Est-ce que le développement de la sécurité open source a connu un pic d’innovation grâce à la startup Socket? Socket, une société apportant une solution de balayage pour détecter les vulnérabilités de sécurité dans le code open source, a annoncé aujourd’hui une levée de fonds de 20 millions de dollars dans un tour de table de série A mené par Andreessen Horowitz (a16z).
Avec la participation d’Abstract Ventures, WndrCo, Unusual Ventures et une liste impressionnante de business angels, notamment les co-fondateurs de Box, Figma, Okta, Vercel et Eventbrite, la question se pose: pourquoi suscite-t-elle tant d’intérêt? Selon le PDG Feross Aboukhadijeh, qui est également un fervent mainteneur de l’open-source et enseignant en sécurité web à Stanford, ces fonds – ajoutés à l’investissement en seed de 4,6 millions de dollars de Socket – seront utilisés pour étendre l’équipe de Socket et la prise en charge de plus de langages de programmation et d’intégrations.
« La sécurité a souvent été une réflexion après coup. Les malfaiteurs exploitent la confiance dans les logiciels open source pour mener des attaques audacieuses qui propagent des malwares destructeurs. » – Feross Aboukhadijeh, PDG de Socket.
Mais quelle est la réalité de cette confiance dans les logiciels open source? Selon une étude récente de Tidelift, seuls 15% des organisations sont extrêmement confiantes dans leurs pratiques de gestion de l’open source. La majorité, selon l’étude, a des préoccupations quant au maintien à jour, à la sécurité et au bon entretien des logiciels open source. Est-ce que Socket serait la solution à ces problèmes de sécurité informatique?
Aboukhadijeh affirme que Socket est la solution à ces maux de la sécurité du logiciel open source. C’est une affirmation audacieuse, compte tenu du nombre d’autres startups et sociétés existantes qui prétendent la même chose. Par exemple, Oligo, une entreprise qui se concentre sur la sécurité des applications en temps réel et l’observabilité pour détecter et prévenir les vulnérabilités de l’open source, est sortie de l’anonymat en février avec 28 millions de dollars en capital-risque. De plus, Endor est sortie de l’anonymat avec 25 millions de dollars en octobre dernier, après la levée de 50 millions de dollars de Chainguard en juin. Que fait Socket de différent pour se démarquer dans cet univers compétitif?
Aboukhadijeh dit que ce qui différencie Socket, c’est qu’elle ne se contente pas de chercher les logiciels qu’un client utilise pour voir si les vulnérabilités ont été signalées à des bases de données publiques. Au lieu de cela, elle va plus loin, tentant de réduire le bruit qui pourrait apparaître lors de l’analyse de milliers de lignes de code tiers. Alors que d’autres se contentent de scanner les logiciels, est-ce que Socket fournit un moyen plus efficace et plus sûr de gérer la sécurité des logiciels open source?
Depuis sa création en 2020, Socket basée à San Francisco a attiré des clients prestigieux, comme Brave, Figma et Vercel, ce dernier étant d’ailleurs un investisseur. Aboukhadijeh s’attend à ce que la société double de taille, du moins en termes de main-d’œuvre, dans les prochains mois. Avec l’objectif de développer les équipes d’ingénierie, de sécurité, d’exploitation, de vente et de marketing de Socket. Alors, est-ce que Socket est simplement en train de faire du bruit ou la société est-elle réellement sur une trajectoire de croissance impressionnante?
« La sécurité, plus que d’autres industries, prospère grâce au bouche-à-oreille, » a ajouté Aboukhadijeh. « Nous sommes fiers de dire que nos utilisateurs aiment Socket, et c’est cela qui alimente notre forte demande. » Mais au-delà de ces assertions, est-ce que le succès de Socket se traduira-t-elle par des améliorations significatives dans la sécurité des logiciels open source?
Source : Techcrunch