A cadeia de suprimentos de software, que compreende os componentes e processos usados para desenvolver software, tornou-se precária. De acordo com uma pesquisa recente, 88% das empresas acreditam que a má segurança da cadeia de suprimentos de software representa um “risco em toda a empresa” para suas organizações.
Componentes da cadeia de suprimentos de código aberto são especialmente problemáticos, devido aos obstáculos logísticos em manter cada componente bem mantido. A empresa de segurança Synopsys descobriu em seu relatório de 2023 que 89% das bases de código das empresas continham ferramentas de código aberto com mais de quatro anos de desatualização. Um relatório de 2024 do Instituto Ponemon descobriu que mais da metade das organizações experimentaram um ataque à cadeia de suprimentos de software. Esses ataques podem custar à economia quase $81 bilhões em receita perdida e danos até 2026, estima a Juniper Research.
Socket, uma startup que fornece ferramentas para detectar vulnerabilidades de segurança em código aberto, levantou $40 milhões para ajudar a resolver o problema.
O CEO Feross Aboukhadijeh fundou a Socket em 2020. Um mantenedor prolífico de código aberto e palestrante de segurança na web em Stanford, Aboukhadijeh diz que chegou à conclusão de que as ferramentas de segurança tradicionais eram insuficientes para enfrentar os desafios do desenvolvimento de software moderno.
“A extensa rede de dependências — que soma milhares — apresenta riscos significativos de segurança que as ferramentas tradicionais não conseguem mitigar”, disse Aboukhadijeh ao TechCrunch. Dependências são pedaços de software ou bibliotecas dos quais um aplicativo depende para funcionar. “Mesmo com revisões rigorosas de código interno, dependências externas introduzem o risco de ataques à cadeia de suprimentos de software que são difíceis de detectar e gerenciar”, continuou Aboukhadijeh.
A solução da Socket é um scanner que procura atividades maliciosas, como portas dos fundos e código ofuscado, em componentes de código aberto, e alerta os desenvolvedores quando dependências e pacotes são atualizados ou adicionados.
Por meio de integrações com APIs de IA generativa da Anthropic e OpenAI, a Socket também pode gerar resumos de vulnerabilidades (com mínimas alucinações, espera-se). Além disso, a plataforma pode opcionalmente verificar se o código aberto está devidamente licenciado — e, portanto, legal — para reutilização.
“A Socket é projetada para equipes de engenharia e equipes de segurança de aplicativos que dependem fortemente de software de código aberto”, disse Aboukhadijeh. “Ela se integra perfeitamente ao fluxo de trabalho do desenvolvedor, fornecendo insights em tempo real durante revisões de código e atualizações de dependências, sem sobrecarregar os usuários com falsos positivos.”
Mais empresas de software estão confiando em código aberto do que nunca. Em um relatório de 2023 publicado em colaboração com a Open Source Initiative e a Eclipse Foundation, 95% dos entrevistados disseram que suas organizações aumentaram — ou pelo menos mantiveram — seu uso de código aberto no ano passado.
Com o mercado de plataformas de segurança da cadeia de suprimentos de software esperado para crescer até $3,5 bilhões até 2027, não é surpreendente que a Socket tenha rivais.
A Oligo, uma empresa que se concentra na segurança e observabilidade de aplicativos em tempo de execução, saiu do modo stealth em fevereiro, apoiada por $28 milhões. A Endor surgiu do modo stealth com $25 milhões em outubro passado, após a Chainguard levantar $50 milhões no início de junho.
O que diferencia a Socket, argumenta Aboukhadijeh, é sua capacidade de capturar código possivelmente prejudicial que outras ferramentas perdem — em particular, código para exfiltrar dados sensíveis. A Socket está detectando mais de 100 ataques à cadeia de suprimentos de software zero-day a cada semana, afirma ele.
Usando a Socket para identificar as dependências de um aplicativo.
A lista impressionante de apoiadores — e clientes — da Socket sugere que há alguma credibilidade nessas afirmações.
O empreendedor Elad Gil e a Andreessen Horowitz participaram da Série B da Socket, junto com o cofundador do Yahoo, Jerry Yang (divulgação: o Yahoo é a empresa-mãe do TechCrunch), o presidente da OpenAI, Bret Taylor, o cofundador da Twilio, Jef Lawson, e o cofundador e CEO da Shopify, Tobias Lütke.
Os clientes da Socket, por sua vez, incluem Anthropic, Harvey, Figma, Vercel, um dos quatro maiores bancos dos EUA, e “a maior e mais reconhecida empresa de IA”. (Interprete o último como quiser.)
Aboukhadijeh descreveu a nova rodada da Série B como “preemptiva”, afirmando que a Socket ainda não gastou o dinheiro da Série A que levantou em agosto passado.
“Estamos a caminho de crescer a receita em 400% em 2024”, disse Aboukhadijeh ao TechCrunch. “A Socket atualmente tem mais de 100 clientes e protege mais de 7.500 organizações, defendendo 300.000 repositórios de código e apoiando mais de 1 milhão de desenvolvedores em todo o mundo.”
O novo capital eleva o total levantado pela Socket para $65 milhões durante o que Aboukhadijeh descreveu como um momento crucial na história do código aberto. A IA, ele apontou, está sendo usada para escrever cada vez mais código, o que introduz o potencial para buracos de segurança.
“Agora era o momento certo para levantar esses fundos”, disse Aboukhadijeh. “Novos vetores de ataque de IA criaram uma necessidade urgente para a Socket trazer garantias de segurança ao código gerado por essas ferramentas impulsionadas por IA. A tecnologia da Socket aborda essa lacuna crítica no mercado, e o financiamento adicional ajudará a escalar seu impacto.”
A Socket, que tem 32 funcionários hoje, planeja aumentar sua equipe para 50 pessoas até o final do ano, com foco nas áreas de engenharia, produto, design e vendas da empresa com sede em Stanford.