深禮資本支援丹麥新創公司 Coana,以“程式碼感知”軟體分析幫助企業優先處理漏洞
保羅·索爾斯(Paul Sawers) 釋出時間:9 小時前
深禮資本投資 Coana,協助企業識別漏洞與安全威脅
矽谷風險投資巨頭深禮資本(Sequoia)正支援一家新興的丹麥新創公司開發下一代軟體組成分析(SCA)工具,該工具承諾能幫助企業篩選訊息,識別真正威脅的漏洞。儘管許多軟體包含一些開源元件,這些元件中有許多已經過時,而且維護不規律,甚至可能完全沒有維護。這導致許多安全漏洞,例如 Log4Shell 影響了開源 Java 日誌框架 Log4j,並導致美國聯邦機構未能修補此漏洞。因此相應的新規定強迫企業加固軟體供應鏈管理。然而由於數百萬元件滲透到軟體供應鏈中,要確保特定應用程式是否正在使用特定元件並不總是容易的。當前備受矚目的丹麥新創公司 Coana 旨在透過“程式碼感知”SCA 幫助使用者區分非關緊要的警報,專注於重要警報。
Coana:例警報
Coana 成立於 2021 年,由丹麥奧胡斯大學的電腦科學教授 Anders Møller 和兩位博士(Martin Torp 和 Benjamin Barslev Nielsen)創立。他們在大學的研究小組中偶然發現了一個“技術上的突破”,發現了一種分析和理解大型基於 JavaScript 應用程式的新技術。另一位聯合創始人 Anders Søndergaard 於 2022 年加入,並於前一年退出了一家名為 Resilio 的生物識別技術新創公司。為了幫助他們公司經過早期入場階段順利過渡到商業化,Coana 今天宣布在種子輪融資中獲得了 160 萬美元的投資,由深禮資本主導,Essence VC 和許多來自 Google、RedHat 和 GitHub 的現任和前任高管等天使投資者參與。
第三方
一個典型的應用程式可能包含多達 90%的第三方庫,其中大多數都是開源的,並由眾多志願開發者(或沒有)進行維護。因此一家正在建立軟體的公司可能會建立自己的應用程式層,並引用這些眾多庫,從而形成由函數存取的長鏈依賴。傳統上,SCA 工具會檢視特定依賴的版本號,對照已知漏洞的資料庫,然後向開發人員返回報告。然而在許多情況下,一個應用程式可能只使用庫中的一兩個函數,因此如果漏洞存在於應用程式從未呼叫的庫的某一部分,它實際上不應該影響該應用程式。企業可以使用 Coana 建立整個應用程式的“呼叫圖”,跨應用程式程式碼和依賴關係,以理解資料流通路徑,從而消除虛假警報。“那些使用的套件數量和程式碼行數都可能非常龐大,因此需要進行非常複雜的靜態分析。” Coana 的執行長 Søndergaard 告訴 TechCrunch。“呼叫圖使我們能夠對不同依賴之間的所有可能路徑進行大規模分析。因此想像一個由數百個或數千個依賴關係組成的應用程式,我們可以識別出這些依賴之間的所有路徑,理解哪些才是真正的易受攻擊的,哪些不是。”然而 Coana 在 10 月推出了首個產品版本,為其首批付費客戶(其中包括 C 輪和 D 輪階段的新創公司和擴張型公司)提供支援。然而該公司計劃在今年將支援範圍從 JavaScript 擴充套件到 Java 和 Python,這將幫助吸引更廣泛的客戶基礎。Søndergaard 說:“隨著我們的產品和公司日益成熟,我們將進入更高階市場,最終將目標對準大型企業,但在具備相應語言支援的複雜性達到那一級之前,需要一些時間。”有興趣理解 Coana 的企業今天可以立即申請早期存取。
關鍵詞:深禮資本、Coana、程式碼感知、軟體分析、優先處理漏洞、企業支援
