スイス拠点の機械学習を用いたコードレビューのスタートアップDeepCodeをSnykが買収

スイスを拠点とする機械学習式コードレビュースタートアップのDeepCode(ディープコード)が、Snyk(スニク)によって買収された(いずれも未訳記事)。DeepCodeは自身を「プログラマーのためのGrammarly(グラマリー、英文チェッカーの製品名)」と自称している企業で、一方Synkは開発者がコードを安全なものにすることに焦点を当てた、サイバーセキュリティーのユニコーンスタートアップだ。

契約の金銭的条件は明らかにされていない。だが大規模なコード解析を行うDeepCodeは、CrunchBaseによれば2016年の創業以来わずか520万ドル(約5億8000万円)を調達してきたに過ぎない。しかもその大部分が最近行われた400万ドルのシードラウンドでの調達(未訳記事)で、昨年Earlybird3VCbtov Partnersから投資を受けたものだ。

DeepCodeのCEOで共同創業者のBoris Paskalev(ボリス・パスカレフ)氏によれば、「地球上のすべての開発者たちがセマンティックAI駆動型コード分析を利用できるようにするという使命」を継続するために、チームはSnykへの合流を『熱望』した」という。

「会社としてのDeepCodeは、Snykが完全に所有するかたちで存続し、今後もチューリッヒのオフィスを成長させる予定です。そしてこの地の素晴らしい人材プールにアクセスし、世界の開発者コミュニティのための最先端の製品を保守し拡張を続けていくつもりです」とパスカレフ氏はTechCrunchに語った。

DeepCodeの製品が今後もスタンドアロンとして存在し続けるのか、それともSnykのプラットフォームへの完全な吸収が、現在開発者に提供しているコードレビューボットの停止を含むことになるのかに関しては、彼はまだ決断していないと述べた。

「私たちはその件を詳細に検討している最中ですが、中心的な目標は私たちが開発者に提供しているメリットを維持/拡大すること、特にオープンソースへの採用と浸透を押し進めることです」と彼はいう。そして「明らかなことは、当面は何も変わらないということです。DeepCode製品はスタンドアロン製品として残ります」と付け加えた。

また「どちらの企業も、開発者第一主義に対する非常に明確なビジョンと情熱を持っており、世の中の開発者とセキュリティチームが、リスクをさらに削減して生産性を高めることを支援しています」とも付け加えた。

買収を発表した声明(Snykアナウンス)の中で「SnykはDeepCodeのテクノロジーを同社のCloud Native Application Securityプラットフォームに統合する予定だ」と語り、「さらにAIエンジンを組み込むことにより、開発者が『脆弱性をより迅速に特定』できるようになる」という利点を宣伝している。

「DeepCodeのAIエンジンは、Snykにとって、脆弱性の発見と修正対する速度を上げ、新しいレベルの精度を確保するのに役立ちますが、同時にSnyk脆弱性データベースから常にスマートになるための学習を続けて行きます」とCEOのPeter McKay(ピーター・マッケイ)氏。「それによって、開発者は追加のステップとして脆弱性のテストを行うのではなく、開発中に同時に問題点をテストして、より迅速な統合を行うことが可能になります。また、結果の精度がさらに向上することで、誤検知を追跡する無駄な時間がほぼ取り除かれるのです」と続けた。

マッケイ氏は、DeepCodeに関連したSnykの印象深い機能の中でも、特に「他の手段より10〜50倍速い」コードスキャンを称賛した。そして彼が「開発者向けの特別なUX」と表現した機能は、IDEとgitレベルでスキャンを行い「高精度のセマンティックコード分析をリアルタイムに行うこと」を可能にする。

チューリッヒ工科大学からのスピンオフであるDeepCodeの買収に関して書かれた大学当局のブログ投稿(チューリッヒ工科大学ブログ)によれば、このAIスタートアップの持つ「決定的な利点」は、「莫大なプログラムコードから素早く学習を行い、安全性ならびに信頼性に関するコードの問題点をAIを使って検知できることができるようにする」ということだ。

また続けて「DeepCodeは、データ(この場合はプログラムコード)から学習できる現代のAIシステムの優れた例だが、にもかかわらず、人間にとって透過的で解釈可能なものだ」と付け加えている。

また同じブログ投稿によれば、DeepCodeを支える大学の研究活動は2013年にさかのぼるという。共同創業者たちは、当時データ主導の機械学習手法と、シンボリックな推論に基づくセマンティックな静的コード分析手法を組み合わせる方法を見つけようとしていたのだ。

DeepCodeの技術は、現在400万人を超える開発者に提供されており、10万を超えるリポジトリがそのサービスを登録している。

原文へ

(翻訳:sako)

デベロッパーのセキュリティをサポートするSnykが約165億円調達

デベロッパーが開発を行う際のセキュリティをサポートするSnykが1月21日、1億5000万ドル(約165億円)の資金調達を発表した。この調達によりバリュエーションは10億ドル(約1100億円)超になったとほのめかした(正確な数字は明らかにしていない)。

本ラウンドはニューヨークの投資会社Stripesがリードし、Coatue、Tiger Global、BoldStart、Trend Forward、Amity、Salesforce Venturesが参加した。Snykの累計調達額は2億5000万ドル(約274億円)を超える。

Snykは開発プロセスでの安全性をしっかりと確保することに主眼を置いている。別のチームに安全確保を任せるとそれまでの開発スピードを緩めてしまうこともあるが、そうではなくコード委託の一環としてセキュリティを構築する。

同社はデベロッパーがGitHubやBitbucket、GitLabまたは他のCI/CDツールにコードを委託する際、オープンソースの脆弱性を見つけやすくするオープンソースツールを提供している。このアプローチを採用する40万人以上のデベロッパーのコミュニティがすでにできている。

Snykはコンテナセキュリティ製品で収益を上げている。オープンソース製品で使える脆弱性データベースの基礎となるものを商品として企業に提供している。

同社が企業向けの商品を展開しようとしていた2019年に取締役となったCEOのPeter McKay(ピーター・マッケイ)氏は、オープンソースプロダクトは売上につながる製品となり、今回のような投資を引きつけたと話す。「この投資ラウンドは、コミュニティからフリーミアムまでオープンソースモデルにおけるモメンタムだった。それがいま我々が置かれている状況だ」とTechCrunchに語った。

同社が自らこの投資を模索していたわけではなく、同社の成長の勢いを見た投資家側から良い提案があった、とマッケイ氏は話す。「投資家たちは『マーケットを生かしたい。あなたが思うように投資できるようにし、我々全員が非常に大きな好機だと信じているものを生かしたい』と語った」とマッケイ氏は述べた。

実際、Snykは2016年の300万ドル(約3億3000万円)のシードラウンド以来、かなりのスピードで資金を調達してきた。2018年にシリーズAで700万ドル(約7億7000万円)、シリーズBで2200万ドル(約24億円)を調達したのに続き、2019年秋にはシリーズCで7000万ドル(約77億円)を調達した。

同社は2019年の売上高は4倍となったとしている(正確な数字は非公表)。そしてGoogle、Intuit、Nordstrom、Salesforceといった大口顧客も獲得した。Salesforceが投資部門のSalesforce Venturesを通じて今回Snykに投資したことは注目に値する。

画像クレジット: laflor / Getty Images

[原文へ]

(翻訳:Mizoguchi)

オープンソースのライブラリのセキュリティチェックと脆弱性フィックスを代行するSnykが$7Mを調達

オープンソースのライブラリはデベロッパーにとってとても重要なリソースだが、今日の慌ただしいアプリケーション開発環境では、それらが安全なコードであるという確信を持つことが容易ではない。そこでSnykは、デベロッパーがオープンソースのコードに脆弱性を見つけて直す作業を支援し、確実に安全なコードがプロダクションのその後の工程で使われるようにする。同社は今日(米国時間3/6)、Boldstart VenturesとCanaan PartnersがリードするシリーズAのラウンドで、700万ドルを調達したことを発表した。

このラウンドには、Heavybit, FundFire, VeeamのPeter McKay、およびそのほか数名の投資家が参加した。同社は2016年に、同じくBoldstartがリードするラウンドにより、300万ドルのシード資金を獲得している。

この種のバグフィックスは、アプリケーションが完成して世に出てからではなく、開発チーム自身がやった方がよい、とSnykのCEOで協同ファウンダーのGuy Podjarnyは信じている。今は開発工程にセキュリティチームがいないやり方が一般的になりつつあるが、そうでない方がよい、と彼は言う。ソフトウェアが何か月も何年もかかって構築されるときはそれでも良いが、しかし今日のような開発スピードでは、デベロッパーチームとは別のセキュリティチームがソフトウェアをチェックするやり方は、合理的でも効率的でもない、とPodjarnyは主張する。

“われわれは開発工程の中へエレガントに統合し、オープンソースの部分に既知の脆弱性を見つけ、それらをフィックスする”、とPodjarnyは説明する。同社はユーザーのGitHubリポジトリの中のコードをモニタするが、サードパーティの企業とソースコードを共有している場合も、どのファイルを使っているのかという“マニフェストファイルにアクセスできれば、われわれの仕事にとってとくに問題はない”、と彼は言う。

同社はインターネットのあちこちから情報を集めて、彼らがモニタしているオープンソースプロジェクトの既知の脆弱性とその特徴を知る。ユーザーが使っているライブラリと、使用している言語(JavaScript, Java, .netなど)が分かれば、今使っているコードが古いバージョンである(かもしれない)ことも分かる。

そしてそれらの脆弱性が見つかったら、そのコードに依存しているものを壊さずに早く効率的にフィックスする方法のアドバイスと共に、プルリクエストを送る。

  1. deep-integrations-into-a-large-and-growing-list-of-platforms.png

  2. detailed-advisories-for-vulnerabilities-in-the-snyk-vulnerability-db.png

  3. detailed-test-reports-with-a-single-click-fix-button.png

PodjarnyはBlaze.ioの協同ファウンダーだったが、同社は2012年にAkamaiに買収された。彼は買収後に、その企業のWeb体験ビジネスのCTOになり、2015年のSnykの立ち上げまでそこに在籍した。

そのときのスタートアップ体験が、ニューヨークのアーリーステージVC Boldstart VenturesのファウンダーでマネージングパートナーEd Simの目にとまった。“彼がAkamaiに売ったスタートアップにもうちは投資したが、彼と彼の協同ファウンダーたちには深いセキュリティ経験があった。また同社(Snyk)は、企業の大きな満たされざるニーズ、すなわちコードを継続的にデプロイしていくときの、オープンソースコードのセキュリティの確保というニーズを、満たすことができた”、とSimは語る。

SnykはまだシリーズAの企業だが、しかし今では月間ダウンロード数が35万もあり、大手の有料ユーザー企業が130社いる。同社は今後、対象とするオープンソースプロジェクトをもっと多くしていきたい、と考えている。また、現在30名の社員を、その倍にしたい。今同社は、テルアビブとロンドンにオフィスがあり、ボストンに小さな営業とサポートのオフィスがある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

オープンソースコードのセキュリティチェックと問題修復を開発のワークフローに組み込むSnyk、GitHubとの統合も可能

team-photo

デベロッパーがオープンソースのコードやパッケージを利用することは、どこでも当たり前になってきた。今やソフトウェアが世界を食べている*と言われるが、その食事はオープンソースソフトウェアというお店での外食だ。〔*: software eats the world, Marc Andreessenの名(迷?)言。〕

誰かが書いたコードがすでにある、という今の状況はデベロッパーの生産性を大きくアップしているが、しかしそれらを利用すると、それらのコードが抱えるセキュリティの問題を自分のアプリケーションが抱え込むことになるから、とくに比較的新しいオープンソースパッケージの場合は、コードの脆弱性の点検に多大な時間と努力を費やすことになりがちだ。

そこでSnykの出番だ。ロンドンとイスラエルにまたがるこのスタートアップは、その大仕事をデベロッパーに代わって行い、オープンソースコードをベースとする開発のセキュリティを確保する。

Snykの協同ファウンダーでCEOのGuy Podjarnyは問題をこう説明する: “npmのようなパッケージリポジトリには何十万ものパッケージがあって、きみが自分で書く必要のない大小様々な機能性を提供している。でも、良い機能性と共にきみは、そのパッケージのセキュリティの欠陥も取り込むことになる。パッケージの7つに1つは、既知の脆弱性を抱えている”。

その対策としてSnykは、オープンソースのコードを安全にする作業を、デベロッパーの通常のワークフローに組み込む。たとえばそのサービスをGitHubに組み込むと、脆弱性のチェックが開発過程の中で行われる。テスト過程で一回だけ行われる(当たり外れのある)コード監査と違って、チェックは反復的継続的に行われる。

脆弱性が見つかるとSnykは適切なパッチを提供し、また可能なかぎり、依存性の解決も行う。パッチはSnykのチーム自身が開発し、彼らはサイバーセキュリティとオープンソースソフトウェアのベテラン揃いだ。

Podjarnyは主張する: “Snykのツールは問題を早期に発見し迅速に手当する。新しい脆弱性が公表されると、それにも素早く対応する。ツールは最近GitHubと統合したので、これらのセキュリティ管理をGitHubのワークフローに一体化し、コードが変更されようとするたびにSnykがチェックを行う。そして問題を修復するためのコードの書き換えを、ボタンをクリックするだけで提案する。そうやって脆弱性を退治できたら、次はプロジェクト全体の依存性を調べ、新たに公表された脆弱性がアプリケーションに影響を与えていれば、そのことを警告すると同時に、問題修復のためのコードの書き換えを提案する”。

デベロッパーのプロジェクトがオープンソースならSnykの利用は無料で、コマンドラインで使うテスト機能も無料だ。同社が提供している有料のパッケージには、生産性とレスポンスタイム向上のための工夫が盛り込まれている。

“弊社のツールは、セキュリティ問題を解決するための、もっとも効率的な方法を提供する。それらは新たな問題の発生を防ぎ、新しい脆弱性警告にも対応する”、と彼は語る。Snykのプロダクトはセルフサービス型だが、有料プランは月額19ドルからだ。対象コードの規模が大きければ、そのぶん料金は高くなる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))