ソフトウェアサプライチェーンは、その脆弱性が極めて脆弱であることが知られています。報告によると、コードベースの81%に、高リスクまたは重大リスクのオープンソース脆弱性が含まれています。たった一つの脆弱性が、ソフトウェアサプライチェーン全体に甚大な影響を及ぼす可能性があります。Log4Shellエクスプロイトは、Log4jロギングライブラリを介したリモートコード実行のハッキングに数百万ものアプリケーションをさらしました。
北アイルランドのスタートアップ企業 Cloudsmith は、まさにこの問題をクラウド ネイティブの「アーティファクト管理プラットフォーム」で解決しようとしています。同社はこれを、JFrog や Sonatype などの「レガシー」ソフトウェア サプライ チェーン プラットフォームに代わる、より現代的なソリューションだと宣伝しています。
同社は月曜日、次の成長段階を推進するために、TCVが主導し、インサイト・パートナーズと一部のリピーター投資家が参加したシリーズBの資金調達で2,300万ドルを調達したと発表した。
新築
Cloudsmithの業界における「アーティファクト」とは、ソフトウェア開発プロセス全体を通して作成または配布されるあらゆるソフトウェアパッケージ、バイナリファイル、またはコンポーネントを指します。これには、ライブラリとその依存関係、設定ファイル、コンパイル済みアプリケーションなどが含まれます。
企業は通常、独自のコードを作成しますが、多くの場合、公開されているオープンソースレジストリに保存されているサードパーティ製のパッケージに依存しています。これらのパッケージはビルド時(コードが実行形式にコンパイルされる時)に必要ですが、その時点ではパッケージのバージョンが変更されていたり、単に入手できなかったりする可能性があります。そこでCloudsmithが登場し、これらのパッケージの「ミラー」を提供します。
「Cloudsmithはこれらのバイナリアーティファクトのプライベートレジストリとして機能するため、たとえ元のソースから変更されたり消えたりした場合でも、将来のビルドで常に利用できます」と、CloudsmithのCEOであるGlenn Weinstein氏はTechCrunchに語った。「Cloudsmithはビルドの再現性と信頼性を確保し、集中管理されたDevOpsチームやプラットフォームエンジニアリングチームに、本番環境ソフトウェアに何が組み込まれているかを可視化します。」
しかし、パッケージがオープンソースリポジトリで利用可能であっても、メンテナンス不足やその他の悪意のある理由により、時間の経過とともにセキュリティ上の問題が発生する可能性があります。そのため、Cloudsmithは、これらのパッケージを開発者のコーディング環境に公開する前に、依存関係の脆弱性、ライセンスの問題、マルウェアをスキャンします。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
Cloudsmith は顧客が社内で開発したパッケージをサポートできますが、プラットフォームに保存される成果物の大部分は、PyPI、Docker Hub、Maven Central、Npmjs などの通常のインデックスからのオープンソース パッケージであることは注目に値します。
「すべてのデータとソフトウェアはCloudsmithを経由するため、Cloudsmithはオープンソースへの依存関係に対するセキュリティチェックポイントとして機能します。問題のあるアーティファクトが本番環境に到達する前に、スキャン、キュレーション、ブロックを行います」とWeinstein氏は述べています。「また、Cloudsmithは、プライベート、パブリック、オープンソースを問わず、使用しているアーティファクトを明確に監視するという点で、多くの企業が抱える盲点を解消します。」
お金の問題
2016年にアラン・カーソン氏とCTOのリー・スキレン氏によってベルファストで設立されたクラウドスミスは、2021年に1500万ドルから始まり、2023年にさらに1100万ドルを調達したシリーズAラウンドで、2600万ドルを調達していた。第2回目の調達は、カーソン氏が最高戦略責任者に就任し、Twilioの最高顧客責任者であるワインスタイン氏がCEOに就任した直後に行われた。
カーソン氏によると、経験豊富なスタートアップ企業とスケールアップ企業の起業家を迎え入れることで、2人の共同創業者は製品の「ビジョン、ロードマップ、アーキテクチャ」にさらに注力できるようになり、同時にTCVやインサイト・パートナーズを含む米国のより幅広い企業や投資家に製品を開放することができたという。
「これらの投資家は、クラウドスミスがカテゴリーリーダーへと転身したことを示す強力なシグナルです」とカーソン氏はTechCrunchへのメールで述べた。「グレン氏のリーダーシップの下、クラウドスミスは大企業に焦点を絞り、ソフトウェアサプライチェーンの管理とセキュリティ確保、そして厳格なコンプライアンス基準の遵守という課題に取り組んできました。」
クラウドスミスの従業員100人のほとんどは創業者2人を含めてベルファストを拠点としているが、ワインスタイン氏によれば、同社の収益の約4分の3は現在米国の顧客から得ているという。
クラウドスミスは、今回の新たな資金調達により、営業、マーケティング、カスタマーサクセス部門の人材採用に加え、新たなAIアプリケーションの研究開発への投資を計画しています。ワインスタイン氏は、膨大なソフトウェアパッケージ消費データを開発者にとって「実用的なインサイト」へと変換する「またとない機会」があると述べています。
「開発者がより優れた、より安全なオープンソースパッケージを選択できるよう支援したいと考えています」とワインスタイン氏は述べた。「サイバーセキュリティチームが社内でキュレーションされたレジストリを作成できるよう支援することで、開発者はパブリックレジストリよりもキュレーションされた社内リポジトリからパッケージを入手する方が簡単になります。」
これには、ほとんど更新されないパッケージや人気が低下しているパッケージから、他の Cloudsmith の顧客が採用している同様のパッケージに切り替えるなどの推奨事項の作成が含まれる可能性があります。
「これは、開発者が今日頼りにしているアドバイスです。非公式ではありますが、『このパッケージについて聞いたよ』という感じで、それを Cloudsmith プラットフォーム経由で即座に利用できるアドバイスに変換します」と Weinstein 氏は言う。
