Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Startup, yazılım güvenlik açığı hacmini azalttığını söylüyor, geliştiricilerin aşırı yüklenmesini önlemesine yardımcı oluyor
Michael Novinson (Michaelnovinson) •
6 Mayıs 2025
Twistlock’un eski CEO’su tarafından yönetilen bir uygulama güvenliği girişimi, tüm hacim ve karmaşıklıklarında yazılım güvenlik açıklarını almak için 51 milyon dolar topladı.
Ayrıca bakınız: Güvenlik İş Akışı Otomasyonu Karmaşıklığı Keser
Tohum finansmanı, Louisiana merkezli Minimus endüstrisinin geliştiriciye ulaşmadan önce güvenlik açıklarına doğru ilerlemesine yardımcı olacak, kurucu ortağı ve CEO’su Ben Bernstein. Minimus eksenlerini, geliştirme ve güvenlik ekiplerinin nasıl ortaklaşa nasıl yeniden şekillendiren önleyici bir mimariye sahip geleneksel uyarı tabanlı tarama sistemlerini söyledi.
Bernstein, Bernstein, “Aldığımız en büyük sorun aslında size sahip olabileceğiniz en kutsal kaynağı vermekle ilgilidir.” Dedi. “Temel olarak uğraştığınız güvenlik açıklarının% 95’ini ortadan kaldırarak size zaman veriyoruz.”
Minimus 2022’den beri iş başında, 35 kişiyi istihdam ediyor ve tohum finansmanına liderlik etmek için YL Ventures ve Mayfield’a dokunuyor. Şirket, daha önce 2015 yılında Container Security Startup Twistlock’u kuran ve Temmuz 2019’da Palo Alto Networks’e 378,1 milyon dolara satan Bernstein tarafından başlatıldı. Bernstein daha sonra 2020’de çıkmadan önce Palo Alto Networks için ürünleri ve mühendisliği denetledi (bkz:: Kaydedilen Geleceğin Satışı Büyük Infosec M&E Haftası’nın Vurgulanması).
Geleneksel uygulama güvenlik yaklaşımları neden kesmiyor?
Bernstein, derin operasyonel değerleri ve önceki çalışma ilişkileri için YL ve Mayfield’ı seçti. YL daha önce Twistlock’a yatırım yapmış ve güvenilir rehberlik sağlamıştı, Mayfield ise Twistlock’a yatırım yapmama kararından pişman oldu. Bernstein, Mayfield yönetici ortağı Navin Chaddha’yı keskin düşüncesi için övdü ve analitik stilini bir mühendisin tarzına benzetti.
Bernstein, “Şu anda her şeyi Ar -Ge’ye koyuyoruz.” Dedi. “Ve hızlı büyüdükçe, parayı piyasaya sürmeye daha fazla koymak daha kolay olacak. Piyasaya gitmeye biraz çaba harcadık, ama biz süslü, büyük bir şirket değiliz ve bu noktada parayı kullanmaya çalışmıyoruz. Yine, eğer başarılı olursak, sanırım doğal olarak bu yönde gelişecek.”
Bugünün geliştiricileri ve güvenlik ekipleri, konteyner alanlarındaki derin yerleşik bağımlılıklar ve modası geçmiş paketlerden kaynaklanan sonsuz güvenlik açığı uyarılarıyla bombalanıyor. Geleneksel yaklaşımlar, geliştiricilerin ve güvenlik ekiplerinin bu sorunları sınırlı görünürlük ve yüksek operasyonel yük ile tetiklemelerini ve önceliklendirmesini beklerken, önceden korunmuş yazılım bileşenleri sunarak minimus paradigmayı değiştirir.
Bernstein, “Birisi tüm bu parçalardan oluşan bir yerde bazı kaplar inşa etti ve güvenlik açıkları gerçekleştiğinde güncellenmiyor ve sonunda yamamız gereken bir şeyle sonuçlanıyoruz ve yarın ne olacağını asla bilemeyiz.” Dedi. “Başa çıkmak imkansız.”
Minimus yaklaşımını rakipler dışında ne ayarlar
Minimus, geliştiricilerin en başından beri daha güvenli yazılım yazmak için kullanabileceği önceden güvenli yapı taşları sunar. Bu sorunun çözülmesi, binlerce açık kaynak paketinin inşa edilmesi ve yeniden inşa edilmesi ve karmaşık bağımlılık ağaçlarının korunmasını içeriyordu. Minimus, binlerce uyarıyı ortaya çıkarmak yerine, geliştiricilerin kullandığı paketlerin zaten güvence altına alınmasını sağlar.
Bernstein, “Bunu yukarı akıştan aldığımızdan, onu sonuna kadar inşa ettiğimizden ve her zaman güncel olduğundan emin olacağız.” Dedi. Diyerek şöyle devam etti: “Güncellemek isteyip istemediğinize karar verebilirsiniz, ancak herhangi bir zamanda mümkün olduğunca sıfır güvenlik açığına yaklaştığınızdan emin olacağız, ki bu da kırılganlıklarının% 95’inden fazlası gitti.”
Bernstein, CheckMarx, Black Duck ve Veracode gibi araçların öncelikle özel kodun statik analizine odaklandığını, ancak açık kaynaklı bağımlılıklardan kalıtsal güvenlik açıklarının daha derin problemini görmezden geldiğini söyledi. Snyk gibi platformlar bu boşluğu doldurmak için ortaya çıktı, ancak Bernstein, modelin büyük ölçüde tarama ve uyarı ve güvenlik ekiplerinin gürültü ile boğulmuş olduğu için ölçeklenebilir olmadığını söyledi.
Bernstein, “Snyk, bu konuda bir şeyler yapan en havalı, esnek, büyük şirket.” Dedi. “Ama çok farklı olduğu için, bence farklı girişimler arasında bir yarış olacak ve umarım başarılı olacağız.”
Gelir veya anlaşma büyüklüğü için optimize etmek yerine, Bernstein Minimus’un çekirdek KPI’sının ürünü aktif olarak kullanan ve faydalanan müşteri sayısı olduğunu söyledi. Minimus’u yararlı bulan bireysel ekiplerle çekiş kazanmak ve daha sonra güven oluşturuldukça hesap ayak izini büyütmek istiyor. Bunun, büyük organizasyonlarda geliştirici şampiyonları kazanmayı başaran Twistlock’un ilk günlerini yansıttığını söyledi.
Bernstein, “Gençliğimden beri, her zaman ‘müşterilere odaklanmaya, onları mutlu etmeye ve işler yoluna gireceğine’ inanıyordum.” Dedi. “Yani, benim için en önemli şey, mümkün olduğunca çok müşteriye ulaşmak, onlara şimdiye kadarki en büyük anlaşma satmamak, ancak birçok müşteri için çok fazla sorun çözdüğümden emin olmaya çalışmak.”