A cadeia de fornecimento de software, que compreende os componentes, bibliotecas e processos que as empresas utilizam para desenvolver e publicar software, está ameaçada.
De acordo com um recente enquete, 88% das empresas acreditam que a segurança da cadeia de fornecimento de software representa um “risco para toda a empresa” para as suas organizações, enquanto quase dois terços (65%) acreditam que o programa de segurança da cadeia de fornecimento de software das suas organizações não está tão maduro como deveria ser. Uma separação enquete descobriram que o número médio de violações da cadeia de abastecimento aumentou para cerca de quatro incidentes por empresa em 2023, contra cerca de três incidentes em 2022 – um aumento de 25%.
Agora, você pode apontar – e não erroneamente – que há vários fornecedores, grandes e pequenos, enfrentando o desafio da segurança da cadeia de suprimentos. E você não estaria errado. Mas um novo participante, ladrãoacredita que pode fazer melhor com uma equipe oriunda dos serviços financeiros e das indústrias de defesa.
Os investidores parecem dispostos a comprar. Este mês, Kusari – cujo homônimo é a arma feudal japonesa kusari-fundo – arrecadou US$ 8 milhões em rodadas de financiamento pré-semente e inicial que tiveram a participação da J2 Ventures, Glasswing Ventures e Unusual Ventures. O dinheiro será aplicado na construção da plataforma de software como serviço (SaaS) da Kusari, disse o cofundador e CEO Tim Miller, e no aumento da equipe da startup de oito para cerca de 15.
“Há uma verdadeira falta de educação em relação ao gerenciamento da cadeia de suprimentos de software e às ferramentas, especificações e padrões nesse espaço”, disse Miller ao TechCrunch em entrevista por e-mail. “A plataforma Kusari atua como um GPS para navegar pelos problemas da cadeia de suprimentos, ajudando os diretores de segurança da informação a entender e raciocinar sobre os riscos de software que enfrentam – e ajudando o pessoal de DevOps a corrigir esses problemas de maneira fácil e automática.”
Miller foi cofundador da Kusari com Michael Lieberman e Parth Patel em 2022. Antes de Kusari, Miller foi diretor de engenharia no Citi, onde conheceu Lieberman, enquanto Patel era engenheiro sênior de sistemas de segurança cibernética na Raytheon.
Miller diz que ele, Lieberman e Patel foram estimulados a lançar o Kusari por um problema comum: saber quais softwares e dependências estão sendo usados por um determinado aplicativo ou sistema em um determinado momento.
“Estar no escuro causa muitos problemas, como ser lento para reagir a vulnerabilidades de segurança, saber se há problemas de licenciamento ou conformidade e até mesmo manutenção básica como ‘A quem devo recorrer se isso quebrar?’”, Disse Miller. “Fundamos a Kusari para trazer transparência e segurança às cadeias de fornecimento de software, facilitando o raciocínio sobre o que está no software de uma organização – e mostrando o que fazer a respeito.”
Para esse fim, Kusari aproveita o projeto de código aberto Guac — para o qual Miller, Lieberman e Patel contribuíram — para encontrar os componentes mais utilizados em uma cadeia de fornecimento de software e identificar exposições a dependências arriscadas. Kusari – desenvolvido pela Guac – também pode determinar a propriedade de aplicativos em uma organização, garantir que os aplicativos atendam às políticas de uma organização e determinar alterações entre diferentes versões de software.
Do lado da correção, Guac – e Kusari por extensão – podem determinar o “raio de explosão” de um pacote ou vulnerabilidade ruim e fornecer um plano para corrigi-lo. Ele também pode rastrear o ponto de origem das explorações, identificando quando — e onde — elas foram introduzidas.
Miller vê Legit Security, Ox Security e Snyk como os concorrentes mais formidáveis de Kusari. Mas ele enfatiza a abordagem de código aberto de Kusari, que ele acredita ser única.
“Temos um modelo de negócios de código aberto e SaaS”, disse ele. “Nossa estratégia inicial foi trazer validação à abordagem por meio do produto open source; nosso produto SaaS será lançado ainda este ano. Acreditamos que podemos reduzir significativamente o custo de lidar com vulnerabilidades de software e, ao mesmo tempo, aumentar a confiança ao fazê-lo, permitindo que os decisores tecnológicos compreendam a saúde da sua cadeia de fornecimento de software e determinem rapidamente se existem riscos não abordados.”
Os recursos futuros em desenvolvimento incluem um chatbot do tipo ChatGPT que permitirá aos usuários “conversar” com o Guac (por meio do Kusari) para inspecionar e obter um melhor controle da cadeia de suprimentos de uma organização, por exemplo, fazendo perguntas como “Quais contêineres em execução têm tal e tal vulnerabilidade?”
Miller diz que a equipe está se esforçando para funcionar de forma “lean” por enquanto, concentrando-se na contratação de “um punhado de especialistas” que possam ajudar Kusari a crescer rapidamente. A plataforma ainda não foi lançada – mas a meta da startup está prevista para disponibilidade geral ainda este ano.
“Como resultado da desaceleração, estamos vendo alguns potenciais parceiros de design recuarem um pouco na colaboração à medida que se concentram em iniciativas de negócios mais críticas”, acrescentou Miller, “mas a desaceleração não nos afetou tanto quanto a outros. Estamos usando a melhor e mais recente tecnologia desenvolvida em código aberto para tornar a construção e o dimensionamento de nossa plataforma econômicos.”