Persentase yang meningkat dari kode yang digunakan perusahaan untuk mengembangkan perangkat lunak adalah open source. Dalam survei tahun 2018 oleh Tidelift, platform manajemen rantai pasokan perangkat lunak, 92% pengembang perangkat lunak profesional mengatakan bahwa aplikasi mereka berisi pustaka sumber terbuka. Meskipun itu adalah tren positif — open source memberikan banyak manfaat, tidak terkecuali transparansi — hal itu juga memiliki kelemahan, seperti rendahnya visibilitas apakah kode tersebut mungkin mengandung kerentanan.

Sejumlah vendor mengatasi masalah keamanan sumber terbuka, menawarkan alat yang memindai metadata dan deskriptor paket untuk menemukan eksploit yang diketahui. Tapi Varun Badhwar berpendapat bahwa mereka tidak bertindak cukup jauh. Dia adalah salah satu pendiri Endor Labs, sebuah startup yang memiliki lebih dari 30 karyawan dan menggunakan teknologi analisis grafik untuk mempelajari bagaimana ketergantungan digunakan dalam suatu organisasi dan membuat indikator risiko.

Untuk menunjukkan minat investor, Endor — yang diluncurkan secara diam-diam hari ini dengan beta pribadi — telah menarik $25 juta hingga saat ini dari Lightspeed Venture Partners, Dell Technologies Capital, Sierra Ventures, dan angel investor, termasuk CEO Palo Alto Networks Nikesh Arora. Badhwar memberi tahu TechCrunch bahwa pendanaan yang sebelumnya dirahasiakan digunakan untuk mendukung pertumbuhan sambil terus memperluas R&D Endor.

“Jika risiko terhadap rantai pasokan perangkat lunak belum menjadi prioritas ruang rapat, mereka akan segera melakukannya,” kata Badhwar kepada TechCrunch dalam wawancara email. “Perangkat lunak sumber terbuka menawarkan sumber daya yang kaya untuk kecepatan pengembangan, tetapi perluasan ketergantungan yang masif menghambat pengembangan dan meningkatkan permukaan serangan. Jumlahnya benar-benar mencengangkan: Sebuah perusahaan besar biasa — seperti dengan lebih dari 10.000 karyawan — memiliki lebih dari dua juta total ketergantungan. Akibatnya, pengembang berjuang untuk memelihara, memecahkan masalah, dan memperbarui dependensi dan kehilangan banyak waktu karena keletihan peringatan akibat firehose positif palsu. Sementara itu, tim keamanan tidak memiliki visibilitas yang sebenarnya… Meskipun masalah ini tampak bersifat teknis, di era yang digerakkan oleh aplikasi ini, masalah tersebut memengaruhi setiap aspek operasi.”

Untuk poin Badhwar, sebuah laporan baru-baru ini yang dirilis oleh Departemen Keamanan Dalam Negeri AS menemukan bahwa satu badan kabinet pemerintah AS menghabiskan waktu berbulan-bulan untuk menanggapi kerentanan di perpustakaan Log4j2 Apache, sebuah utilitas logging berbasis Java, sebagian karena tim keamanannya mengalami masalah. mengidentifikasi di mana paket yang rentan berada dalam lingkungan perangkat lunak mereka. Gedung Putih telah menunjukkan komitmen untuk mengatasi masalah keamanan rantai pasokan perangkat lunak yang lebih luas, secara terbuka menyatakannya sebagai masalah keamanan nasional dan mengeluarkan perintah eksekutif yang bertujuan untuk menetapkan standar mitigasi.

Sebelum mendirikan Endor, Badhwar mengepalai RedLock, startup keamanan infrastruktur cloud yang diakuisisi oleh Palo Alto Networks pada 2018. Ia menjabat sebagai SVP dan GM Prisma Cloud di Palo Alto Networks pasca akuisisi, bersama CTO Dimitri Stiliadis, yang datang ke Palo Alto melalui akuisisi perusahaan miliknya startup, Aporeto. Stiliadis juga sebelumnya CTO di cabang usaha Alcatel-Lucent dan Nuage Networks, sebuah perusahaan teknologi yang mengembangkan solusi jaringan yang ditentukan perangkat lunak.

Badhwar mengatakan bahwa, setelah pelanggaran SolarWinds pada tahun 2020, mereka didorong untuk mengembangkan layanan yang dapat menganalisis dampak potensial dari pembaruan perangkat lunak dan penyebaran kode dengan lebih baik. Mereka berdua merasa bahwa alat yang ada melewatkan “seluruh kelas” serangan rantai pasokan dan menenggelamkan perusahaan dalam kesalahan positif tentang kerentanan — seperti yang muncul dari bug dalam kode pengembang yang bermaksud baik — tanpa menyediakan cara untuk memprioritaskan perbaikan.

Kredit Gambar: Laboratorium Endor

“Dengan 80% kode dalam aplikasi modern tidak ditulis oleh pengembang di dalam perusahaan, melainkan ditarik dari paket sumber terbuka di internet tanpa validasi apa pun, kami menetapkan bahwa rata-rata perusahaan sering mengandalkan lebih dari 40.000 paket sumber terbuka . Masing-masing, pada gilirannya, membawa rata-rata 77 ketergantungan tambahan, ”kata Badhwar, menyinggung survei yang menunjukkan tim keamanan kewalahan dan tidak peka oleh peringatan. “Hal ini menyebabkan gepeng yang masif dan tidak terkendali, yang memperlambat perkembangan sekaligus meningkatkan permukaan serangan.”

Untuk mencoba mengatasi ini, Endor menerapkan apa yang disebut Badhwar sebagai “analisis program mendalam” untuk membangun grafik ketergantungan perangkat lunak organisasi. Grafik menunjukkan bagaimana dependensi digunakan dalam suatu organisasi — khususnya dependensi mana yang dipanggil dari kode, mana yang tidak digunakan dan paket rentan mana yang dapat dieksploitasi. Setiap dependensi mendapatkan skor berdasarkan kualitas, keamanan, aktivitas pengelola, popularitas, dan data CI/CD referensi silang.

Endor juga menyediakan alat untuk mengukur risiko keamanan dan operasional, serta menghapus ketergantungan yang tidak terpakai atau tidak terpelihara. Badhwar mencatat bahwa grafik tersebut dapat digunakan untuk membuat bill of material perangkat lunak, menetapkan sumber kebenaran untuk inventaris perangkat lunak perusahaan.

“Platform manajemen siklus hidup ketergantungan kami menampilkan visibilitas holistik dan mendalam ke seluruh grafik ketergantungan, memberikan sinyal multidimensi yang menunjukkan dan memprioritaskan risiko serta membantu pelanggan memilih, mengamankan, memantau, dan mempertahankan ketergantungan yang lebih baik dalam skala besar,” kata Badhwar. “Apa yang telah kami buat, dan terus kami kembangkan, adalah platform yang memungkinkan pengambilan keputusan cerdas dan pengembangan dengan kecepatan dan kecepatan, termasuk penggunaan kembali perangkat lunak dalam skala yang lebih cepat, lebih mudah, dan jauh lebih aman.”

Sementara Badhwar menegaskan bahwa platform Endor lebih holistik daripada kebanyakan, saingan baru di luar angkasa muncul secara teratur. Baru pada bulan September, Ox Security, yang menawarkan layanan untuk memperkuat rantai pasokan perangkat lunak perusahaan, diluncurkan secara diam-diam dengan pendanaan $34 juta. Pesaing lain, Chainguard, telah mengumpulkan beberapa juta dolar untuk membuat alat keamanan untuk perangkat lunak sumber terbuka. Ada juga Cycode dan Dustico, yang terakhir diperoleh Checkmarx dengan jumlah yang dirahasiakan pada Agustus 2021.

Bukan hanya startup yang akan diikuti oleh Endor yang berbasis di Palo Alto. Pada bulan Mei, grup industri yang mencakup Google, Amazon, Ericsson, Intel, Microsoft, dan VMware menjanjikan $30 juta untuk bekerja sama dengan Linux Foundation dan Open Source Security Foundation guna meningkatkan keamanan perangkat lunak sumber terbuka. Tapi Badhwar — yang menolak mengungkapkan metrik apa pun seputar basis pelanggan atau pendapatan Endor — tidak melihat ini sebagai ancaman bagi bisnis.

Ini bukanlah pola pikir yang bodoh. Pendanaan VC tetap kuat di dunia maya, dengan VC menginvestasikan $12,5 miliar di 531 kesepakatan pada paruh pertama tahun 2022, menurut Momentum Cyber ​​— volume yang sebanding dengan paruh pertama tahun 2021 ($12,6 miliar).

“Kami memiliki aspirasi besar untuk memecahkan masalah teknis yang sulit di pasar yang sangat besar… Endor telah beroperasi secara diam-diam selama setahun terakhir dan pada saat itu telah melibatkan pelanggan dan prospek yang signifikan,” kata Badhwar. “Waktunya ternyata ideal, karena keamanan perangkat lunak open source telah menjadi sorotan secara nasional, jika bukan global… Selama setahun terakhir, lebih dari 75 organisasi telah memberikan umpan balik kepada kami bahwa kami telah memasukkannya ke dalam produk , dan saat ini dalam versi beta pribadi dengan beberapa perusahaan mulai dari 200 hingga 35.000 karyawan.”