Kettenschutz, ein Startup, das sich auf die Sicherung von Softwarelieferketten konzentriert, gab heute bekannt, dass es eine von Sequoia Capital geleitete Serie-A-Finanzierungsrunde in Höhe von 50 Millionen US-Dollar aufgelegt hat. An dieser Runde nahmen unter anderem auch Amplify, Mantis VC von Chainsmokers, LiveOak Venture Partners, Banana Capital, K5/JPMC und CISOs von Google und Square teil.
Neben der neuen Finanzierung hat das Unternehmen, das zu diesem Zeitpunkt erst 8 Monate alt ist, heute auch seinen ersten Satz von Container-Basis-Images auf den Markt gebracht, von denen Chainguard verspricht, keine bekannten Schwachstellen zu haben, und die kontinuierlich aktualisiert werden. Diese Bilder werden vollständig signiert und enthalten eine Software-Stückliste (SBOM).
„Sicherheitsingenieure sind es gewohnt, mit Vertrauenswurzeln zu argumentieren, indem sie Zwei-Faktor-Authentifizierungs- und Identifizierungssysteme verwenden und Vertrauen mit Hardware herstellen, indem sie Verschlüsselungsschlüssel verwenden. Aber das haben wir heute nicht für Quellcode und Softwareartefakte“, sagte Dan Lorenc, Mitbegründer und CEO von Chainguard. „Unsere Vision ist es, diese Wurzeln des Vertrauens während des gesamten Entwicklungslebenszyklus und über die gesamte Software-Lieferkette hinweg zu verbinden und Entwicklern und CISOs gleichermaßen Vertrauen in den Code zu geben, den sie in der Produktion ausführen, und in die Integrität ihrer Systeme.“
Zusätzlich zu diesen neuen Basis-Images bot Chainguard bereits seinen Enforce-Service für containerisierte Workloads an. Aufgebaut auf dem signstoreden Open-Source-Tools zum kryptografischen Signieren von Code, Verifizieren dieser Signaturen und Überprüfbarmachen all dieser Daten, sowie anderen Open-Source-Tools wie Knative und anderen Cloud-nativen Diensten, ermöglicht Enforce Unternehmen, ihre Lieferkettenrichtlinien auf der Grundlage von durchzusetzen SLSA-Framework und NISTs Secure Software Development Framework. Damit können sie beispielsweise erzwingen, welcher Code wo ausgeführt werden darf, und sicherstellen, dass Entwickler und Sicherheitsteams wissen, was zum Erstellen von Software in einem Unternehmen verwendet wird.
Da nur wenige Entwickler ihrem Repertoire weitere Tools hinzufügen möchten (man kann schließlich nur so weit nach links verschieben), wollte das Team die Installation seines Dienstes so einfach wie das Ausführen eines einzigen Befehls machen und bietet auch Unterstützung für Automatisierungssysteme wie CloudFormation und Terraform .
Die Tatsache, dass Chainguard einen Schwerpunkt auf den Schutz von Cloud-nativen Technologien legt, ist keine Überraschung. Zu den Mitbegründern gehören Ville Aikas, Kim Lewandowski, Matt Moore (CTO) und Scott Nichol, die alle zuvor bei Google und stark in der Open-Source-Community engagiert waren.
Ich habe mich mit Aikas getroffen, der Teil des frühen Kubernetes-Teams bei Google und der technische Leiter für war Knative Vielseitigkeit, auf der KubeCon/CloudNativeCon-Veranstaltung letzten Monat in Spanien. Er merkte an, dass Enforce das erste Puzzleteil für Chainguard ist.
„Enforce kommt mit der Denkweise, dass wir verstehen, dass die Kette lang ist und wir anfangen werden, sie anzugehen, nicht mit der Denkweise von ‚Oh ja, cool, hier ist die ‚Sich-mein-Scheiße-Flagge‘. Wir bauen kein Schlangenöl. Die Idee ist, dass wir eine solide Technologieplattform aufbauen, die wir dann verwenden und einsteigen können, Funktionen hinzufügen und anfangen, Löcher in verschiedenen Ketten zu stopfen. Enforce ist der erste Teil davon und der zweite sind die Bilder.“
Er merkte auch an, dass die allgemeine Mission von Chainguard darin besteht, das Entwicklererlebnis zu verbessern – und gleichzeitig die Software-Lieferketten zu sichern.
Es überrascht nicht, dass das Unternehmen plant, die neue Finanzierung zu nutzen, um seine Produktentwicklung zu beschleunigen. Darüber hinaus plant Chainguard jedoch auch, stark in Open-Source-Projekte wie Sigstore, SLSA und OpenSSF sowie in ein neues Entwickler-Schulungsprogramm zu investieren, das sich auf die Sicherheit der Lieferkette konzentriert.
„Hochkarätige Software-Supply-Chain-Angriffe wie Log4j haben ein Schlaglicht auf die Notwendigkeit geworfen, eine Vertrauensbasis in die Software zu schaffen, die Unternehmen produzieren“, sagte Bogomil Balkansky, Partner bei Sequoia Capital. „Chainguard gibt Unternehmen Vertrauen in die kritische Open-Source-Software, die sie einsetzen, indem es eine reibungsarme, entwicklerfreundliche Methode zum Signieren und Verifizieren von Softwareartefakten bietet, damit sie im Falle eines Verstoßes eine Spur zurückverfolgen können. Das Chainguard-Team ist der Vordenker in diesem Bereich und es ist das richtige Team zur richtigen Zeit in der Geschichte, um dieses Problem anzugehen.“