Cloudsmith lève 72M$ pour gérer les artefacts logiciels

Introduction

La startup Cloudsmith, spécialisée dans la gestion des artefacts logiciels, a levé 72 millions de dollars lors d'une série de financement C. Cette entreprise propose une plateforme cloud pour faciliter la gestion des composants logiciels, notamment les projets open-source.

Contexte Technique

Les développeurs utilisent souvent des composants logiciels open-source provenant de diverses sources, notamment GitHub et Hugging Face. Cependant, la vérification de la sécurité de ces composants peut être fastidieuse pour les administrateurs. Cloudsmith propose une plateforme pour stocker et gérer ces composants de manière centralisée, y compris les codes, les scripts de configuration, les modèles d'IA et les systèmes d'exploitation.

La plateforme de Cloudsmith peut également stocker des conteneurs logiciels, qui peuvent comporter des dizaines d'artefacts individuels, chacun représentant un risque potentiel pour la sécurité. Pour atténuer ce risque, Cloudsmith génère automatiquement un « software bill of materials » (SBOM) pour chaque conteneur, qui liste les composants du conteneur.

Analyse et Implications

Avant de rendre un composant open-source disponible pour téléchargement, Cloudsmith le scanne pour détecter les vulnérabilités connues. La plateforme utilise le système de notation de prédiction d'exploitation pour évaluer la gravité de chaque vulnérabilité. Cloudsmith détecte également d'autres problèmes, tels que les clauses de licence qui peuvent compliquer les projets logiciels.

Les clients peuvent utiliser les données fournies par la plateforme pour créer des flux de travail automatisés. Par exemple, une entreprise peut créer une politique qui bloque les composants open-source contenant des vulnérabilités graves. Les flux de travail automatisés sont écrits en utilisant la syntaxe de programmation Rego, optimisée pour la configuration des instances cloud.

Perspective

Le PDG de Cloudsmith, Glenn Weinstein, souligne que les agents d'IA génèrent désormais tant de logiciels, si rapidement, qu'il est presque impossible pour les humains de les examiner soigneusement. Cloudsmith a l'échelle et la visibilité nécessaire pour protéger les entreprises contre les nouvelles menaces introduites par le développement piloté par l'IA.

La société va investir son nouveau financement dans le développement de fonctionnalités, notamment l'ajout de contrôles de sécurité et de capacités d'automatisation pilotées par l'IA. Cette évolution devrait renforcer la position de Cloudsmith sur le marché de la gestion des artefacts logiciels et aider les entreprises à mieux gérer les risques liés à l'utilisation de composants open-source.