Startup Socket fortalece la seguridad en la cadena de suministro

La precariedad de la cadena de suministro de software

La cadena de suministro de software se ha convertido en un asunto de preocupación creciente para las empresas de todo el mundo. Este ecosistema, que abarca todos los componentes y procesos involucrados en el desarrollo de software, enfrenta múltiples riesgos que pueden amenazar la seguridad y la estabilidad de las organizaciones. Un reciente estudio reveló que el 88% de las empresas consideran que la seguridad deficiente en la cadena de suministro de software representa un riesgo a nivel empresarial.

La complejidad de la situación se ve acentuada por la creciente dependencia de componentes de código abierto, que, si bien ofrecen muchas ventajas, también traen consigo desafíos significativos. Las empresas se encuentran luchando para mantener la seguridad de estos componentes, ya que las dificultades logísticas para su mantenimiento son considerables. Un informe de la firma de seguridad Synopsys reveló que el 89% de los códigos de las empresas contenían herramientas de código abierto que llevaban más de cuatro años sin actualizarse.

El costo de los ataques a la cadena de suministro

El impacto de los ataques a la cadena de suministro de software es alarmante. Según un informe del Instituto Ponemon, más de la mitad de las organizaciones han experimentado un ataque de este tipo. Se estima que estos ataques podrían costar a la economía casi 81 mil millones de dólares en ingresos perdidos y daños para el año 2026. Este escenario pone de manifiesto la necesidad urgente de mejorar la seguridad en el desarrollo de software y de contar con herramientas que permitan a las empresas defenderse de amenazas cada vez más sofisticadas.

Los ataques a la cadena de suministro suelen ser difíciles de detectar y gestionar, lo que agrava la situación. Los desarrolladores dependen de numerosas bibliotecas y dependencias para el funcionamiento de sus aplicaciones, y cada una de ellas puede ser un punto vulnerable. Incluso con revisiones rigurosas del código interno, las dependencias externas pueden introducir riesgos que son complicados de manejar.

Innovaciones en seguridad: Socket

En medio de este panorama desalentador, surge Socket, una startup que se dedica a proporcionar herramientas para detectar vulnerabilidades de seguridad en el código abierto. Fundada en 2020 por Feross Aboukhadijeh, un destacado mantenedor de código abierto y profesor de seguridad web en Stanford, Socket ha recaudado recientemente 40 millones de dólares para abordar estos problemas. Aboukhadijeh cree firmemente que las herramientas de seguridad tradicionales no son suficientes para enfrentar los desafíos del desarrollo de software moderno.

Socket es un escáner que busca actividades maliciosas, como puertas traseras y código ofuscado, en componentes de código abierto, alertando a los desarrolladores cuando se actualizan o añaden dependencias y paquetes.

Aboukhadijeh explica que la extensa red de dependencias, que puede sumar miles, presenta riesgos significativos que las herramientas tradicionales no logran mitigar. El enfoque de Socket consiste en ofrecer un escáner que no solo detecta vulnerabilidades, sino que también se integra de manera fluida en el flujo de trabajo de los desarrolladores, proporcionando información en tiempo real durante las revisiones de código y actualizaciones de dependencias.

La importancia de la integración con IA

Una de las características distintivas de Socket es su capacidad para utilizar APIs de IA generativa de empresas como Anthropic y OpenAI. Esta integración permite generar resúmenes de vulnerabilidades con un mínimo de errores. Además, la plataforma puede verificar si el código de código abierto tiene las licencias adecuadas, garantizando así su legalidad para su reutilización.

La necesidad de herramientas que ofrezcan garantías de seguridad es cada vez más apremiante, especialmente en un contexto donde la inteligencia artificial se utiliza para escribir más código, lo que introduce nuevas vulnerabilidades.

El aumento en el uso de software de código abierto es notable. Un informe de 2023, elaborado en colaboración con la Open Source Initiative y la Fundación Eclipse, reveló que el 95% de los encuestados afirmó que sus organizaciones habían aumentado, o al menos mantenido, su uso de código abierto en el último año. Este cambio de paradigma en el desarrollo de software resalta la necesidad de soluciones robustas para garantizar la seguridad de los proyectos.

Competencia en el mercado de la seguridad del software

El mercado de plataformas de seguridad de la cadena de suministro de software está en auge y se espera que crezca hasta alcanzar los 3.500 millones de dólares para 2027. Este crecimiento ha atraído a numerosos competidores al sector. Por ejemplo, Oligo, una empresa que se centra en la seguridad de aplicaciones en tiempo de ejecución y en la observabilidad, emergió del sigilo en febrero respaldada por 28 millones de dólares. Por su parte, Endor levantó 25 millones de dólares el pasado octubre, y Chainguard recaudó 50 millones de dólares a principios de junio.

A pesar de la competencia, Aboukhadijeh sostiene que Socket se diferencia por su capacidad para detectar códigos potencialmente dañinos que otras herramientas pueden pasar por alto, en particular aquellos diseñados para exfiltrar datos sensibles. Según él, Socket detecta más de 100 ataques de cadena de suministro de software de día cero cada semana, lo que demuestra la eficacia de su tecnología.

Respaldo y crecimiento de Socket

Socket cuenta con un impresionante respaldo de inversores y una lista de clientes destacados que refuerzan la credibilidad de sus afirmaciones. Entre sus inversores se encuentran figuras destacadas como Elad Gil, Andreessen Horowitz, el cofundador de Yahoo, Jerry Yang, el presidente de OpenAI, Bret Taylor, y el cofundador de Twilio, Jef Lawson. Además, sus clientes incluyen a empresas reconocidas como Anthropic, Harvey, Figma y Vercel, así como uno de los cuatro bancos más grandes de EE. UU.

Aboukhadijeh describió la reciente ronda de financiación de la Serie B como "preemptiva", afirmando que Socket aún no ha gastado el dinero recaudado en la Serie A el pasado agosto. La compañía está proyectando un crecimiento del 400% en ingresos para 2024, lo que subraya su ambición y su posición en el mercado. Actualmente, Socket protege a más de 7,500 organizaciones y respalda más de 1 millón de desarrolladores en todo el mundo.

Futuro y expansión de Socket

Con la nueva financiación, Socket ha elevado su total recaudado a 65 millones de dólares. Aboukhadijeh considera que estamos en un momento crucial en la historia del código abierto. La inteligencia artificial está cambiando la forma en que se escribe el software, lo que también conlleva la posibilidad de que surjan nuevas brechas de seguridad. Por ello, el CEO de Socket sostiene que ahora es el momento adecuado para aumentar su capital.

La tecnología de Socket está diseñada para abordar este vacío crítico en el mercado, y la financiación adicional ayudará a escalar su impacto. Actualmente, la empresa cuenta con 32 empleados y tiene planes de aumentar su equipo a 50 personas para finales de año, enfocándose en áreas clave como ingeniería, producto, diseño y ventas.

La situación de la cadena de suministro de software es un reflejo de los desafíos que enfrentan las organizaciones en la actualidad. Con la creciente dependencia del código abierto y la aparición de nuevas amenazas, es esencial contar con soluciones efectivas que garanticen la seguridad de los desarrollos y la integridad de las aplicaciones. Socket, con su innovadora tecnología y su enfoque proactivo, se posiciona como un jugador clave en este sector en rápida evolución.