Cloudsmith optimiza gestión de artefactos en la nube segura

La vulnerabilidad en la cadena de suministro de software

En el actual panorama tecnológico, la seguridad del software se ha convertido en un tema de vital importancia. Un estudio reciente ha revelado que un alarmante 81% de las bases de código contiene vulnerabilidades de código abierto de alto o crítico riesgo. Este hallazgo pone de manifiesto lo frágil que puede ser la cadena de suministro de software, donde una única vulnerabilidad puede desencadenar una serie de problemas que afectan a millones de aplicaciones en todo el mundo. Un ejemplo notable de esto es el exploit Log4Shell, que expuso a un número masivo de aplicaciones a ataques potenciales de ejecución remota de código a través de la biblioteca de registro Log4j.

A medida que el mundo se vuelve cada vez más dependiente del software, la necesidad de soluciones robustas que protejan la integridad de las aplicaciones es más crítica que nunca. En este contexto, surgen nuevas startups que buscan abordar estas preocupaciones. Una de ellas es Cloudsmith, una empresa originaria de Irlanda del Norte que ha desarrollado una plataforma de gestión de artefactos nativa en la nube. Esta plataforma se presenta como una alternativa moderna a las plataformas tradicionales de gestión de la cadena de suministro de software, como JFrog o Sonatype.

Un enfoque innovador para la gestión de artefactos

La noción de “artefacto” en el ámbito del desarrollo de software se refiere a cualquier paquete de software, archivo binario o componente que se crea o distribuye durante el proceso de desarrollo. Esto incluye bibliotecas y sus dependencias, archivos de configuración, aplicaciones compiladas, entre otros. En la mayoría de los casos, las empresas suelen desarrollar su propio código, pero también dependen de paquetes de terceros que se almacenan en registros de código abierto públicos.

Sin embargo, el problema radica en que estos paquetes pueden cambiar de versión o incluso dejar de estar disponibles en el momento en que se necesita. Es aquí donde entra en juego Cloudsmith, que actúa como un registro privado para estos artefactos binarios. “Cloudsmith asegura que los artefactos estén siempre disponibles para futuras compilaciones, incluso si cambian o desaparecen de sus fuentes originales,” explica el CEO de Cloudsmith, Glenn Weinstein.

Además de ofrecer un acceso constante a estos paquetes, la plataforma también proporciona a los equipos de DevOps y de ingeniería de plataformas una visibilidad crucial sobre lo que se está incorporando en su software de producción. Pero el verdadero valor de Cloudsmith no radica únicamente en la disponibilidad de los paquetes, sino también en la seguridad que ofrece.

Seguridad ante todo: un filtro de confianza

Incluso si un paquete sigue estando disponible en un repositorio de código abierto, puede presentar problemas de seguridad con el tiempo debido a la falta de mantenimiento o, en el peor de los casos, por razones más siniestras. Por esta razón, Cloudsmith lleva a cabo un escaneo exhaustivo de las dependencias en busca de vulnerabilidades, problemas de licencias y malware antes de exponer estos paquetes a los desarrolladores en sus entornos de codificación.

Cloudsmith se erige como un filtro de confianza para las dependencias de código abierto; escanea, curata y bloquea artefactos problemáticos antes de que lleguen a producción.

La empresa se ha consolidado como un punto de control de seguridad en la cadena de suministro de software, abordando una de las preocupaciones más significativas que enfrentan muchas organizaciones: la falta de supervisión clara sobre los artefactos que utilizan, ya sean privados, públicos o de código abierto.

Crecimiento y financiación: un impulso necesario

Fundada en 2016 en Belfast por Alan Carson y el CTO Lee Skillen, Cloudsmith ha experimentado un crecimiento constante y ha recaudado un total de $49 millones en financiamiento hasta la fecha. Recientemente, la startup anunció que ha recaudado $23 millones en una ronda de financiación Serie B liderada por TCV, con la participación de Insight Partners y algunos inversores que han regresado.

Carson señala que la llegada de un empresario experimentado en startups y escalas, como Weinstein, ha permitido a los cofundadores concentrarse más en la “visión del producto, la hoja de ruta y la arquitectura”, al tiempo que abre la puerta a un mayor número de empresas e inversores en Estados Unidos, incluyendo TCV y Insight Partners.

Estos inversores son una señal fuerte de que Cloudsmith ha cambiado hacia el liderazgo en su categoría.

Bajo la dirección de Weinstein, Cloudsmith ha centrado sus esfuerzos en ayudar a las grandes empresas a gestionar y asegurar sus cadenas de suministro de software, al tiempo que cumplen con estándares de cumplimiento rigurosos. Actualmente, la mayoría de los empleados de Cloudsmith, que suman alrededor de 100, están basados en Belfast, pero Weinstein indica que aproximadamente tres cuartas partes de sus ingresos provienen de clientes en EE.UU.

Futuro y nuevas oportunidades

Con la reciente financiación, Cloudsmith tiene planes ambiciosos para expandir su equipo en áreas como ventas, marketing y éxito del cliente, así como invertir en investigación y desarrollo para nuevas aplicaciones de inteligencia artificial. Weinstein señala que la empresa tiene una “oportunidad única” para transformar vastas cantidades de datos sobre el consumo de paquetes de software en “información útil” para los desarrolladores.

La idea es ayudar a los desarrolladores a elegir paquetes de código abierto más seguros y eficientes. Esto se logrará facilitando que los equipos de ciberseguridad creen registros internos curados, donde sea más sencillo para un desarrollador obtener un paquete de un repositorio interno que de un registro público.

Este enfoque podría implicar recomendaciones sobre cambios de paquetes, sugiriendo a los desarrolladores que consideren alternativas más actualizadas o populares en lugar de aquellas que están en desuso. “Este es el consejo en el que los desarrolladores confían hoy en día, aunque de manera informal — ‘oye, he oído hablar de este paquete‘ — y lo transformamos en consejos disponibles instantáneamente a través de la plataforma Cloudsmith,” agrega Weinstein.

La revolución de la gestión de software

El desafío de mantener la seguridad en la cadena de suministro de software es monumental, pero iniciativas como la de Cloudsmith muestran que hay soluciones innovadoras en desarrollo. La creciente preocupación por la seguridad del software y la gestión adecuada de los artefactos puede cambiar radicalmente la forma en que las empresas abordan sus estrategias de desarrollo.

Con la capacidad de escanear, curar y asegurar artefactos de código abierto, Cloudsmith se posiciona como un aliado esencial para empresas que buscan no solo cumplir con los estándares de seguridad, sino también optimizar sus procesos de desarrollo. A medida que el software continúa evolucionando, también lo hará la forma en que las organizaciones gestionan sus dependencias, asegurando que la seguridad y la eficiencia sean siempre la prioridad.