Seal Security veut faciliter la correction des vulnérabilités open source

Seal Security, une startup basée à Tel Aviv fondée par un groupe d’anciens membres de l’unité de renseignement israélienne 8200, sort aujourd’hui de sa discrétion et annonce un cycle de financement de démarrage de 7,4 millions de dollars dirigé par Vertex Ventures Israel, avec la participation de Crew Capital, PayPal. Fonds des anciens élèves et Cyber ​​Club de Londres.

Depuis que la vulnérabilité Log4j a été découverte et que la Maison Blanche a publié son décret sur la chaîne d’approvisionnement en logiciels, tous ceux qui créent des logiciels connaissent l’importance de maintenir à jour les nombreuses bibliothèques open source sur lesquelles ils s’appuient. Mais c’est plus facile à dire qu’à faire, les grandes entreprises employant souvent des équipes entières qui ne se concentrent que sur la mise à jour de leurs packages. Ces dernières années, nous avons vu un certain nombre de sociétés de sécurité se spécialiser dans l’alerte des développeurs lorsqu’un de leurs packages est vulnérable. Bien que cela soit précieux, le véritable travail consiste à corriger ces vulnérabilités, ce qui, dans la plupart des cas, implique simplement l’installation d’une mise à jour.

Seal a été fondée par Itamar Sher (PDG), Lev Pachmanov (CTO) et Alon Navon (CPO). Après leur passage dans l’unité 8200, les membres de l’équipe ont travaillé dans diverses entreprises, notamment Cymmetria, Curv et PayPal. Sher me dit que l’équipe a uni ses forces à l’été 2022.

« Pour moi, il s’agissait vraiment de vouloir devenir bâtisseur », a déclaré Sher. « J’ai passé une partie de mon temps de l’autre côté : à être chercheur, à pirater des trucs, à casser des trucs – ce qui est amusant à sa manière. Mais je pense que l’une des choses qui me tenait à cœur – et que je voulais vraiment mettre en avant – est d’être davantage du côté des constructeurs. En tant que premier employé chez Cymmetria, il a déjà eu un avant-goût de cette expérience, mais maintenant en tant que fondateur et PDG, il découvre tout le spectre de l’expérience startup.

Ce qui différencie Seal, c’est qu’il corrige les packages vulnérables et ne se contente pas de les mettre à jour. Alors qu’il travaillait chez PayPal, il s’est rendu compte qu’il y avait un manque d’outils capables non seulement de découvrir mais également de remédier aux failles de sécurité. Il a également souligné que de nombreux outils actuels bombardent les développeurs de centaines d’alertes, ce qui rend difficile la priorisation de celles sur lesquelles se concentrer. En fin de compte, ces équipes consacrent une grande partie de leur temps et de leur énergie à maintenir à jour les packages (même ceux qui ne sont peut-être même pas utilisés en production). « Ce que nous avons remarqué, c’est que pour la majorité des vulnérabilités existantes, vous pouvez réellement prendre le correctif de sécurité qui atténue le risque et simplement l’appliquer sur les versions existantes que les développeurs utilisent déjà », a expliqué Sher.

Actuellement, Seal Security s’intègre à GitHub pour activer ces correctifs dans le pipeline CI/CD d’une entreprise. Mais ce qui est peut-être plus important, c’est que Seal crée lui-même ces correctifs. Une grande partie de ce processus est automatisée et soutenue, en partie, par l’utilisation d’un grand modèle de langage. Ces modèles, a expliqué Sher, sont très efficaces pour identifier le commit qui a introduit un correctif donné, par exemple. En effet, sans ces modèles, une solution comme Seal Security n’aurait probablement pas été évolutive il y a seulement quelques années.

« Les composants open source sont essentiels au développement de logiciels, et les organisations sont confrontées à des défis importants dans la gestion des bibliothèques présentant des vulnérabilités critiques. Ces défis ont un impact significatif sur les résultats commerciaux », explique Daniel Dines, co-fondateur et associé commandité de Crew Capital (et co-fondateur et co-PDG d’UiPath). « Joint Sécurité répond à cette demande du marché avec une solution qui rationalise sécurité gestion des correctifs, permettant à ses clients d’éliminer efficacement les vulnérabilités.

A lire également