La chaîne d'approvisionnement du logiciel est notoirement poreuse: 81% des bases de code contiennent des vulnérabilités open source à risque élevé ou critique. Une seule vulnérabilité peut avoir un impact de grande envergure sur la chaîne d'approvisionnement des logiciels plus large, comme en témoignent l'exploit Log4Shell qui a vu des millions d'applications exposées à des hacks d'exécution de code à distance potentiels via la bibliothèque de journalisation log4j.
Le startup d'Irlande du Nord Cloudsmith organise à résoudre ce problème exact avec sa «plate-forme de gestion d'artefacts» native du cloud, qu'il vante comme une alternative plus moderne aux plates-formes de chaîne d'approvisionnement de logiciels héritées telles que JFROG ou sonatype.
Pour aider à stimuler sa prochaine phase de croissance, la startup a déclaré lundi qu'elle avait levé 23 millions de dollars dans une série de financement de série B menée par TCV, avec la participation de Insight Partners et de certains investisseurs de retour.
Nouvelle construction
Un «artefact», dans le contexte de l'industrie du nuages, fait référence à tout progiciel, fichier binaire ou composant qui est créé ou distribué tout au long du processus de développement logiciel. Il peut s'agir de bibliothèques et de dépendances, de fichiers de configuration, d'applications compilées, etc.
Bien qu'une entreprise rédige généralement son propre code, elle s'appuie généralement sur des packages tiers stockés sur les registres publics open-source. Ces packages sont requis au moment de la construction (lorsque le code est compilé dans un format exécutable), mais à ce stade, le package peut avoir changé de versions, ou tout simplement ne pas être disponible. C'est là que Cloudsmith entre dans la mêlée, servant des «miroirs» de ces packages.
« Cloudsmith sert de registre privé pour ces artefacts binaires, ils sont donc toujours disponibles pour les constructions futures, même si elles changent ou disparaissent de leurs sources originales », a déclaré à TechCrunch, PDG de Cloudsmith, Glenn Weinstein. «Cloudsmith garantit que les constructions sont reproductibles et fiables, et fournit
DevOps ou des équipes d'ingénierie de plate-forme avec visibilité sur ce qui se passe dans leur logiciel de production. »
Mais même si un package est toujours disponible dans un référentiel open source, il peut développer des problèmes de sécurité au fil du temps en raison du manque de maintenance ou pour des raisons plus néfastes. C'est pourquoi Cloudsmith analyse les dépendances pour les vulnérabilités, les problèmes de licence et les logiciels malveillants avant d'exposer ces packages aux développeurs dans leurs environnements de codage.
Il convient de noter que même si Cloudsmith peut prendre en charge les packages que ses clients ont développé en interne, la grande majorité des artefacts stockés sur la plate-forme sont des packages open-source à partir des index habituels, y compris PYPI, Docker Hub, Maven Central et NPMJS.
«Toutes les données et les logiciels circulent dans le nuage, donc Cloudsmith est un point de contrôle de sécurité pour les dépendances open source; Il analyse, conserve et bloque des artefacts problématiques avant d'atteindre la production », a déclaré Weinstein. «Cloudsmith élimine également un spot aveugle que de nombreuses entreprises ont en termes de surveillance claire de ce qu'ils utilisent, qu'ils soient privés, publics ou open-source.»
L'argent compte
Fondée à Belfast en 2016 par Alan Carson et le CTO Lee Skinden, Cloudsmith avait précédemment levé 26 millions de dollars dans une série A qui a commencé avec 15 millions de dollars en 2021 et a terminé avec 11 millions de dollars en 2023.
Selon Carson, la création d'une startup expérimentée et un entrepreneur de mise à l'échelle a permis aux deux co-fondateurs de se concentrer davantage sur le produit «Vision, feuille de route et architecture», tout en l'ouvrant à un plus large éventail d'entreprises et d'investisseurs aux États-Unis – y compris TCV et Insight Partners.
« Ces investisseurs sont un signal fort que le cloudsmith est passé à un leadership des catégories », a déclaré Carson à TechCrunch par e-mail. «Sous la direction de Glenn, Cloudsmith a carrément pivoté vers les grandes entreprises et leurs défis dans le contrôle et la sécurisation de leurs chaînes d'approvisionnement logicielles, et pour répondre aux normes de conformité rigoureuses.»
La plupart des 100 employés de Cloudsmith, y compris les deux fondateurs, sont basés à Belfast, mais Weinstein dit qu'environ les trois quarts de ses revenus proviennent désormais de clients aux États-Unis.
Avec le nouveau financement, Cloudsmith prévoit d'embaucher à travers les ventes, le marketing et le succès des clients, ainsi que d'investir dans la R&D pour de nouvelles applications d'IA. En effet, Weinstein a déclaré qu'il avait une «opportunité unique» de transformer de vastes banques de données de consommation de logiciels en «informations exploitables» pour les développeurs.
« Nous voulons aider les développeurs à choisir des forfaits open-source plus sûrs et plus sûrs », a déclaré Weinstein. «Nous le ferons en aidant les équipes de cybersécurité à créer des registres organisés internes, où il est plus facile pour un développeur de se procurer un package à partir d'un dépôt interne organisé que d'un registre public.»
Cela impliquera probablement de faire des recommandations, telles que le passage d'un package rarement mis à jour ou est en popularité, à un package similaire que d'autres clients de nuages ont adopté.
«Ce sont les conseils que les développeurs comptent aujourd'hui, bien que de manière informelle – 'Hé, j'ai entendu parler de ce package« – et transformez-le en conseils instantanément disponibles via la plate-forme de nuages », a déclaré Weinstein.
