サイバーセキュリティ企業のSonatypeを非公開投資会社Vista Equityが買収

非公開投資会社のVista Equity Partnersが、サイバーセキュリティに焦点を当てたオープンソースオートメーション企業のSonatype(ソナタイプ)を買収した。

買収の条件は明らかにされていないが、Sonatypeによると、この買収によって同社のNexusプラットフォーム、エンタープライズ対応のリポジトリマネージャ、および6500万件のオープンソースコンポーネントの分析にアクセスできるライブラリの構築が可能になるという。このプラットフォームは、企業がオープンソースコードを追跡し、開発パイプラインのソフトウェアを最新のバグとセキュリティ修正で最新の状態に保つのに役立つ。

Sonatypeによるとこの種の技術は、オープンソースのApacheサーバーが最新の状態に保たれていなかったために、1億5000万件近いデータが盗まれたEquifaxスタイルの攻撃を防ぐのに役立つという。なお、同社の既存の複数投資家は同社株を保有し続けるという。

メリーランド州フルトンに拠点を置くSonatypeは財務状況を公表していないが、過去3年間で年間収益が250%まで成長したと主張している。なお、前回の資金調達は2018年9月の8000万ドル(約87億円)だった。そして、同社は1000社以上の顧客がおり、Fortune 100企業の60%以上も含まれ、大手テック企業や複数の金融機関の企業のコード環境を監視している。

エンタープライズテクノロジー企業にほぼ独占的に投資するVistaは、累積資本投資金額が520億ドル(約5兆6000億円)を超えているという。

[原文へ]

(翻訳:塚本直樹 Twitter

Sonatypeのコンポーネントライフサイクル管理プラットホームがアップデート; オープンソースコンポーネントの安全な利用を促進

ソフトウェアのコンポーネントは、アプリケーション開発の重要な要素だ。今では、アプリケーションの中心的機能はデベロッパ自身が書くよりも既製のコンポーネントを使うことが圧倒的に多く、それらは何千ものソースから提供されている。でもそれは、損壊や改悪の被害に遭うことがある。たとえば昨年の夏には、中国のハッカーがStruts脆弱性を悪用した。StrutsはJavaでWebアプリケーションを作るためのオープンソースのフレームワークだが、長年その開発とメンテナンスを担当してきたApache Foundationは最近、それを手離すと発表した。今後サポートを引き継ぐところが現れなければ、このフレームワークの寿命は尽きたことになる。

こういった問題をなくすために、Sonatypeは同社のコンポーネントライフサイクル管理(CLM)技術をアップデートして、デベロッパが悪質なオープンソースのコンポーネントを使うことを防ごうとしている。粗悪なコンポーネントは、携帯電話にも、車にも、心臓のモニタにも、何にでも使われる可能性があるのだ。Sonatypeの技術は、コンポーネントの品質をソフトウェアのデベロッパに対して保証するために、一連のポリシーの強制過程を自動化する。

Sonatypeを利用すると、ソフトウェアの欠陥がそのソフトウェアの開発ライフサイクルの中で強制的に修復され、Strutsがハックされたときに露呈したような欠陥が、もっと早めに見つかるようになる。

ニューバージョンに導入された新しい機能として、デベロッパに対する通知項目の目録がある。それらは、セキュリティのリスク、古い版を使っている、ライセンスを更新していない、などなどの問題点のリストだ。使っているコンポーネントを、より安全なバージョンにリプレースさせる機能もある。CEOのWayne Jacksonは、とりわけ重要なのは、ソフトウェアに統合されているコンポーネントを同定する能力だ、と言っている(何の何版が使われているか…)。

Sonatypeはまた、著名なセキュリティエキスパートJosh CormanをCTOに迎えた、と発表した。Cormanはこれまで、451 ResearchやAkamai、IBMなどで仕事をしてきた人物だが、Sonatypeでは彼の得意分野である防御的インフラストラクチャや、アプリケーションのセキュリティ、物のインターネット(IoT)における脆弱性潰しなどが役に立つだろう、と言っている。“接続”が普遍的なキーワードとなっている今日の世界では、予防的防御的アプローチがますます重要になる。あらゆるものがあらゆるものと接続されているコンピューティングとネットワーキングの世界では、そういうすべての接続先を管理し制御することは不可能だからだ。しかもITの成長の速度に、セキュリティ技術の進歩が追いついていない。彼は最近(12月)のTEDの講演でも、この点を指摘している:

オープンソースのソフトウェアコンポーネントにも危険が潜んでいる、というと、要らざるFUDをまき散らすことになるだろうか? そんなことはない。むしろそれは、危機が生じてから対応するというこれまでの姿勢を、前もってセキュリティの脆弱性の悪用を予防しておくという、ディフェンシブな姿勢および考え方に、変えていくだろう。

[画像: Shutterstock]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))