A fines del año pasado, las campanas de alarma apenas comenzaban a sonar. Los investigadores encontraron que los espías rusos se habían enterrado meses antes en las redes de varias redes federales de Estados Unidos. Los espías, que trabajaban para el Servicio de Inteligencia Exterior de Rusia, inicialmente apuntaron a SolarWinds, una empresa de TI cuyo software permite gestionar de forma remota las redes de miles de empresas, organizaciones y agencias de Fortune 500. gobierno federal. Al irrumpir en la red de SolarWinds y ofrecer una actualización de software corrupta a sus clientes, los espías rusos han entregado puertas traseras digitales directamente en el corazón del gobierno federal de EE. UU.

Fue, y según algunos relatos, uno de los actos de ciberespionaje más complejos de los últimos años en llegar al público. Pero fue el mecanismo de entrega lo que provocó el temor: ¿cómo podían las empresas confiar en que el software de sus redes no había sido manipulado?

LEER  Lo que las startups de código abierto pueden aprender de la historia de éxito de Confluent - TechCrunch

Es uno de los problemas que cinco ex empleados de Google están tratando de resolver. Dan Lorenc, Matt Moore, Scott Nichols, Ville Aikas y Kim Lewandowski fundaron Chainguard en octubre después de trabajar juntos en la creación de herramientas de código abierto en Google. Antes de fundar Chainguard, los cinco más recientes trabajaron en dos proyectos de seguridad de código abierto, Sigstore, un nuevo estándar para la firma digital y la verificación de software, y SLSA (deliciosamente pronunciado “salsa”), un marco para mantener la integridad de un extremo a otro de una cadena de suministro de software.

Al igual que un producto que se produce en una línea de ensamblaje de fábrica, el software puede estar compuesto por diferentes componentes y, a veces, puede depender del código escrito por otros y publicado como código abierto para que cualquiera lo use. Estas “dependencias” de software a veces contienen errores que pasan desapercibidos, pero están integrados en proyectos de software más grandes. Los atacantes también intentan intencionalmente introducir vulnerabilidades sutiles que pueden explotarse más tarde, a veces a gran escala, si las vulnerabilidades están incrustadas en software ampliamente utilizado.

LEER  La denunciante de Facebook Frances Haugen testifica ante el Senado

“Muchas empresas dependen cada vez más del software de código abierto y, de hecho, no se dan cuenta de los riesgos que enfrentan cuando buscan un paquete aleatorio en Internet y lo instalan en sus sistemas de producción”, dice Lewandowski a TechCrunch. “Queremos capacitar a las empresas para que tengan confianza en algunos de estos paquetes críticos de código abierto; pueden volver a la fuente y comprender los elementos que intervienen en la creación de ese paquete de software y tener una pista de auditoría para volver y ver de dónde vino, si hay una infracción.

El equipo cofundador planea trabajar en proyectos de código abierto para ayudar a las empresas a comprender y gestionar los riesgos que enfrentan en las cadenas de suministro de software.

Chainguard dijo el miércoles que había recaudado $ 5 millones en fondos semilla, liderados por Amplify Partners y varios inversores ángeles. Lewandowski dijo que el equipo planea utilizar los fondos para ampliar la empresa más allá de los cinco nuevos empleados y continuar desarrollando los productos que quieren comercializar. “Probablemente estaremos bastante divididos entre enfocarnos en el código abierto y luego construir con un producto”, dijo Lewandowski.

LEER  Cómo Brex duplicó con creces su valoración en un año - TechCrunch

Aunque en sus inicios, la compañía dijo que planea entregar una versión temprana de su oferta de productos el próximo año, con un enfoque en ayudar a las empresas a fortalecer sus propias cadenas de suministro en software.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )