Slim.AI ottiene $ 31 milioni per rendere la sicurezza dei container “facile” per gli sviluppatori L’insicurezza della catena di fornitura del software si è trasformata in un problema impossibile da ignorare. Ci sono i compromessi di alto profilo, inclusi gli attacchi alla catena di approvvigionamento SolarWinds e Kaseya, ovviamente. Ma quegli attacchi fanno parte di un fenomeno molto più grande: secondo i dati di Aqua Security, gli attacchi che coinvolgono la catena di fornitura del software sono aumentati complessivamente di oltre il 300% nel 2021.
Di particolare interesse per il settore è la sicurezza delle tecnologie cloud native, ovvero i container . In parte come risposta al ritmo veloce dei rilasci del software, gli sviluppatori si rivolgono spesso a immagini container gratuite nei registri container pubblici per fungere da punto di partenza per un nuovo progetto software.
Tuttavia, sebbene l’adozione di questa scorciatoia acceleri notevolmente il processo di sviluppo dell’applicazione, non sempre si ottengono contenitori ottimizzati per l’uso in produzione o sicuri. I risultati rilasciati oggi da Sysdig mostrano che il 75% delle immagini dei container presenta effettivamente vulnerabilità patchabili considerate di gravità “elevata” o “critica”.
Nuovi compiti per gli sviluppatori
Mentre gli sviluppatori eccellono nella scrittura del codice, l’ottimizzazione e la protezione dei contenitori sono un’altra questione. Eppure, “è sempre più compito dello sviluppatore” garantire che i loro container soddisfino le esigenze di infrastruttura e sicurezza, ha affermato John Amaral, in precedenza responsabile del prodotto per l’attività di sicurezza cloud di Cisco e ora CEO di Slim.AI. “Semplicemente non hanno necessariamente le competenze o gli strumenti che lo rendono facile”.
È qui che entra in gioco l’attuale società di Amaral, Slim.AI , con una piattaforma per semplificare il lavoro di protezione e ottimizzazione dei container. Per alimentare l’ulteriore avanzamento della piattaforma, Slim.AI ha annunciato oggi un round di finanziamento di serie A da 31 milioni di dollari, guidato da Insight Partners e StepStone Group, con Knollwood come investitore partecipante. La società ha ora raccolto 37,6 milioni di dollari dalla sua fondazione nel febbraio 2020.
Con la sua piattaforma software-as-a-service, Slim.AI consente agli sviluppatori di cercare container in più registri di container contemporaneamente. Quindi, la piattaforma consente agli sviluppatori di vedere cosa c’è all’interno di un container, in termini di composizione e profilo di sicurezza, “rendendoti facile sapere cosa c’è dentro il tuo container prima di usarlo”, ha affermato Amaral.
E presto, la piattaforma Slim.AI aggiungerà funzionalità per automatizzare il processo di rimozione del software non necessario dai container, eliminando le vulnerabilità e riducendo la potenziale superficie di attacco per un’app.
Costruire in cima all’open source
La startup è stata fondata da Amaral, che funge da CEO, e da Kyle Quest, chief technology officer. Hanno lanciato la società per creare una piattaforma di strumenti per sviluppatori su DockerSlim, un progetto open source creato da Quest, che ora ha più di 12.000 stelle su GitHub, e alla fine offrire una versione commerciale.
La piattaforma Slim.AI rimane gratuita per gli sviluppatori, con l’azienda che cerca prima di raggiungere un’ampia base di utenti per la piattaforma prima di cercare di commercializzarla. Il programma di “accesso anticipato” per la piattaforma ha attualmente diverse migliaia di utenti, secondo l’azienda.
La capacità della piattaforma di fornire una ricerca “simile a Google” di container nei registri pubblici – Docker Hub, Amazon Elastic Container Registry, Microsoft Container Registry e RedHat Quay – è uno dei suoi maggiori fattori di differenziazione, ha affermato Amaral. Slim.AI può anche fornire connessioni private, autenticate tramite token API, al Google Container Registry e ai registri Amazon, Docker e Red Hat.
Le integrazioni con GitHub e GitLab arriveranno “nel prossimo futuro”, ha affermato la società.
Quindi, una volta che uno sviluppatore individua un’immagine del contenitore che sembra promettente, Slim.AI fornisce visualizzazioni e approfondimenti sul software che costituisce il contenitore, ha affermato Amaral.
“Puoi aprire quel contenitore usando il nostro strumento nel cloud e ti offre un’analisi approfondita della composizione, così puoi capire: ‘Cosa c’è dentro quel contenitore? Ha i pezzi che mi servono? È costruito in un modo che penso sia valido e utile per me? E ha un software lì dentro che non voglio?’”, ha detto.
Tutto sommato, “questa capacità di cercare, analizzare, comprendere e valutare i container in un’unica piattaforma da più registri è esclusiva di Slim.AI”, ha affermato Amaral. “Nessun’altra piattaforma lo fa. Nessuno ha messo insieme tutti questi pezzi”.
‘Minificazione’
I prossimi aggiornamenti per Slim.AI consentiranno agli sviluppatori di agire direttamente sull’ottimizzazione e la protezione delle immagini dei container. Il prossimo lancio di funzionalità offrirà la possibilità di rimuovere automaticamente il software non necessario
, come i gestori di pacchetti e le librerie, da un contenitore.
Questa funzionalità di “minimizzazione” è attualmente disponibile in DockerSlim e dovrebbe debuttare per gli utenti di accesso anticipato di Slim.AI tra la fine di febbraio e l’inizio di marzo.
La piattaforma Slim.AI non offre il rilevamento delle vulnerabilità in sé, dato che ci sono già molti strumenti disponibili per scansionare i container alla ricerca di vulnerabilità, ha affermato Amaral. La società prevede di introdurre plug-in sulla sua piattaforma per i più diffusi scanner di sicurezza, cosa che potrebbe accadere già nel secondo trimestre, ha affermato.
Dopo che uno sviluppatore ha scansionato un container e ha trovato una vulnerabilità con uno strumento di terze parti, può quindi utilizzare Slim.AI per “ridurre al minimo” il container e quindi scansionare nuovamente il container per vedere se questo ha eliminato la vulnerabilità, ha affermato Amaral. Spesso, questo è esattamente ciò che accadrà, ha detto.
“Ci può essere una riduzione delle vulnerabilità di 10 o 20 o 30 volte semplicemente rimuovendo i pacchetti non necessari”, ha affermato Amaral.
(Il “slim” nel nome dell’azienda si riferisce a questa caratteristica di rimozione del software non necessario, mentre “AI” nel nome in realtà sta per “intelligenza applicativa” in questo caso, secondo Amaral.)
Oltre alla sicurezza, la piattaforma Slim.AI può anche aiutare gli sviluppatori a ottimizzare i container in modo che siano pronti per la produzione, assicurando che gli elementi chiave, come il monitoraggio e l’aggiornamento, siano supportati, ha affermato.
Infine, Slim.AI consente ai team DevOps di garantire che il loro software sia “altamente sicuro, ottimale dal punto di vista delle prestazioni e dei costi e composto in modo da essere pronto per la produzione”, ha affermato Amaral.
Piani commerciali
In termini di lancio di una versione commerciale della piattaforma, Slim.AI mira innanzitutto a dimostrarsi abbastanza utile per gli sviluppatori da ritenere la piattaforma degna di essere utilizzata nel loro lavoro, ha affermato.
“Siamo davvero concentrati sulla creazione di valore per gli sviluppatori [così dicono], ‘Posso vedere come usarlo al lavoro. Posso vedere come usarlo per risolvere un problema per la mia squadra’”, ha detto Amaral.
I primi sforzi commerciali dell’azienda potrebbero iniziare nella seconda metà dell’anno, ha affermato.
Nel frattempo, Slim.AI mira ad espandere il proprio team con l’aiuto dei suoi finanziamenti di serie A. Con un focus sull’assunzione di ingegneri, la startup prevede di raddoppiare il suo attuale team di 20 quest’anno.
Prima di Slim.AI, Amaral ha trascorso quasi quattro anni in Cisco, dopo che l’azienda ha acquisito CloudLock, dove era a capo del prodotto. Quest era stato capo architetto di CloudLock ed è rimasto anche in Cisco dopo l’acquisizione. Entrambi hanno lasciato Cisco all’inizio del 2020 per lanciare Slim.AI e hanno annunciato il round seed da 6,6 milioni di dollari della startup nel gennaio 2021.
Guardando al futuro, Slim.AI spera che la sua piattaforma possa compiere la rara impresa di essere sia “buona per la velocità degli sviluppatori, ma anche buona per la sicurezza”, ha affermato Amaral.