Seal Security quiere facilitar la corrección de vulnerabilidades de código abierto

Seguridad del sellouna startup con sede en Tel Aviv fundada por un grupo de ex miembros de la unidad de inteligencia Unidad 8200 de Israel, sale del sigilo hoy y anuncia una ronda de financiación inicial de 7,4 millones de dólares como la de Vertex Ventures Israel, con la participación de Crew Capital, PayPal Alumni Fund. y Cyber ​​Club de Londres.

Desde que se descubrió la vulnerabilidad Log4j y la Casa Blanca publicó su cadena de suministro de software orden ejecutiva, todos los que crean software saben la importancia de mantener actualizadas las numerosas bibliotecas de código abierto en las que confían. Pero a menudo es más fácil decirlo que hacerlo, ya que las grandes empresas suelen emplear equipos completos que se centran únicamente en mantener sus paquetes actualizados. En los últimos años, hemos visto varias empresas de seguridad que se especializan en alertar a los desarrolladores cuando uno de sus paquetes es vulnerable y, si bien eso es valioso, el verdadero trabajo es remediar estas vulnerabilidades, lo que en la mayoría de los casos simplemente implica instalar una actualización.

El sello fue fundado por Itamar Sher (CEO), Lev Pacmánov (CTO) y Alon Navón (CPO). Después de su paso por la Unidad 8200, los miembros del equipo trabajaron en varias empresas, incluidas Cymmetria, Curv y PayPal. Sher me cuenta que el equipo unió fuerzas en el verano de 2022.

“Para mí, en realidad era una cuestión de querer ser constructor”, dijo Sher. “Pasé parte del tiempo estando del otro lado: siendo investigador, pirateando cosas, rompiendo cosas, lo cual es divertido a su manera. Pero creo que una de las cosas que me importaba, y que realmente quería destacar, es estar más en el lado de los constructores”. Como primer empleado de Cymmetria, ya probó esa experiencia, pero ahora, como fundador y director ejecutivo, está viendo el espectro completo de la experiencia de una startup.

Créditos de imagen: Seguridad del sello

Lo que hace que Seal sea diferente es que en realidad parchea los paquetes vulnerables y no solo los actualiza. Mientras trabajaba en PayPal, se dio cuenta de que faltaban herramientas que pudieran no solo descubrir sino también remediar las vulnerabilidades de seguridad. También destacó que muchas de las herramientas actuales bombardean a los desarrolladores con cientos de alertas, lo que dificulta priorizar en cuáles centrarse. Al final, estos equipos dedican una gran parte de su tiempo y energía a mantener los paquetes actualizados (incluso aquellos que tal vez ni siquiera se utilicen en producción). “Lo que notamos es que para la mayoría de las vulnerabilidades que existen, en realidad se puede tomar el parche de seguridad que mitiga el riesgo y simplemente aplicarlo en las versiones existentes que los desarrolladores ya están usando”, explicó Sher.

Actualmente, Seal Security se integra con GitHub para habilitar estos parches en el proceso de CI/CD de una empresa. Pero lo que quizás sea más importante es que Seal crea estos parches él mismo. Gran parte de este proceso está automatizado y respaldado, en parte, mediante el uso de un modelo de lenguaje grande. Estos modelos, explicó Sher, son muy buenos para identificar la confirmación que introdujo un parche determinado, por ejemplo. De hecho, sin los modelos, una solución como Seal Security probablemente no habría sido escalable hace sólo un par de años.

“Los componentes de código abierto son fundamentales para el desarrollo de software y las organizaciones enfrentan desafíos importantes en la gestión de bibliotecas con vulnerabilidades críticas. Estos desafíos tienen un impacto significativo en los resultados comerciales”, explica Daniel Dines, cofundador y socio general de Crew Capital (y cofundador y codirector ejecutivo de UiPath). “Sello Seguridad aborda esta demanda del mercado con una solución que agiliza seguridad gestión de parches, lo que permite a sus clientes eliminar vulnerabilidades de forma efectiva”.

Fuente