Kubernetes ve sigstore kurucuları, yazılım tedarik zinciri başlangıcı Stacklok’u başlatmak için 17,5 milyon dolar topladı

Kubernetes açık kaynak projesinin başlatılmasında etkili olduktan sonra, Kubernetes’in kurucu ortakları Craig McLuckie ve Joe Beda, Heptio’yu başlatmak için Google’dan ayrıldı. 2016’da. Onlar sonra şirketi VMware’e sattı 2018’de. Her ikisi de 2022’de VMware’den ayrıldı ve McLuckie, Accel’de ikamet eden bir girişimci olarak kısa bir süre geçirdikten sonra gizli bir girişim kurmaya devam etti. Artık bu gizli girişimin Yığınyazılım tedarik zinciri güvenliğine odaklanan araçlar ve hizmetler oluşturmayı amaçlamaktadır.

McLuckie, Stacklok’u oluşturmak için şirketin CTO’su olarak Luke Hinds ile birlikte çalıştı. Hinds kurucusudur. mağaza birçok tedarik zinciri yığınının merkezinde yer alan varsayılan açık kaynak projesi haline gelen proje. Hinds’in bana söylediği gibi sigstore, Red Hat’te çalışırken 2020’deki pandemik kilitlenmelerin ilk günlerinde şekillendi.

Görsel Kaynakları: Yığın

“Uzun süredir bu fikir kafamdaydı, ancak açık kaynak ekosistemlerinde, dışarıda çok fazla karanlık madde var – girift bir şekilde bir araya getirilmiş ancak net bir model göremeyen bağımlılıklardan oluşan devasa bir spagetti canavarı. Hinds bana söyledi. “Bu yüzden, tedarik zincirinde gözlemlenebilirlik ve şeffaflık sağlamak için bu tür bir tedarik zinciri defteri oluşturma fikrim vardı. Bu yüzden, içindeki her şeyin reddedilemez ve kriptografik bir imzaya sahip olduğu gerçekten iyi bir temelle başlayın. Yani ister makine ister insan olsun, bunun bir kimliğe bağlı olduğunu biliyorsunuz. Dolayısıyla, gerçekten iyi bir güven temeli – bir güven dokusu – ile başlarsak, o zaman bu yığının üzerine katmanlar eklemeye başlayabiliriz.

Bugün sigstore, Linux Vakfı’nın bir parçasıdır. Açık Kaynak Güvenlik Vakfı (SSF’yi açın). Yazılım tedarik zinciri güvenliğinin yazılım ekosistemlerinde bir öncelik olması ve geliştiricilerin kendi projelerini ve kullandıkları kitaplıkları imzalamasına ve doğrulamasına yardımcı olan sigstore gibi bir araçla, daha güvenli yazılım oluşturmak için temel bir araç haline geldi. Ve iki kurucu ortak henüz Stacklok için ürün planları hakkında çok fazla şey söylemese de, sigstore bu projenin de merkezinde yer alacak.

McLuckie bana kendisinin de bir süredir tedarik zinciri güvenliğini düşündüğünü ve bir şeyler inşa etmeyi de özlediğini söyledi. “var Hiçbir şey Daha eğlence hariç bina A şirket” dedi. “Ben sahibim olmuştur düşünme hakkında için tedarik zinciri güvenlik sorunları A uzun zaman. Ya sahibim olmuştur konuşmak hakkında Bu o zamandan beri Peki önce the SolarWinds olayı olmuş. İçinde Benim akıl, BT görünüyordu beğenmek bir şey O öyleydi BİR bariz vektör için [attackers]. Eğer Sen düşünmek hakkında girişim kuruluşlar, bir ile ilgili onların öncelik farklılaştırıcılar onların yetenek ile üretmek Ve tüketmek teknoloji ile çözmek the işletme sorun birnd Ne zaman Sen Görmek the dünya olmak giderek karanlık – bir biraz biraz Daha tehlikeli – ile Bu garip düzenlemek ile ilgili birleştirme ile ilgili ulus devlet aktörleri Ve reklam bilgisayar korsanları Bu yüzden Onlar neredeyse ayırt edilebilir hale gelir. Mantıklı görünüyordu o tO yer O kişi başlar ile ödemek dikkat ile dır-dir the tedarik zincir: Nasıl olabilmek Sen sokmak bir şey içine A tedarik zincir O işletmeler tüketiyor?”

Birçok yönden açık kaynak tedarik zinciri güvenlik ekosistemi, ilk Kubernetes ekosistemiyle benzer bir noktadadır. Temel yapı taşlarından bazıları mevcuttur, ancak teknolojiyi çok çeşitli potansiyel kullanıcılar için daha erişilebilir hale getirmek için yapılacak çok iş vardır. Çoğu geliştirici, her ne kadar güvenli kod yazmak ve yalnızca güvenilir paketlerle çalışmak istese de, sonuçta kriptografi uzmanı değildir. Bu arada, güvenlik manzarası değişmeye devam ediyor. Başkanlık Emri 14028 şimdi bunu ABD’de ulusal bir öncelik haline getirdi

“Luke ve benim sahip olduğumuz vizyon, gerçekten geliştiricilerle başlıyor ve onlara yazılımı daha iyi üretmeye başlamak için ne yapmaları gerektiğine dair çok net ve kesin bir içgörü sağlıyor – üstlendikleri bağımlılıklar hakkında daha iyi bir anlayış, daha iyi işletim tercihlerini anlıyorlar ve bunu yaparken, daha sonra bir deftere yazılabilecek veriler üretmeye başlıyorlar, böylece çalışmalarını etkili bir şekilde gösterebiliyorlar. ‘Hey, bunu yaptığımda iyi davranıyordum.’”

Stacklok, çok erken bir aşamada, bu kaynak verilerinin çoğunu doğrudan geliştiricilere sunan araçlar oluşturmayı ve bunu, bu teknolojiyi geliştiriciler için daha şeffaf ve erişilebilir hale getirecek şekilde yapmayı umuyor. McLuckie, ekibin muhtemelen önce GitHub ile bir entegrasyon oluşturmaya başlayacağını ima etti, ancak ekip, bir beta başlatmaya hazır olana kadar planlarının çoğunu gizli tutuyor.

“Bu erdemli döngüyü yaratmak istiyoruz. Bu angajman volanı, ”dedi McLuckie. “Ancak takımların neye ihtiyacı olduğuna bakmaya başladığınızda, bizim için işlerin daha ilginç ticari yönü devreye giriyor. Geliştiriciler bunu tüketmeye ve bunu kullanmaya ve proje bilgisi oluşturmaya başladıktan sonra, bir sonraki bariz mantıklı soru, bunun nerede olduğu ve bununla ilgili politika kararlarını nasıl vereceğimdir. İşte burada ticari ürün grubumuz devreye girecek.”

Stacklok bugün 17,5 milyon dolarlık A Serisi tur topladığını duyurdu. Şirketin başlangıç ​​turunu kaçırmadınız. Stacklok, bu adımdan vazgeçmeye ve ilk finansmanını A Serisi olarak adlandırmaya karar verdi (ve boyutu göz önüne alındığında, bu mantıklı). McLuckie’nin Accel’de ikamet eden bir girişimci olarak eski rolü göz önüne alındığında, firmanın bir başka erken Heptio yatırımcısı olan Madrona ile birlikte Stacklok’a da yatırım yapması şaşırtıcı değil.

Madrona’dan Tim Porter ve Sabrina Wu bugün yaptıkları duyuruda, “Yazılım tedarik zinciri güvenliği pazarı, pek çok noktasal çözüm sağlayıcıyla birlikte, ancak net bir platform liderinin olmadığı parçalı bir yapıya sahip” diyor. “İnanıyoruz Yığın ekibin benzersiz geçmişi ve tüm DevSecOps süreci boyunca hem proaktif hem de düzeltici olan, CodeSec’e zarif ve etkili bir yaklaşım sağlayan ve doğal olarak zaman içinde AppSec senaryolarına genişleyen yeni bir platform çözümü oluşturma yeteneği göz önüne alındığında, kazanmak için benzersiz bir konumdadır. Örneğin, hayal ediyoruz Yığın yeni bir sıfır güvenlik açığı keşfedildiğinde bir üretim paketi için iyileştirmeyi zorunlu kılabilecek ve bağlamsal bilgileri faydalı hale getirerek tedarik zincirindeki görünürlüğü artırabilecek.”

Heptio oldukça hızlı bir şekilde satıldı – ekip tasavvur ettiği ürün portföyünü tam olarak oluşturamadan önce. Nitekim McLuckie’ye bunu sorduğumda çok erken satmış olabileceğini söyledi. “Çok hızlıydı. Çok erkendi. En iyi iş buydu. Bunu yapmaya devam etmek istedim ama para hayır diyemeyecek kadar iyiydi” dedi. Yine de Stacklok ekibinin uzun süredir işin içinde olduğunu savunuyor.