シリコンバレーのベンチャーキャピタル大手セコイアは、デンマークの新興企業に次世代のソフトウェア構成分析(SCA)ツールの開発を支援している。このツールは、企業がノイズを除去し、真の脅威となる脆弱性を特定するのに役立つと期待されている。
背景として、ほとんどのソフトウェアには少なくとも何らかのオープンソースコンポーネントが含まれていますが、その多くは時代遅れで、メンテナンスも不定期(あるいは全く)です。このことが、オープンソースのJavaロギングフレームワークLog4jに影響を与えたLog4Shellなど、あらゆる種類のセキュリティ欠陥を引き起こし、米国連邦政府機関など、著名な組織に情報漏洩をもたらしました。この脆弱性は、企業にソフトウェアサプライチェーンの厳格化を強制するための新たな規制の導入につながっています。
問題は、ソフトウェアサプライチェーンに数百万ものコンポーネントが浸透しているため、特定のアプリケーションが特定のコンポーネントを使用しているかどうかを把握することが必ずしも容易ではないことです。もちろん、SnykやSynopsisなど、企業のテクノロジースタックにおける既知の脆弱性について警告を発するソフトウェアコンポジション解析(SCA)ツールは数多く存在します。しかし、特にアプリケーションがそのコンポーネントを積極的に使用していない場合は、多くのノイズが発生し、セキュリティチームが本当に重要な脆弱性を優先的に検出することが困難になります。
そして、デンマークのサイバーセキュリティのスタートアップ企業である Coana は、違いを生み出そうとしています。同社は「コード認識型」SCA を使用して、ユーザーが無関係なアラートを分離し、重要なアラートだけに集中できるようにしています。
2021年にデンマークで設立されたCoanaは、コンピューターサイエンスの教授(Anders Møller)と2人の博士号取得者(Martin TorpとBenjamin Barslev Nielsen)によって設立されました。彼らはデンマークのオーフス大学の研究グループに所属していた際に「技術的ブレークスルー」を成し遂げ、大規模なJavaScriptベースのアプリケーションを分析・理解するための新技術を発見したと語っています。CEOのAnders Søndergaardは、前年にResilioという生体認証技術のスタートアップを退社し、2022年に共同創業者としてこの3人に加わりました。
Coana は本日、早期アクセス段階から完全商用化までの同社の資金を調達するため、Sequoia Capital が主導し、Essence VC や、Google、Red Hat、GitHub の現・元幹部を含む多数のエンジェル投資家が参加したプレシード ラウンドで 160 万ドルを調達したことを発表しました。
一般的なアプリケーションは、最大 90% がサードパーティ ライブラリで構成され、その大部分はオープン ソースであり、任意の数のボランティア開発者によって保守されています (または保守されていません)。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
そのため、ソフトウェアを開発する企業は、こうした無数のライブラリを利用する独自のアプリケーション層を構築し、関数によって接続された長い依存関係の連鎖を作り出す可能性があります。従来、SCAツールは特定の依存関係のバージョン番号を確認し、既知の脆弱性データベースとマッピングし、一致するものが見つかった場合に開発者に報告していました。しかし、多くの場合、アプリケーションは50個程度のライブラリから1つか2つの関数しか使用しません。そのため、アプリケーションが決して呼び出さないライブラリの一部に脆弱性が存在したとしても、そのアプリケーションに実際に影響することはないはずです。
企業は Coana を使用することで、アプリケーション コードと依存関係にまたがるアプリケーション全体の「コール グラフ」を構築し、データ フロー パスを理解して、それを使用して誤検知を排除することができます。
「使用されているパッケージの数とコード行数は非常に膨大になる可能性があるため、非常に高度な静的解析が必要になります」とソンダーガード氏はTechCrunchに語った。「コールグラフにより、さまざまな依存関係間のあらゆる可能性のあるパスについて、膨大な分析を行うことができます。つまり、数百、数千の依存関係で構成されたアプリケーションを想像してみてください。これらの依存関係間のすべてのパスを特定し、どれが本当に脆弱で、どれがそうでないかを理解できるのです。」
もちろん、Coanaはまだ初期段階にあり、最初の有料顧客(シリーズBおよびシリーズCステージのスタートアップ企業とスケールアップ企業)向けに10月に最初の製品バージョンを発表しました。しかし、同社は今年中にJavaScriptだけでなくJavaとPythonのサポートも拡大し、より幅広い顧客基盤の獲得を目指しています。
「当社の製品と会社が成熟するにつれ、私たちは市場を拡大し、最終的には大企業をターゲットにしていきますが、そのレベルに到達するための言語サポートの洗練度が整うまでには、まだしばらく時間がかかるでしょう」とソンダーガード氏は語った。
今日 Coana を試してみたい企業は、今すぐ早期アクセスを申請できます。
ポールはロンドンを拠点とするTechCrunchのシニアライターで、主に(ただしそれだけではない)英国およびヨーロッパのスタートアップの世界に特化していました。オープンソースソフトウェアビジネスなど、情熱を注いだ他のテーマについても執筆していました。2022年6月にTechCrunchに入社する前は、The Next Web(現在はFinancial Times傘下)とVentureBeatで、コンシューマー向けおよびエンタープライズ向けテクノロジーを10年以上取材してきました。企画書の送付先:paul.sawers [at] techcrunch.com セキュア/匿名の情報はSignal(PSTC.08)まで。また、Bluesky(@jambo.bsky.social)にも参加していました。
バイオを見る
