O gigante do capital de risco (VC) do Vale do Silício, Sequoia, está apoiando uma startup dinamarquesa incipiente para construir uma ferramenta de análise de composição de software (SCA) de última geração, que promete ajudar as empresas a filtrar o ruído e identificar vulnerabilidades que são uma ameaça genuína.
Para contextualizar, a maioria dos softwares contém pelo menos alguns componentes de código aberto, muitos dos quais estão desatualizados e irregularmente – se é que existe – mantido. Isso levou a todos os tipos de falhas de segurança, como o Log4Shell, que impactou a estrutura de log Java de código aberto Log4j e levou a violações que afetaram organizações de alto nível, como uma agência federal dos EUA, que não conseguiu corrigir o bug. Por sua vez, isso está levando a uma série de novo regulamentoprojetado para fortalecer as empresas na gestão de uma cadeia de fornecimento de software mais restrita.
O problema é que, com milhões de componentes permeando a cadeia de fornecimento de software, nem sempre é fácil saber se um determinado aplicativo está usando um componente específico. Existem, é claro, muitas ferramentas de análise de composição de software (SCA), do Snyk ao Synopsis, que alertam as empresas sobre vulnerabilidades conhecidas em sua pilha de tecnologia – mas isso pode criar muito ruído, especialmente se um aplicativo não estiver ativamente usando esse componente, dificultando assim que as equipes de segurança priorizem as vulnerabilidades que realmente importam.
E é aqui que a startup dinamarquesa de cibersegurança Mamãe está se preparando para fazer a diferença, usando SCA “com reconhecimento de código” para ajudar seus usuários a separar alertas irrelevantes e focar apenas naqueles que importam.
Fundada na Dinamarca em 2021, Coana é obra de um professor de ciência da computação (Anders Möller) e dois doutores (Martin Torp e Benjamin Barslev Nielsen) que afirmam ter alcançado um “avanço técnico” enquanto faziam parte de um grupo de pesquisa na Universidade Aarhus, na Dinamarca, descobrindo uma nova técnica para analisar e compreender grandes aplicações baseadas em JavaScript. CEO Anders Sondergaard juntou-se ao trio como cofundador em 2022, tendo saiu de uma startup anterior de tecnologia de biometria chamada Resilio o ano passado.
Para ajudar a financiar sua empresa durante seu estágio de acesso antecipado à comercialização total, a Coana anunciou hoje que levantou US$ 1,6 milhão em uma rodada de financiamento pré-semente liderada pela Sequoia Capital, com a participação da Essence VC e uma série de anjos, incluindo atuais e antigos executivos do Google, Red Hat e GitHub.
Terceiro
Um aplicativo típico pode consistir em até 90% de bibliotecas de terceiros, a maioria das quais são de código aberto e mantidas (ou não) por vários desenvolvedores voluntários.
Portanto, uma empresa que cria software pode construir sua própria camada de aplicativo baseada nessas inúmeras bibliotecas, criando uma longa cadeia de dependências conectadas por funções. Tradicionalmente, uma ferramenta SCA analisaria o número da versão de uma dependência específica e o mapearia em um banco de dados de vulnerabilidades conhecidas e, em seguida, reportaria aos desenvolvedores se encontrasse uma correspondência. No entanto, em muitos casos, um aplicativo pode usar apenas uma ou duas funções de uma biblioteca de talvez 50 — portanto, se existir uma vulnerabilidade em uma parte da biblioteca que o aplicativo nunca chama, ela não deverá realmente impactar esse aplicativo.
As empresas podem usar o Coana para construir o que chamamos de “gráfico de chamadas” de todo o aplicativo, abrangendo o código e as dependências do aplicativo, para entender os caminhos do fluxo de dados e, em seguida, usar isso para eliminar falsos positivos.
“A quantidade de pacotes usados e as linhas de código podem ter um volume extremamente alto, por isso requer uma análise estática realmente sofisticada”, disse Søndergaard ao TechCrunch. “O gráfico de chamadas nos permite fazer uma grande análise de todos os caminhos possíveis entre as diferentes dependências. Então, imagine uma aplicação composta por centenas ou milhares de dependências, podemos identificar todos os caminhos entre essas dependências para entender quais são realmente vulneráveis — e quais não são.”
Ainda é muito cedo, é claro, com a Coana apresentando a primeira iteração de seu produto em outubro para seus primeiros clientes pagantes – uma mistura de startups e expansões em estágio Série B e Série C. No entanto, a empresa está trabalhando para expandir seu suporte além do JavaScript e para Java e Python este ano, o que a ajudará a atingir uma base de clientes mais ampla.
“À medida que nosso produto amadurece e nossa empresa amadurece, estamos avançando no mercado, eventualmente visando grandes empresas, mas isso levará algum tempo até que tenhamos a sofisticação no suporte linguístico para chegar a esse nível”, disse Søndergaard.
As empresas que desejam conhecer a Coana hoje podem inscreva-se para acesso antecipado agora.