La chaîne d'approvisionnement des logiciels, qui comprend les composants et les processus utilisés pour développer des logiciels, est devenue précaire. Selon une enquête récente, 88 % des entreprises estiment qu’une mauvaise sécurité de la chaîne d’approvisionnement logicielle présente un « risque à l’échelle de l’entreprise » pour leur organisation.
Les composants de la chaîne d’approvisionnement open source sont particulièrement chargés, en raison des obstacles logistiques liés à la bonne maintenance de chaque composant. La société de sécurité Synopsys a découvert dans son rapport 2023 que 89 % des bases de code des entreprises contenaient des outils open source obsolètes depuis plus de quatre ans. Un rapport de 2024 du Ponemon Institute révèle que plus de la moitié des organisations ont subi une attaque contre la chaîne d'approvisionnement logicielle. Ces attaques pourraient coûter à l’économie près de 81 milliards de dollars en pertes de revenus et en dommages d’ici 2026, estime Juniper Research.
Socket, une startup qui fournit des outils pour détecter les failles de sécurité dans le code open source, a levé 40 millions de dollars pour aider à résoudre le problème.
Le PDG Feross Aboukhadijeh a fondé Socket en 2020. Prolifique mainteneur open source et professeur de sécurité Web à Stanford, Aboukhadijeh dit qu'il en est venu à croire que les outils de sécurité traditionnels étaient insuffisants pour relever les défis du développement de logiciels modernes.
« Le vaste réseau de dépendances – qui se compte par milliers – pose des risques de sécurité importants que les outils traditionnels ne parviennent pas à atténuer », a déclaré Aboukhadijeh à TechCrunch. Les dépendances sont des éléments de logiciels ou de bibliothèques sur lesquels une application s'appuie pour fonctionner. « Même avec des examens rigoureux du code interne, les dépendances externes introduisent un risque d'attaques sur la chaîne d'approvisionnement logicielle qui sont difficiles à détecter et à gérer », a poursuivi Aboukhadijeh.
La solution de Socket est un scanner qui recherche les activités malveillantes, telles que les portes dérobées et le code obscurci, dans les composants open source, et alerte les développeurs lorsque des dépendances et des packages sont mis à jour ou ajoutés.
Grâce aux intégrations avec les API d'IA générative d'Anthropic et OpenAI, Socket peut également générer des résumés de vulnérabilités (avec un minimum d'hallucinations, on l'espère). De plus, la plate-forme peut éventuellement vérifier que le code open source dispose d'une licence appropriée – et donc légale – pour une réutilisation.
« Socket est conçu pour les équipes d'ingénierie et les équipes de sécurité des applications qui s'appuient fortement sur des logiciels open source », a déclaré Aboukhadijeh. « Il s'intègre parfaitement au flux de travail des développeurs, fournissant des informations en temps réel lors des révisions de code et des mises à jour des dépendances sans submerger les utilisateurs de faux positifs. »
De plus en plus d’éditeurs de logiciels s’appuient sur l’open source. Dans un rapport de 2023 publié en collaboration avec l'Open Source Initiative et la Fondation Eclipse, 95 % des personnes interrogées ont déclaré que leur organisation avait augmenté – ou du moins maintenu – son utilisation de l'open source au cours de l'année écoulée.
Alors que le marché des plateformes de sécurité de la chaîne d'approvisionnement logicielle devrait atteindre 3,5 milliards de dollars d'ici 2027, il n'est pas surprenant que Socket ait des concurrents.
Oligo, une entreprise qui se concentre sur la sécurité et l'observabilité des applications d'exécution, est sortie furtivement en février grâce à 28 millions de dollars. Endor est sorti furtivement avec 25 millions de dollars en octobre dernier, suite à l'augmentation de 50 millions de dollars de Chainguard début juin.
Selon Aboukhadijeh, ce qui distingue Socket, c'est sa capacité à détecter le code potentiellement dangereux que d'autres outils échappent, en particulier le code permettant d'exfiltrer des données sensibles. Socket détecte chaque semaine plus de 100 attaques Zero Day sur la chaîne d’approvisionnement logicielle, affirme-t-il.
La liste impressionnante de bailleurs de fonds – et de clients – de Socket suggère qu'il y a une certaine crédibilité à ces affirmations.
L'entrepreneur Elad Gil et Andreessen Horowitz ont participé à la série B de Socket, aux côtés du co-fondateur de Yahoo, Jerry Yang (divulgation : Yahoo est la société mère de TechCrunch), du président d'OpenAI, Bret Taylor, du co-fondateur de Twilio, Jeff Lawson, et du co-fondateur et PDG de Shopify, Tobias. Lutke.
Les clients de Socket, quant à eux, comprennent Anthropic, Harvey, Figma, Vercel, l'une des quatre plus grandes banques des États-Unis, et « la société d'IA la plus grande et la plus reconnue ». (Interprétez le dernier comme vous le souhaitez.)
Aboukhadijeh a qualifié le nouveau cycle de série B de « préventif », affirmant que Socket n'a toujours pas dépensé les liquidités de série A qu'il a levé en août dernier.
« Nous sommes sur la bonne voie pour augmenter nos revenus de 400 % en 2024 », a déclaré Aboukhadijeh à TechCrunch. « Socket compte actuellement plus de 100 clients et protège plus de 7 500 organisations, défendant 300 000 référentiels de code et prenant en charge plus d’un million de développeurs dans le monde. »
Ce nouvel argent porte le total de Socket levé à 65 millions de dollars au cours de ce qu'Aboukhadijeh a décrit comme un moment charnière dans l'histoire de l'open source. L’IA, a-t-il souligné, est utilisée pour écrire de plus en plus de code, ce qui introduit des risques de failles de sécurité.
« C'était le bon moment pour lever ces fonds », a déclaré Aboukhadijeh. « Les nouveaux vecteurs d'attaque de l'IA ont créé un besoin pressant pour Socket d'apporter des garanties de sécurité au code généré par ces outils basés sur l'IA. La technologie de Socket comble cette lacune critique du marché, et le financement supplémentaire contribuera à accroître son impact.
Socket, qui compte 32 employés, prévoit de porter son équipe à 50 personnes d'ici la fin de l'année, en se concentrant sur les aspects ingénierie, produits, conception et ventes de la société basée à Stanford.
TechCrunch propose une newsletter axée sur l'IA ! Inscrivez-vous ici pour le recevoir dans votre boîte de réception tous les mercredis.
