企業がソフトウェア開発に使用するコードのうち、オープンソースの割合は増加傾向にあります。ソフトウェアサプライチェーン管理プラットフォームであるTideliftが2018年に実施した調査では、プロのソフトウェア開発者の92%が、自社のアプリにオープンソースライブラリが含まれていると回答しました。これは前向きな傾向です。オープンソースは透明性をはじめ、多くのメリットをもたらしますが、コードに脆弱性が含まれているかどうかの可視性が低いなど、欠点もあります。
多くのベンダーがオープンソースセキュリティの問題に取り組んでおり、パッケージのメタデータと記述子をスキャンして既知の脆弱性を発見するツールを提供しています。しかし、Varun Badhwar氏は、それらの対策は不十分だと主張しています。彼は、従業員30名強のスタートアップ企業Endor Labsの共同創業者です。Endor Labsは、グラフ分析技術を用いて組織内での依存関係の利用状況を把握し、リスク指標を作成しています。
投資家の関心の高さを示すかのように、本日プライベートベータ版でステルス状態から脱却したEndorは、Lightspeed Venture Partners、Dell Technologies Capital、Sierra Ventures、そしてPalo Alto Networks CEOのNikesh Arora氏を含むエンジェル投資家から、これまでに2,500万ドルを調達しました。Badhwar氏はTechCrunchに対し、これまで非公開だったこの資金は、Endorの研究開発を拡大しながら成長を支えるために使われていると述べています。
「ソフトウェアサプライチェーンへのリスクがまだ役員会の優先事項になっていないとしても、すぐにそうなるでしょう」と、バドワール氏はTechCrunchのメールインタビューで語った。「オープンソースソフトウェアは開発速度を高めるための豊富なリソースを提供しますが、大規模な依存関係の拡散は開発を阻害し、攻撃対象領域を拡大します。その数字は実に驚くべきものです。従業員1万人以上の大企業では、200万以上の依存関係があります。その結果、開発者は依存関係の維持、トラブルシューティング、更新に苦労し、大量の誤検知によるアラートへの対応に多くの時間を費やしています。一方、セキュリティチームは真の可視性に欠けています。(中略)この問題は技術的な問題に見えるかもしれませんが、アプリ主導の時代である今日、業務のあらゆる側面に影響を及ぼしています。」
バドワール氏の指摘に関連して、米国国土安全保障省が最近発表した報告書によると、ある米国政府機関がJavaベースのログユーティリティであるApacheのLog4j2ライブラリの脆弱性への対応に数ヶ月を費やしたことが明らかになった。これは、セキュリティチームがソフトウェア環境内のどこに脆弱なパッケージが存在するかを特定できなかったことが一因となっている。ホワイトハウスは、ソフトウェアサプライチェーンのセキュリティというより広範な問題への対応に尽力しており、これを国家安全保障上の問題であると公然と宣言し、緩和基準の確立を目的とした大統領令を発令している。
Endorの共同創業者となる以前、バドワール氏はクラウドインフラセキュリティのスタートアップ企業RedLockを率いていました。同社は2018年にPalo Alto Networksに買収されました。買収後はPalo Alto NetworksでPrisma CloudのSVP兼GMを務め、CTOのディミトリ・スティリアディス氏と共に活躍しました。スティリアディス氏は、自身のスタートアップ企業Aporetoの買収に伴いPalo Alto Networksに入社しました。スティリアディス氏は、以前はAlcatel-Lucentのベンチャー部門と、ソフトウェア定義ネットワークソリューションを開発するテクノロジー企業Nuage NetworksのCTOを務めていました。
バドワール氏によると、2020年のSolarWindsの侵害を受けて、ソフトウェアアップデートとコード展開の潜在的な影響をより適切に分析できるサービスの開発に意欲を燃やしたという。両氏は、既存のツールではサプライチェーン攻撃の「全種類」を見逃し、善意の開発者のコードバグに起因する脆弱性などに関する誤検知で企業を混乱させ、修復の優先順位付けを行う手段も提供されていないと感じていた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
「現代のアプリケーションのコードの80%は社内開発者によって書かれたものではなく、インターネット上のオープンソースパッケージから検証なしにプルダウンされたもので、企業は平均して4万以上のオープンソースパッケージに依存していることが判明しました。これらのパッケージはそれぞれ、平均77個の追加の依存関係を生み出しています」とバドワール氏は述べ、セキュリティチームがアラートに圧倒され、鈍感になっていることを示す調査結果に言及しました。「これは大規模で制御不能なスプロールを引き起こし、開発を遅らせると同時に攻撃対象領域を拡大させます。」
この問題を解決するため、EndorはBadhwar氏が「ディープ・プログラム分析」と呼ぶ手法を用いて、組織のソフトウェアの依存関係グラフを構築します。このグラフは、組織内で依存関係がどのように使用されているかを示します。具体的には、どの依存関係がコードから呼び出されているか、どの依存関係が未使用か、どの脆弱なパッケージが悪用される可能性があるかを示します。各依存関係には、品質、セキュリティ、メンテナーの活動、人気度、相互参照されたCI/CDデータに基づいてスコアが付けられます。
Endorは、セキュリティと運用リスクの測定ツールに加え、未使用またはメンテナンスされていない依存関係を削除するためのツールも提供しています。Badhwar氏は、このグラフを使用してソフトウェア部品表を作成し、企業のソフトウェアインベントリの信頼できる情報源を確立できると指摘しています。
「当社の依存関係ライフサイクル管理プラットフォームは、依存関係グラフ全体を包括的かつ詳細に可視化し、リスクを特定して優先順位付けする多次元シグナルを提供します。これにより、お客様はより優れた依存関係を大規模に選択、保護、監視、維持することができます」とバドワール氏は述べています。「私たちが構築し、さらに開発を続けているのは、迅速かつスピーディーなインテリジェントな意思決定と開発を可能にするプラットフォームであり、大規模なソフトウェアの再利用をより迅速かつ容易に、そしてはるかに安全に実現します。」
バドワール氏は、Endorのプラットフォームは他の多くのプラットフォームよりも包括的であると主張しているが、この分野では新たなライバルが定期的に登場している。9月には、エンタープライズソフトウェアのサプライチェーン強化サービスを提供するOx Securityが、3,400万ドルの資金調達でステルス状態から脱却した。別の競合であるChainguardは、オープンソースソフトウェア向けセキュリティツールの開発のために数百万ドルを調達している。CycodeやDusticoも存在し、後者は2021年8月にCheckmarxによって非公開の金額で買収された。
パロアルトに拠点を置くEndorがしのぎを削っているのは、スタートアップ企業だけではない。5月には、Google、Amazon、Ericsson、Intel、Microsoft、VMwareを含む業界団体が、Linux FoundationおよびOpen Source Security Foundationと協力し、オープンソースソフトウェアのセキュリティ向上に3,000万ドルを拠出することを約束した。しかし、Endorの顧客基盤や収益に関する指標を一切明らかにしなかったバドワー氏は、これらの企業をビジネス上の脅威とは考えていない。
それは必ずしも無謀な考え方ではありません。サイバー分野におけるVCの資金調達は依然として好調で、Momentum Cyberによると、2022年上半期には531件の取引で125億ドルが投資されました。これは2021年上半期(126億ドル)に匹敵する規模です。
「私たちは、極めて大規模な市場における困難な技術的課題を解決するという大きな野心を持っています。…Endorは過去1年間、ステルス運用を続け、その間に重要な顧客や見込み客と関わってきました」とバドワール氏は述べた。「オープンソースソフトウェアのセキュリティが、世界規模ではなくとも、国内規模で注目を集めるようになった今、タイミングは理想的と言えるでしょう。…この1年間で75以上の組織からフィードバックをいただき、製品に反映させています。現在、従業員数200人から3万5000人規模の複数の企業でプライベートベータ版を提供しています。」
