Sequoia soutient Coana pour aider les entreprises à prioriser les vulnérabilités à l'aide d'une analyse logicielle « sensible au code »

Sequoia, le géant du capital-risque de la Silicon Valley, soutient une jeune startup danoise pour créer un outil d’analyse de la composition logicielle (SCA) de nouvelle génération, qui promet d’aider les entreprises à filtrer à travers le bruit et à identifier les vulnérabilités qui constituent une véritable menace.

Pour rappel, la plupart des logiciels contiennent au moins quelques composants open source, dont beaucoup sont obsolètes et irrégulièrement, voire pas du tout, entretenus. Cela a conduit à toutes sortes de failles de sécurité, telles que Log4Shell, qui a eu un impact sur le cadre de journalisation Java open source Log4j et a conduit à des violations affectant des organisations de premier plan telles qu’une agence fédérale américaine qui n’a pas réussi à corriger le bug. Cela conduit à son tour à une série de nouvelles réglementations, conçues pour inciter les entreprises à gérer une chaîne d’approvisionnement en logiciels plus stricte.

Le problème est que, avec des millions de composants omniprésents dans la chaîne logistique logicielle, il n’est pas toujours facile de savoir si une application donnée utilise un composant particulier. Il existe bien sûr de nombreux outils d’analyse de la composition logicielle (SCA), de Snyk à Synopsis, qui alertent les entreprises sur les vulnérabilités connues de leur pile technologique – mais cela peut créer beaucoup de bruit, en particulier si une application n’est pas activement exploitée. en utilisant ce composant, ce qui rend difficile pour les équipes de sécurité de prioriser les vulnérabilités vraiment importantes.

Et c’est là que la start-up danoise de cybersécurité Coana entend faire la différence, en utilisant la SCA « sensible au code » pour aider ses utilisateurs à séparer les alertes non pertinentes et à se concentrer uniquement sur celles qui comptent.

Coana : exemples d'alertes

Fondée au Danemark en 2021, Coana est l’œuvre d’un professeur d’informatique (Anders Møller) et de deux docteurs (Martin Torp et Benjamin Barslev Nielsen) qui déclarent avoir réalisé une « percée technique » alors qu’ils faisaient partie d’un groupe de recherche à Aarhus au Danemark. University, découvrant une nouvelle technique d’analyse et de compréhension de grandes applications basées sur JavaScript. Le PDG Anders Søndergaard a rejoint le trio en tant que co-fondateur en 2022, après avoir quitté une précédente startup technologique biométrique appelée Resilio l’année précédente.

Pour aider à financer leur entreprise tout au long de sa phase d’accès précoce à la commercialisation complète, Coana a annoncé aujourd’hui avoir levé 1,6 million de dollars lors d’un cycle de financement de pré-amorçage dirigé par Sequoia Capital, avec la participation d’Essence VC et un grand nombre d’investisseurs providentiels, dont des anciens et actuels. dirigeants de Google, Red Hat et GitHub.

Tierce personne

Une application typique peut comprendre jusqu’à 90 % de bibliothèques tierces, dont la majorité sont open source et maintenues (ou non) par un certain nombre de développeurs bénévoles.

Ainsi, une entreprise qui crée un logiciel peut créer sa propre couche d’application qui s’appuie sur cette myriade de bibliothèques, créant ainsi une longue chaîne de dépendances reliées par des fonctions. Traditionnellement, un outil SCA examine le numéro de version d’une dépendance particulière, le compare à une base de données de vulnérabilités connues, puis fait rapport aux développeurs s’il trouve une correspondance. Cependant, dans de nombreux cas, une application peut n’utiliser qu’une ou deux fonctions d’une bibliothèque d’environ 50 fonctions. Ainsi, si une vulnérabilité existe dans une partie de la bibliothèque que l’application n’appelle jamais, elle ne devrait pas vraiment avoir d’impact sur cette application.

Les entreprises peuvent utiliser Coana pour créer ce qu’on appelle un « graphe d’appel » de l’ensemble de l’application, couvrant le code de l’application et ses dépendances, afin de comprendre les chemins de flux de données, puis de l’utiliser pour éliminer les faux positifs.

« La quantité de packages utilisés et de lignes de code peut être extrêmement importante, cela nécessite donc une analyse statique très sophistiquée », a déclaré Søndergaard à TechCrunch. « Le call graph nous permet de faire une analyse approfondie de tous les chemins possibles entre les différentes dépendances. Alors, imaginez une application composée de centaines ou de milliers de dépendances, nous pouvons identifier tous les chemins entre ces dépendances pour comprendre lesquelles sont vraiment vulnérables – et lesquelles ne le sont pas.

Bien sûr, il est encore très tôt, puisque Coana a présenté la première itération de son produit en octobre pour ses premiers clients payants – un mélange de startups et de scale-ups de série B et de série C. Cependant, la société s’efforce d’étendre sa prise en charge au-delà de JavaScript et à Java et Python cette année, ce qui l’aidera à cibler une clientèle plus large.

« À mesure que notre produit et notre entreprise mûrissent, nous progressons sur le marché, pour finalement cibler les grandes entreprises, mais cela prendra un certain temps avant que nous ayons la sophistication du support linguistique nécessaire pour atteindre ce niveau », a déclaré Søndergaard.

Les entreprises qui souhaitent découvrir Coana aujourd’hui peuvent demander un accès anticipé dès maintenant.

A lire également