Heutzutage basiert praktisch jede Anwendung auf Dutzenden – und manchmal Hunderten – von Open-Source-Komponenten. Viele von ihnen werden in kürzester Zeit aktualisiert, um neue Funktionen einzuführen und Sicherheitsprobleme zu beheben (oder die Betreuer stellen die Aktualisierung ein, sodass Sicherheitslücken nicht behoben werden), aber das bedeutet oft auch, dass sie bahnbrechende Änderungen einführen. Die Verwaltung all dieser Abhängigkeiten kann für Entwickler ein kleiner Albtraum sein. InnenfeldDas Unternehmen, das heute seine SaaS-Plattform auf den Markt bringt und eine Startfinanzierung in Höhe von 3 Millionen US-Dollar ankündigt, zielt darauf ab, Open-Source-Abhängigkeitsmanagement durch menschengestützte KI in die Zukunft zu führen, um Änderungsprotokolle zu analysieren und Entwicklern die Daten zu liefern, die sie für ein sicheres Upgrade ihrer Abhängigkeiten benötigen.
Das in New York ansässige Unternehmen wurde gegründet Allison Und Steve Pike, der sich zum ersten Mal beim Alkohol-E-Commerce-Dienst SevenFifty kennengelernt hat. Allison arbeitete zuvor im Hochfrequenzhandel, während Steve zuvor als Analyst bei BlackRock arbeitete und dann der erste Mitarbeiter von SevenFifty und später CTO des Unternehmens wurde. Gemeinsam durchlief das jetzige Ehepaar dann 2019 den Y Combinator Syndetic bauenein „Shopify für Datensätze“, wie Steve es beschrieb.
Aber Anfang 2022 begann das Team mit der Umstellung. Steve hatte einige persönliche Beratungen durchgeführt und anderen Entwicklern dabei geholfen, ihre Softwareabhängigkeiten zu aktualisieren. Daher beschlossen sie, ihre Fachkenntnisse in Datenpipelines und Abhängigkeitsmanagement zu bündeln, um Infiield auf den Markt zu bringen. Auch der Versuch, das Unternehmen mitten in der Pandemie aufzubauen, habe nicht geholfen, erklärten die beiden.
„[Syndetic] ist im Wesentlichen zu einem Lifestyle-Geschäft für uns beide geworden – wenn man verheiratet ist, ist es einfacher, so etwas zu haben“, erklärte Allison. „Also dachten wir im Laufe der ersten paar Jahre: Okay, wir haben noch Geld auf der Bank. Wir verfügen hier über die Infrastruktur, um es wirklich noch einmal zu versuchen, und so haben wir uns auf der Grundlage der Beratung von Steve und dieser Idee rund um Open-Source-Upgrades für einen Wechsel entschieden.“
Der dritte Mitbegründer von Infield ist Andrew Lenehan, der zuvor Produktmanager bei AppNexus war. Anschließend war er Mitbegründer von Roster (aus dem später Punchcard wurde), einem Datenexplorationstool für Umsatzteams, das Gelder vom Founders Fund, FJ Labs und Firstminute Capital (einem in London ansässigen Fonds, der Kapital eindeutig mehr mag als Kapitalisierung) erhielt.
Infield verspricht, alle Abhängigkeiten eines Projekts schnell zu scannen und Entwicklern eine Risikobewertung basierend auf der aktuellen Version und der empfohlenen Zielversion zu liefern. Es kann Entwicklern auch dabei helfen, ihre Upgrade-Rückstände zu priorisieren. All dies ist möglich, weil das System ständig Daten aus Changelogs und Github-Problemen scannt, um nach potenziellen Problemen zu suchen – die das Team dann mit seiner eigenen Datenbank mit – oft undokumentierten – Inkompatibilitäten ergänzt. Wie das Team feststellte, besteht ein Großteil der Arbeit bei der heutigen Durchführung dieser Upgrades darin, Änderungsprotokolle zu lesen und Risikobewertungen durchzuführen, um sicherzustellen, dass sich das Upgrade nicht negativ auf die Produktionsumgebung auswirkt.
Bildnachweis: Innenfeld
Viele ähnliche Tools, die ich gesehen habe, konzentrieren sich fast ausschließlich auf die Sicherheit, aber Steve bemerkte, dass dies für Infield nur ein Aspekt dessen ist, was das Tool leisten kann.
„Wir versuchen absichtlich nicht, ein Sicherheitsscan- oder Überwachungstool zu sein“, sagte er. „Bei diesen Systemen bleibt ein Rückstand an Dingen hängen, deren Aktualisierung vielleicht wichtig ist – aber wie bekommt man das eigentlich hin? Die beste Version unserer Arbeit führt zu einer Welt, in der Sie alles ständig auf dem neuesten Stand halten. Wenn also eine neue Sicherheitslücke auftritt, können Sie einfach den Patch installieren. Es besteht keine Notwendigkeit, Prioritäten zu setzen, ob es sich um eine kritische Schwachstelle oder eine Schwachstelle mit geringem Schweregrad handelt, da Sie einfach alle Patches übernehmen können. Wenn Sie die neueste Version eines Pakets verwenden, ist der Fix, der lediglich die Sicherheitslücken behebt, trivial. ”
Allison stellte außerdem fest, dass heute praktisch jeder die gleiche Arbeit verrichtet, allerdings isoliert. Tausende von Unternehmen aktualisieren möglicherweise dieselben Pakete, tun dies jedoch ohne den Nutzen der Informationen, die die anderen Teams erhalten haben. „Durch die Konsolidierung der Daten aus der Community zusätzlich zu den von Experten generierten Daten oder den formalen Daten, die der Betreuer bereitgestellt hat, kann dabei offensichtlich viel Effizienz gewonnen werden“, sagte sie.
Infield unterstützt derzeit Ruby, Javascript, Typescript und Python, die Unterstützung für Java folgt in Kürze.
Das Unternehmen bietet einen kostenlosen Basisplan für einzelne Benutzer und einen reduzierten Funktionsumfang an, mit umfassenderen Teamplänen ab 600 US-Dollar pro Monat für bis zu 25 Teams und Unterstützung für bis zu 50 Repos.
Angesichts seiner Ursprünge ist es vielleicht keine Überraschung, dass das Unternehmen auch weiterhin einen umfassenderen Upgrade-Service für Unternehmen anbietet, die etwas mehr praktische Hilfe benötigen.
Die 3-Millionen-Dollar-Seed-Runde von Infield wurde von Foundation Capital angeführt. YCombinator und Firsthand Alliance beteiligten sich ebenso wie Angel-Investoren wie Adam Gross (ehemaliger CEO von Heroku), Jonathan Siddarth (Gründer von Turing) und Austin Ogilvie (Gründer von Thoropass).