmith
• Enterprise
• Fundraising
• Startups
• supply chain security
• TCV