Jeder möchte heutzutage über Risiken in der Softwarelieferkette sprechen, ob Sicherheitsteams, Entwickler oder Regierungsbeamte. Es ist daher keine Überraschung, dass VCs trotz der aktuellen Wirtschaftslage auch in diesem Bereich weiterhin Start-ups finanzieren. Eines der neuesten Mitglieder in diesem Club ist Arnika, ein Startup, das die Sicherheit der Lieferkette etwas breiter betrachtet als die meisten seiner Konkurrenten und Unternehmen hilft. Das Unternehmen gab heute bekannt, dass es eine Seed-Runde in Höhe von 7 Millionen US-Dollar aufgelegt hat.
Die Runde wurde von Joule Ventures und First Rays Venture Partners geleitet. Eine Reihe von Angel-Investoren, darunter Avi Shua (Mitbegründer und CEO von Orca Security), Dror Davidoff (Mitbegründer und CEO von Aqua Security) und Baruch Sadogursky (Leiter für Entwicklerbeziehungen bei JFrog), nahmen ebenfalls an dieser Runde teil.
„Als ehemaliger Käufer von Anwendungssicherheitsprodukten habe ich mehr als ein Dutzend Lösungen zur Sicherung der Softwarelieferkette meines vorherigen Unternehmens getestet, bin aber in eine Sackgasse geraten. Die meisten Produkte waren teure Sichtbarkeits-Dashboards, die von unterschiedlichen Definitionen von „Best Practices“ angetrieben wurden, sagte Nir Valtman, CEO und Mitbegründer von Arnica. „Wir haben uns entschieden, diese Sichtbarkeit für unbegrenzte Benutzer für immer kostenlos bereitzustellen. Wir sind jedoch noch weiter gegangen und haben eine umfassende Lösung entwickelt, um Risiken nicht nur auf der Grundlage historischer und anomaler Verhaltensweisen zu identifizieren, sondern auch zu mindern. Wir tun dies, indem wir automatisierte Workflows mit Ein-Klick-Minderungen verwenden, die Entwickler in die Lage versetzen, die Sicherheit innerhalb der Tools, die sie bereits verwenden, zu übernehmen.“
Das Team argumentiert, dass Angriffe auf die Lieferkette aufgrund der ineffizienten Entwicklerzugriffsverwaltung oder der Unfähigkeit, anomales Identitäts- oder Codeverhalten zu erkennen, erfolgreich sind. Hier kommt also Arnica ins Spiel. Sein verhaltensbasierter Ansatz kombiniert Zugriffsverwaltung und einen Dienst, der erkennen kann anormales Entwicklerverhalten das könnte das Ergebnis eines Verstoßes sein.
„Jeder unserer Algorithmen für maschinelles Lernen verfügt über Tausende von Merkmalen, die identifizieren, ob es tatsächlich der Entwickler war, der den gepushten Code geschrieben hat“, erklärte Valtman. „Wenn eine Anomalie erkannt wird, wird ein sofortiger Workflow gestartet, um sie auf einfache und sichere Weise mit dem Entwickler zu validieren. Das ist nicht nur gut für das Unternehmen, sondern auch gut für die Entwickler.“
Es gibt auch eine geheime Erkennung, um zu verhindern, dass diese durchsickern, einen Dienst, der Sicherheit und Compliance kontinuierlich überwacht, und Tools zur Identifizierung der Open-Source-Bibliotheken, die in einer Organisation verwendet werden, die auch eine vollständige Software-Stückliste (SBOM) erstellen können.
Das Unternehmen plant, die neue Finanzierung zu nutzen, um seine Markteinführungs- und F&E-Bemühungen zu beschleunigen, wobei der Schwerpunkt auf der Erweiterung seiner automatisierten Arbeitsabläufe und Minderungsfähigkeiten liegt.
„In einem Markt voller Sicherheitslösungen mit nur inkrementellem Mehrwert ist Arnicas auf sofortige Auflösung ausgerichteter Ansatz ein Wendepunkt für Entwicklerteams in Unternehmen“, sagte Brian Rosenzweig, Partner bei Joule Ventures. „Arnica geht über das bloße Kennzeichnen von Sicherheitsproblemen hinaus – jedes identifizierte Problem kann sofort mit einem bereitgestellten One-Click-Fix behoben werden. Auf diese Weise können Unternehmen ihre Softwarelieferkette schnell vor Angriffen schützen, während die verhaltensbasierte Erkennung dafür sorgt, dass sie langfristig sicher bleibt. Der pragmatische Ansatz und die fortschrittliche Technologie von Arnica ermöglichen es Unternehmen, kostspielige Verstöße zu vermeiden, ohne die Agilität zu beeinträchtigen.“