Kusari baut eine Open-Source-basierte Supply-Chain-Sicherheitsplattform auf

By | January 25, 2024

Die Software-Lieferkette, die die Komponenten, Bibliotheken und Prozesse umfasst, die Unternehmen zur Entwicklung und Veröffentlichung von Software verwenden, ist bedroht.

Laut einer aktuellen Umfrage glauben 88 % der Unternehmen, dass die Sicherheit der Software-Lieferkette ein „unternehmensweites Risiko“ für ihre Organisationen darstellt, während fast zwei Drittel (65 %) glauben, dass das Lieferketten-Sicherheitsprogramm das Softwarebereitstellungssystem ihrer Organisationen beeinträchtigt ist noch nicht so ausgereift, wie es sein sollte. Eine separate Umfrage ergab, dass die durchschnittliche Zahl von Verstößen in der Lieferkette im Jahr 2023 auf etwa vier Vorfälle pro Unternehmen anstieg, verglichen mit etwa drei Vorfällen im Jahr 2022 – ein Anstieg von 25 %.

Nun könnten Sie darauf hinweisen – und das nicht zu Unrecht –, dass es eine Reihe großer und kleiner Zulieferer gibt, die vor der Herausforderung der Lieferkettensicherheit stehen. Und du würdest dich nicht irren. Aber ein Neuzugang, Kusari, glaubt, dass er es mit einem Team aus der Finanzdienstleistungs- und Verteidigungsindustrie besser machen kann.

Die Anleger scheinen kaufbereit zu sein. Diesen Monat Kusari – dessen Namensgeber die japanische Feudalwaffe ist kusari-fundo – sammelte 8 Millionen US-Dollar in Pre-Seed- und Seed-Finanzierungsrunden unter Beteiligung von J2 Ventures, Glasswing Ventures und Unusual Ventures. Das Geld werde in den Aufbau der Software-as-a-Service-Plattform (SaaS) von Kusari fließen, sagte Mitbegründer und CEO Tim Miller, und in die Vergrößerung des Teams des Startups von acht auf etwa 15.

„Es besteht ein echter Mangel an Bildung zum Thema Software-Supply-Chain-Management und den Tools, Spezifikationen und Standards in diesem Bereich“, sagte Miller gegenüber TechCrunch in einem E-Mail-Interview. „Die Kusari-Plattform fungiert als GPS für die Navigation bei Problemen in der Lieferkette und hilft Chief Information Security Officers, die Softwarerisiken, denen sie ausgesetzt sind, zu verstehen und zu begründen – und hilft DevOps-Leuten, diese Probleme einfach und unkompliziert zu beheben. automatisch.“

Miller gründete Kusari 2022 zusammen mit Michael Lieberman und Parth Patel. Vor Kusari war Miller technischer Direktor bei Citi, wo er Lieberman kennenlernte, während Patel leitender Ingenieur für Cybersicherheitssysteme bei Raytheon war.

Miller sagt, dass ihn, Lieberman und Patel die Einführung von Kusari durch ein gemeinsames Problem veranlasst wurden: zu wissen, welche Software und Abhängigkeiten von einer bestimmten Anwendung oder einem bestimmten System zu einem bestimmten Zeitpunkt verwendet werden.

„Im Dunkeln zu tappen bringt eine Menge Probleme mit sich, z. B. die langsame Reaktion auf Sicherheitslücken, das Wissen, ob es Lizenz- oder Compliance-Probleme gibt, und sogar grundlegende Wartungsarbeiten wie ‚An wen kann ich mich wenden, wenn das Problem auftritt?‘“, sagte Miller. „Wir haben Kusari gegründet, um Transparenz und Sicherheit in die Software-Lieferketten zu bringen und es einfacher zu machen, darüber nachzudenken, was in der Software eines Unternehmens enthalten ist – und zu zeigen, was dagegen zu tun ist.“

Zu diesem Zweck nutzt Kusari das Guac-Open-Source-Projekt – zu dem Miller, Lieberman und Patel beigetragen haben –, um die am häufigsten verwendeten Komponenten in einer Software-Lieferkette zu finden und Risiken für riskante Abhängigkeiten zu identifizieren. Kusari – unterstützt von Guac – kann auch den Besitz von Anwendungen innerhalb einer Organisation bestimmen, sicherstellen, dass Anwendungen den Richtlinien einer Organisation entsprechen, und Änderungen zwischen verschiedenen Softwareversionen feststellen.

Auf der Seite der Behebung kann Guac – und damit auch Kusari – den „Explosionsradius“ eines fehlerhaften Pakets oder einer Schwachstelle bestimmen und einen Plan zur Behebung vorlegen. Es kann auch den Ursprungsort von Exploits verfolgen und feststellen, wann und wo sie eingeführt wurden.

Miller sieht Legit Security, Ox Security und Snyk als die größten Konkurrenten von Kusari. Er betont jedoch Kusaris Open-Source-Ansatz, den er für einzigartig hält.

„Wir haben ein Open-Source- und SaaS-Geschäftsmodell“, sagte er. „Unsere ursprüngliche Strategie bestand darin, den Ansatz durch das Open-Source-Produkt zu validieren. Unser SaaS-Produkt wird noch in diesem Jahr auf den Markt kommen. Wir glauben, dass wir die Kosten für die Behebung von Software-Schwachstellen erheblich senken und gleichzeitig das Vertrauen in die Behebung dieser Schwachstellen erhöhen können, sodass Technologie-Entscheidungsträger den Zustand ihrer Software-Lieferkette verstehen und schnell feststellen können, ob nicht behobene Risiken bestehen.“

Zu den künftigen Funktionen in der Entwicklung gehört ein ChatGPT-ähnlicher Chatbot, der es Benutzern ermöglicht, mit Guac (über Kusari) zu „chatten“, um die Lieferkette eines Unternehmens zu überprüfen und eine bessere Kontrolle darüber zu erlangen, indem sie beispielsweise Fragen stellen wie „Was haben laufende Container?“ diese und jene Verletzlichkeit?“

Miller sagt, das Team strebe vorerst eine „schlanke“ Arbeitsweise an und konzentriere sich auf die Einstellung „einer Handvoll Experten“, die Kusari dabei helfen können, schnell zu wachsen. Die Plattform wurde noch nicht gestartet – das Startup strebt jedoch eine allgemeine Verfügbarkeit im Laufe dieses Jahres an.

„Aufgrund der Verlangsamung sehen wir, dass einige potenzielle Designpartner die Zusammenarbeit etwas zurückziehen und sich auf wichtigere Geschäftsinitiativen konzentrieren“, fügte Miller hinzu, „aber die Verlangsamung hat uns nicht so sehr getroffen wie andere.“ Wir nutzen die neueste und beste Open-Source-Technologie, um den Aufbau und die Skalierung unserer Plattform kostengünstig zu gestalten.“

Leave a Reply

Your email address will not be published. Required fields are marked *