Socket recebe investimento de $20M para ajudar empresas a proteger software de código aberto

Socket, uma startup que oferece uma ferramenta de escaneamento para detectar vulnerabilidades de segurança em código-fonte aberto, anunciou hoje que arrecadou US$20 milhões em uma rodada Série A liderada pelo Andreessen Horowitz (a16z).

A rodada contou com a participação da Abstract Ventures, Wndrco, Unusual Ventures e uma lista impressionante de investidores-anjos de alto perfil, incluindo os co-fundadores do Box (Aaron Levie), Figma (Dylan Field), Okta (Frederic Kerrest), Vercel (Guillermo Rauch) e Eventbrite (Julia e Kevin Hartz).

O CEO Feross Aboukhadijeh disse que o novo capital – junto com o investimento anterior de semente de US$4,6 milhões da Socket, que totaliza US$24,6 milhões arrecadados pela empresa – será utilizado para expandir a equipe da Socket e ampliar seu suporte para mais linguagens de programação e integrações.

“Durante a última década, ficou claro que o software de código aberto venceu”, disse Aboukhadijeh ao TechCrunch em uma entrevista por e-mail. “Compartilhar código livremente tornou muito mais barato e rápido construir software – e a inovação tecnológica acelerou como resultado. Mas a segurança muitas vezes foi deixada em segundo plano. A nova tecnologia se espalha porque é útil, não porque é segura. Os criminosos estão explorando a confiança no software de código aberto para realizar ataques audaciosos que espalham malware destrutivo.”

É difícil discordar desse ponto de vista. De acordo com uma pesquisa recente da Tidelift, apenas 15% das organizações têm confiança extrema em suas práticas de gerenciamento de código aberto (é importante lembrar que a Tidelift é concorrente da Socket e, portanto, pode não ser a fonte mais imparcial). A maioria, segundo a pesquisa, tem preocupações em manter o software de código aberto atualizado, seguro e bem mantido.

Essas organizações têm motivos para se preocupar. A firma de segurança Synopsys descobriu em seu estudo de tendências de 2023 que 89% dos códigos das empresas contêm software de código aberto desatualizado há mais de quatro anos. Enquanto isso, 91% usam componentes de software aberto que não são as versões mais recentes disponíveis.

“A taxa de ataques à cadeia de suprimentos de software continua a aumentar em um ritmo astronômico”, disse Aboukhadijeh. “Junto com penalidades regulatórias mais rigorosas para violações, regras de notificação obrigatória, bem como uma explosão no uso de código aberto nas organizações, os riscos – e a consciência desses riscos – nunca foram maiores.”

Aboukhadijeh – um prolífico mantenedor de código aberto e professor de segurança na web em Stanford – argumenta que a Socket é a solução para esses problemas de segurança no software de código aberto. Isso é uma afirmação ousada, considerando a quantidade de outras startups e empresas incumbentes que afirmam a mesma coisa.

A Oligo, uma empresa que foca em segurança de aplicativos em tempo de execução para detectar e prevenir vulnerabilidades em código de código aberto, saiu do sigilo em fevereiro com US$28 milhões de investimento de capital de risco. A Endor emergiu do sigilo com US$25 milhões em outubro passado, após a Chainguard levantar US$50 milhões no início de junho. Em outros lugares, há a Stacklok, Arnica e Ox Security, que juntas arrecadaram mais de US$50 milhões.

O Google também oferece um serviço, o Assured Open Source Software, que visa ajudar os desenvolvedores a se protegerem contra ataques à segurança da cadeia de suprimentos por meio de escaneamentos e análises regulares em algumas das bibliotecas de software mais populares do mundo.

Aboukhadijeh diz que o que torna a Socket diferente é que ela não apenas verifica se as vulnerabilidades em um software foram relatadas em bancos de dados públicos. Ela vai mais fundo, procurando reduzir o ruído que pode surgir ao analisar milhares de linhas de código de terceiros.

“Diferente de um scanner de segurança tradicional, a Socket pode realmente detectar um ataque ativo na cadeia de suprimentos e ajudar a bloqueá-lo”, explicou Aboukhadijeh. “E diferente de uma ferramenta de análise estática tradicional, a Socket fornece informações acionáveis sobre riscos de dependências em vez de centenas de alertas sem sentido.”

Especificamente, a Socket procura por sinais vermelhos de alto nível no software, como malware, typo-squatting (registro de nomes de domínio com erros ortográficos comuns para fins maliciosos), pacotes enganosos e código não mantido, além de mantenedores desconhecidos e permissões excessivas. A plataforma oferece uma função de pesquisa que permite aos usuários mergulhar em um código-fonte para encontrar e rastrear mudanças em dependências, além de uma extensão gratuita para navegadores da web que tenta determinar se um pacote de código aberto é seguro e confiável.

Seguindo a tendência da inteligência artificial generativa, a Socket introduziu recentemente um conector para o ChatGPT, o chatbot alimentado por IA da OpenAI, que resume problemas potenciais em pacotes de software, especialmente padrões de código “incomuns”.

“A maioria dos softwares de segurança é vendida para executivos, então normalmente é desagradável de usar”, disse Aboukhadijeh. “Nós adotamos uma abordagem diferente – construindo um produto que os desenvolvedores realmente adoram. E por isso, temos visto que as equipes de segurança estão realmente animadas para implementar a Socket para seus desenvolvedores, o que é infelizmente bastante raro na indústria.”

Mas é tudo blefe? Eu estava tentado a pensar assim, como um jornalista cínico que sou – mas talvez não seja. Desde a sua fundação em 2020, a Socket, sediada em San Francisco, atraiu clientes de renome, como Brave, Figma e Vercel (nota-se que os co-fundadores dos dois últimos acabaram investindo na Socket). E se a empresa mantiver sua trajetória atual, Aboukhadijeh espera que ela dobre de tamanho, pelo menos em termos de sua força de trabalho, nos próximos meses. O foco está em expandir as equipes de engenharia, segurança, operações, vendas e marketing da Socket.

“A segurança, mais do que em outras indústrias, prospera pelo boca-a-boca”, acrescentou Aboukhadijeh. “Estamos orgulhosos em dizer que nossos usuários adoram a Socket, e isso está impulsionando nossa forte demanda.”