ソフトウェア開発に使用されるコンポーネントとプロセスで構成されるソフトウェアサプライチェーンは、不安定になっています。最近の調査によると、企業の88%が、ソフトウェアサプライチェーンのセキュリティが不十分であることが組織にとって「企業全体のリスク」をもたらすと考えています。
オープンソースのサプライチェーン構成要素は、各構成要素を適切な状態に保つための物流上のハードルが高いため、特に問題を抱えています。セキュリティ企業Synopsysは2023年のレポートで、企業のコードベースの89%に4年以上更新されていないオープンソースツールが含まれていることを明らかにしました。Ponemon Instituteの2024年のレポートでは、組織の半数以上がソフトウェアサプライチェーン攻撃を経験していることが示されています。Juniper Researchの推定によると、これらの攻撃は2026年までに経済に約810億ドルの収益損失と損害をもたらす可能性があります。
オープンソースコードのセキュリティ脆弱性を検出するツールを提供するスタートアップ企業Socketは、この問題の解決を支援するために4000万ドルを調達した。
CEOのフェロス・アブカディジェ氏は2020年にソケットを設立した。オープンソースのメンテナーとして活躍し、スタンフォード大学でウェブセキュリティの講師も務めるアブカディジェ氏は、従来のセキュリティツールでは現代のソフトウェア開発の課題に対処するのに不十分だと考えるようになったという。
「数千に及ぶ広範な依存関係のネットワークは、従来のツールでは軽減できない重大なセキュリティリスクをもたらします」とアブカディジェ氏はTechCrunchに語った。依存関係とは、アプリが動作するために依存しているソフトウェアやライブラリの一部のことである。「社内で厳格なコードレビューを行っていても、外部依存関係はソフトウェアサプライチェーン攻撃のリスクをもたらし、その検知と管理は困難です」とアブカディジェ氏は続けた。
Socket のソリューションは、オープンソース コンポーネント内のバックドアや難読化されたコードなどの悪意のあるアクティビティを探し、依存関係やパッケージが更新または追加されたときに開発者に警告するスキャナーです。
Socketは、AnthropicとOpenAIの生成AI APIとの統合により、脆弱性の概要を生成することもできます(ただし、幻覚的な表現は最小限に抑えられることを期待しています)。さらに、このプラットフォームはオプションで、オープンソースコードが適切にライセンスされているか(つまり、再利用が合法であるか)を確認することができます。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
「Socketは、オープンソースソフトウェアに大きく依存するエンジニアリングチームとアプリケーションセキュリティチーム向けに設計されています」とアブカディジェ氏は述べています。「開発者のワークフローにシームレスに統合され、コードレビューや依存関係の更新中にリアルタイムのインサイトを提供しながら、誤検知によるユーザーへの負担を軽減します。」
ソフトウェア企業がこれまで以上にオープンソースに依存しています。オープンソース・イニシアチブとEclipse Foundationが共同で発表した2023年のレポートでは、回答者の95%が、過去1年間に組織におけるオープンソースの利用が増加した、または少なくとも維持したと回答しています。
ソフトウェアサプライチェーンセキュリティプラットフォーム市場は2027年までに35億ドル規模にまで成長すると予想されており、Socketにライバルがいるのも不思議ではありません。
ランタイムアプリのセキュリティと可観測性に重点を置くOligoは、2月に2,800万ドルの資金調達を受けてステルス状態から脱却しました。Endorは、Chainguardが6月初旬に5,000万ドルを調達した後、昨年10月に2,500万ドルを調達してステルス状態から脱却しました。
アブカディジェ氏によると、Socketの優れた点は、他のツールでは見逃してしまう可能性のある有害なコード、特に機密データを盗み出すコードを検知する能力にあるという。Socketは毎週100件以上のゼロデイ・ソフトウェア・サプライチェーン攻撃を検出しているという。
Socket の印象的な支援者 (および顧客) リストを見ると、これらの主張にはある程度の信憑性があることがうかがえます。
起業家のエラッド・ギル氏とアンドリーセン・ホロウィッツ氏は、Yahooの共同創業者ジェリー・ヤン氏(情報開示:YahooはTechCrunchの親会社)、OpenAI会長ブレット・テイラー氏、Twilio共同創業者ジェフ・ローソン氏、Shopify共同創業者兼CEOのトビアス・リュトケ氏とともに、SocketのシリーズBに参加した。
一方、Socketの顧客には、Anthropic、Harvey、Figma、Vercel、米国4大銀行の1つ、そして「最大かつ最も認知度の高いAI企業」などが含まれる(最後の部分は自由に解釈してください)。
アブカディジェ氏は、新たなシリーズBラウンドを「先制的」と表現し、ソケットは昨年8月に調達したシリーズAの資金をまだ使っていないと主張した。
「2024年には売上高が400%増加する見込みです」とアブカディジェ氏はTechCrunchに語った。「Socketは現在100社以上の顧客を抱え、7,500以上の組織を保護し、30万のコードリポジトリを防御し、世界中で100万人以上の開発者をサポートしています。」
この新たな資金調達により、Socketの調達総額は6,500万ドルに達した。アブカディジェ氏は、この時期をオープンソースの歴史における転換期と表現した。同氏は、AIはますます多くのコードの作成に利用されており、セキュリティホールの危険性が生じていると指摘した。
「今こそ資金調達の絶好のタイミングでした」とアブカディジェ氏は述べています。「新たなAI攻撃ベクトルの出現により、Socket社はAI搭載ツールによって生成されるコードにセキュリティ保証を組み込むという喫緊の課題に直面しています。Socket社の技術は市場におけるこの重大なギャップを埋めるものであり、今回の追加資金はその効果をさらに拡大するでしょう。」
従業員32名のSocketは、スタンフォードに本社を置く同社のエンジニアリング、製品、設計、販売の側面に重点を置き、年末までにチームを50人に拡大する計画だ。
TechCrunchではAIに特化したニュースレターを配信しています! 毎週水曜日に受信ボックスに配信されますので、こちらからご登録ください。
