オープンソースのライブラリはデベロッパーにとってとても重要なリソースだが、今日の慌ただしいアプリケーション開発環境では、それらが安全なコードであるという確信を持つことが容易ではない。そこでSnykは、デベロッパーがオープンソースのコードに脆弱性を見つけて直す作業を支援し、確実に安全なコードがプロダクションのその後の工程で使われるようにする。同社は今日(米国時間3/6)、Boldstart VenturesとCanaan PartnersがリードするシリーズAのラウンドで、700万ドルを調達したことを発表した。
このラウンドには、Heavybit, FundFire, VeeamのPeter McKay、およびそのほか数名の投資家が参加した。同社は2016年に、同じくBoldstartがリードするラウンドにより、300万ドルのシード資金を獲得している。
この種のバグフィックスは、アプリケーションが完成して世に出てからではなく、開発チーム自身がやった方がよい、とSnykのCEOで協同ファウンダーのGuy Podjarnyは信じている。今は開発工程にセキュリティチームがいないやり方が一般的になりつつあるが、そうでない方がよい、と彼は言う。ソフトウェアが何か月も何年もかかって構築されるときはそれでも良いが、しかし今日のような開発スピードでは、デベロッパーチームとは別のセキュリティチームがソフトウェアをチェックするやり方は、合理的でも効率的でもない、とPodjarnyは主張する。
“われわれは開発工程の中へエレガントに統合し、オープンソースの部分に既知の脆弱性を見つけ、それらをフィックスする”、とPodjarnyは説明する。同社はユーザーのGitHubリポジトリの中のコードをモニタするが、サードパーティの企業とソースコードを共有している場合も、どのファイルを使っているのかという“マニフェストファイルにアクセスできれば、われわれの仕事にとってとくに問題はない”、と彼は言う。
同社はインターネットのあちこちから情報を集めて、彼らがモニタしているオープンソースプロジェクトの既知の脆弱性とその特徴を知る。ユーザーが使っているライブラリと、使用している言語(JavaScript, Java, .netなど)が分かれば、今使っているコードが古いバージョンである(かもしれない)ことも分かる。
そしてそれらの脆弱性が見つかったら、そのコードに依存しているものを壊さずに早く効率的にフィックスする方法のアドバイスと共に、プルリクエストを送る。
-
deep-integrations-into-a-large-and-growing-list-of-platforms.png
-
detailed-advisories-for-vulnerabilities-in-the-snyk-vulnerability-db.png
-
detailed-test-reports-with-a-single-click-fix-button.png
PodjarnyはBlaze.ioの協同ファウンダーだったが、同社は2012年にAkamaiに買収された。彼は買収後に、その企業のWeb体験ビジネスのCTOになり、2015年のSnykの立ち上げまでそこに在籍した。
そのときのスタートアップ体験が、ニューヨークのアーリーステージVC Boldstart VenturesのファウンダーでマネージングパートナーEd Simの目にとまった。“彼がAkamaiに売ったスタートアップにもうちは投資したが、彼と彼の協同ファウンダーたちには深いセキュリティ経験があった。また同社(Snyk)は、企業の大きな満たされざるニーズ、すなわちコードを継続的にデプロイしていくときの、オープンソースコードのセキュリティの確保というニーズを、満たすことができた”、とSimは語る。
SnykはまだシリーズAの企業だが、しかし今では月間ダウンロード数が35万もあり、大手の有料ユーザー企業が130社いる。同社は今後、対象とするオープンソースプロジェクトをもっと多くしていきたい、と考えている。また、現在30名の社員を、その倍にしたい。今同社は、テルアビブとロンドンにオフィスがあり、ボストンに小さな営業とサポートのオフィスがある。
