总部位于特拉维夫、以色列和纽约的Apiiro公司周二表示,它获得了凯鹏华盈(Kleiner Perkins)和格雷洛克(Greylock)3500万美元的A轮投资,以推动技术的销售和营销。Apiiro表示,这项技术可以帮助组织消除不安全的代码和高风险的应用程序开发做法。
这项投资标志着对快速发展的所谓“DEVSECOPS”市场的最大早期押注之一。“DEVSECOPS”是指开发和安全团队紧密结合在一起,作为敏捷的CI/CD(持续集成持续交付)开发过程的一部分。
Apiiro生产的技术可以识别和修复开发过程中的安全问题。Apiiro首席执行官兼联合创始人伊丹·普洛特尼克(Idan Plotnik)表示,该公司的Code Risk平台允许组织在风险代码更改成为开发管道的一部分之前识别并优先处理这些更改,从而加快了开发速度。
该平台使用正在申请专利的技术来了解应用代码、基础设施即代码和开源组件的历史行为。它还分析开发人员的行为,以确定可能对业务产生影响的风险行为。根据一份公司声明,它可以在部署到云或内部部署之前,在设计阶段自动补救这些风险。
Plotnik说:“apiiro背后的本质是需要根据您对开发人员的了解、产品的业务影响和其他风险因素来理解代码更改。”
这家公司是普洛特尼克(Plotnik)和联合创始人约纳坦·埃尔达尔(Yonatan Eldar)的创意。两人都是以色列国防军(IDF)精英网络安全部队的老兵,并曾在Aorato工作过,Aorato是一家云安全供应商,也是用户和实体分析(UEBA)领域的先驱,该领域于2015年被微软收购。
收购完成后,Plotnik和Eldar都曾在微软MSFT领先的产品、工程、数据科学和DevOps计划部门工作,其中Plotnik负责公司高级威胁防护(ATP)技术的开发。这一经历使他们确信需要一种新的方法来保证应用程序安全。
普洛特尼克说:“我负责将风险传达给高层管理人员,但这是一场持续不断的斗争。”“我们使用的工具似乎采取了‘开发人员最后’的方式,而不是‘开发人员优先’的方式。
由微软在20世纪90年代和21世纪初开创的“设计安全”过程是面向较老的“瀑布”开发方法的,它们的开发周期长达六个月或一年。简单地将为瀑布式开发而设计的安全开发工具移植到敏捷环境会导致误报和“噪音”,从而使敏捷流程陷入困境。
Plotnik和Eldar认为,需要一种为现代、敏捷的开发运营量身定做的产品,能够弥合开发、安全和法规遵从性团队之间的差距。
该公司只是DEVSECOPS市场的最新进入者,在这个市场中,公司正在将网络安全功能“左”推到开发周期的更早阶段。例如,GitLab在6月份收购了Peach Tech和Fuzzit两家公司,将协议模糊测试和动态应用安全测试(DAST)API测试集成到其CI/CD平台中。
上周,加利福尼亚州圣巴巴拉的一家初创公司Anchore宣布了新的工具,以供DEVSECOPS团队使用,这些团队可以扫描虚拟容器映像和文件系统以查找漏洞,或者创建软件物料清单(SBOM)。
Apiiro的方法是与外部安全工具集成并丰富数据。该公司的技术在开发人员和代码行为之间创建了统一的风险概况,将重点放在业务风险上。例如,apiiro不是简单地扫描银行应用程序中的漏洞,而是研究与风险相关的问题,例如给定的API是否负责转账,或者正在分析的服务是否暴露在互联网上。在该业务上下文中添加了对开发人员行为的深入分析。
格雷洛克的普通合伙人、阿皮罗董事会成员萨姆·莫塔梅迪(Saam Motamedi)说,这轮3500万美元的融资标志着格雷洛克最近记忆中最大的早期投资之一。这反映出该公司对阿皮罗的领导力和业绩记录的信心,以及格雷洛克对左移证券产品的热情。
Motamedi说:“在过去的几年里,我们从客户那里听到的是两个趋势:数字化转型的加速和从瀑布到敏捷开发的转变。”不幸的是,技术产品并没有迎头赶上。像apiiro这样的公司将帮助加速这两个趋势:通过简化软件开发组织对敏捷开发和DEVSECOPS的拥抱,进一步推进数字化转型计划。
普洛特尼克表示,该公司将利用这笔投资将其平台公之于众,并继续开发Code Risk平台。该平台已经在多家大型银行使用。该公司的研发基地设在特拉维夫,销售和营销基地设在纽约。
在我的推特或LinkedIn上关注我。我可以在我的个人网站上查看,或者在这里查看我的一些其他工作。