3. Taraf Risk Yönetimi, Uygulama Güvenliği, Yönetişim ve Risk Yönetimi
Startup, Mevcut Müşterilerin Kurumda Çalıştırdığı Açık Kaynak Yazılımların %80’ini Güvence Altına Alabilir
Michael Novinson (MichaelNovinson) •
2 Kasım 2023
Uzun süredir Google Cloud mühendisi tarafından yönetilen bir yazılım tedarik zinciri güvenliği girişimi, daha fazla açık kaynaklı yazılımın korunmasına yardımcı olmak için B Serisi turunu tamamladı.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
Kirkland, Washington merkezli Chainguard, kurucu ortak ve CEO Dan Lorenc, mevcut müşterilerinin bugün işletmelerinde çalıştırdığı açık kaynaklı yazılımların yaklaşık %80’ini veya 12.000 ila 15.000 paketi güvence altına alabileceğini söyledi. Ancak Chainguard istemcilerinin çalıştırdığı açık kaynaklı yazılımların %20’si korumasız kalıyor ve Lorenc bunu daha iyi savunmak için yapay zeka ve makine öğrenimini kullanmak istiyor (bkz: Kavram Kanıtı: Açık Kaynak Kod Güvenliği Risklerinin Üstesinden Gelmek).
Lorenc, Information Security Media Group’a “Kurumlardaki işlerin yüzde sekseni aynı” dedi. “Bunu doğruladık ve şimdi modeli bu uzun kuyruğa kadar ölçeklendirebileceğimizi kanıtlamamız gerekiyor.”
Uzun Kuyruğu Ehlileştirmek
2021 yılında kurulan Chainguard, 90’dan fazla kişiyi istihdam ediyor ve üç tur dış finansmanla 116 milyon dolar topladı. Lorenc, Chainguard’ı kurmadan önce yaklaşık dokuz yılını Google Cloud platformunun arkasındaki altyapı üzerinde çalışarak geçirdi. Firma, Chainguard’ın başkanı olarak satış, pazarlama ve müşteri başarısına öncülük etmeleri için eski Okta ve Wiz Pazarlama Direktörü Ryan Carlson’u işe aldı.
Carlson, “Bunun gibi hızlı büyüyen bir girişimin pazara giriş tarafında nasıl ölçeklendirileceğini ilk elden gördü” dedi. “İşte bu noktada tekrarlanabilir olma ve şu anda büyüme çabalarımızı gerçekten iki katına çıkarıyoruz.”
Carlson, kuruluşların üretim ortamlarında çalıştırdığı açık kaynak kodunun herhangi bir güvenlik garantisi, destek, hizmet düzeyi anlaşması veya güvenlik açıkları bulunduğunda yama vaadiyle birlikte gelmediğini söyledi. Bu nedenle Chainguard, tedarik zincirine olan güveni artırmak ve gerektiğinde güvenlik açıklarına yönelik yamalar dağıtmak için kuruluşların en sık kullandığı açık kaynaklı yazılımın kendi güvenli sürümünü oluşturdu.
“Modeli genişletebileceğimizi kanıtlamamız gerekiyor.”
– Dan Lorenc, Chainguard’ın kurucu ortağı ve CEO’su
Lorenc’e göre Chainguard, geçen yıl Log4Shell sorunundan sadece birkaç hafta önce keşfedilen Hızlı Sıfırlama güvenlik açığına kadar tüm müşterileri için güvenlik açıklarını otomatik olarak yamalayabiliyor. Şirket, güçlendirilmiş, güvenli konteyner görüntü teknolojisinin Fortune 500 ve GitGuardian, Hewlett Packard Enterprise, Sourcegraph, Snowflake ve Replicated gibi teknoloji şirketleri tarafından kullanıldığını söyledi.
Lorenc, “Burada inşa ettiğimiz şey, şirketlerin üzerine inşa etmeye başlayabileceği güvenli, emniyetli, kullanılabilir bir açık kaynak temelidir. Buradan yola çıkarak gidebileceğimiz çok büyük miktarda potansiyel ve başka yönler var” dedi. “Oraya odaklanarak çok daha fazla sorunu bütünsel bir şekilde çözebiliyoruz.”
ABD Hükümeti için Açık Kaynağı Optimize Etme
Lorenc, Chainguard’ın bugünkü işinin, ana bilgisayarlardan genel buluta geçiş yapan finansal hizmet kuruluşları ile ABD hükümetine satış yapmak için FedRAMP yetkilendirmesinden geçen bulut hizmet sağlayıcıları arasında oldukça eşit bir şekilde bölündüğünü söyledi. Chainguard, hem düzenlemeye tabi sektörlerde 5.000’den fazla çalışanı olan şirketlere hem de altyapılarını güçlendirmek isteyen daha küçük güvenlik firmalarına hizmet veriyor.
Lorenc’e göre Chainguard, öncelikle kuruluşların açık kaynak kodlarının güvenliğini değerlendirmek için kullandıkları kendi geliştirdiği araçlarla rekabet ediyor. Chainguard’ın ileriye dönük olarak doğrudan ABD hükümetine satış yapmanın yanı sıra kanallar ve ortaklıklarla daha fazlasını yapmak istediğini söyledi.
Lorenc, son yıllarda kolaylaşmış olmasına rağmen federal kurumlar için bütçeleme ve satın alma sürecinin, ABD hükümetine satış yapan kuruluşlar da dahil olmak üzere özel sektördeki benzerlerinden tamamen farklı olduğunu söyledi. Chainguard geçtiğimiz günlerde federal satış müdürü için bir iş ilanı yayınladı ve Lorenc, ABD hükümeti için bir ekip oluşturmak ve pazara açılma hareketi oluşturmak için bu kişiden yararlanacağını söyledi.
Lorenc, ölçüm açısından bakıldığında, Chainguard’ın, şirketin yalnızca 2022’nin dördüncü çeyreğinde satış yapmaya başlamasına rağmen 2023’ün ilk yarısında üç katına çıkan yıllık tekrar eden geliri yakından takip ettiğini söyledi. Firma ayrıca mevcut müşterilerle tekrarlanan iş miktarını da izliyor. Lorenc’e göre yeni müşteri kazanma oranının yanı sıra.
Lorenc, “CISO’ların bu düzenlemeleri ve gereksinimleri karşılamasını ve geliştirici dostu ve aslında çoğu durumda geliştiricinin tercih ettiği bir şekilde güvenlik açığı ayak izlerini azaltmasını sağlayan bir ürün geliştirdik” dedi.