開発者がオープンソースの依存関係を管理および保護するために使用できるプラットフォームを提供する Endor Labs は本日、Lightspeed Venture Partners が主導し、Coatue、Dell Technologies Capital、Section 32、および多数のエンジェル投資家が参加した 7,000 万ドルのシリーズ A 資金調達ラウンドを完了しました。
この新たな資金調達はシリーズAとしてはかなり規模が大きく、設立からわずか10ヶ月で行われたもので、これによりEndorの累計調達額は9,500万ドルに達した。共同創業者兼CEOのVarun Badhwar氏は、この資金は55人の従業員の増員と、市場開拓活動の拡大と並行したEndorの既存の技術力の「深化」に充てられると述べている。
「資金調達が逼迫し、投資家がより綿密なデューデリジェンスに多くの時間を費やしているこの時期に、シリーズAラウンドで多額の資金を調達できたことを誇りに思います」と、バドワール氏はTechCrunchのメールインタビューで語った。「現在の経済情勢とパンデミックは、多くのセキュリティチームが現在直面している状況、そしてEndor Labsが解決を使命としている問題の一因となっています。」
Endor Labsは、2021年にBadhwar氏とDimitri Stiliadis氏によって設立されました。2人はそれぞれRedLockとAporetoを創業していました。Palo Alto Networksで開発者チームを率いていた頃、エンジニアリングの生産性とソフトウェアサプライチェーンのセキュリティのバランスを取るのに苦労したと語っています。
「開発者たちは、自社のパッケージに含まれるオープンソースソフトウェアコンポーネントのうち、どれが他のコンポーネントに影響を与えずに安全にアップデートできるかを確認するために、定期的に社内チャットを利用していました」とバドワール氏は述べた。「そうでなければ、知る術がなかったのです。」
バドワール氏は、オープンソースはソフトウェア企業のビジネスに欠かせないものとなっているが、同時にセキュリティ上の脅威も増大していると指摘する。
GitHubの2022年版Octoverseレポートによると、アプリの97%がオープンソースソフトウェアを活用しており、企業の90%が何らかの形でオープンソースソフトウェアを適用または使用しています。これはオープンソースエコシステムにとって明るい材料であり、Octoverseレポートによると、過去数年よりも多くの企業がオープンソースソフトウェアコミュニティを構築していることが明らかになっています。しかし同時に、組織がエクスプロイトにさらされる可能性も高まっています。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
今日、企業は数千ものオープンソースパッケージを活用しており、これらのパッケージにはそれぞれ数十もの「推移的な」依存関係、つまり他のオープンソースコードとの依存関係が存在します。脆弱性の大半(Endorの推定では最大95%にも上りますが(この数字は鵜呑みにしないでください)、こうした推移的な依存関係に存在しています。
シノプシスの調査によると、オープンソースパッケージを利用する企業における高リスクの脆弱性は、2019年以降、少なくとも42%増加しています。この調査では、EdTech、自動車、IoT、その他の関連業界の企業から1,700以上のコードベースを監査し、コードベースに含まれるオープンソースパッケージの89%が4年以上更新されていないことが判明しました。
注目を集めたハッキング事件により政策立案者は行動を起こすようになり、米国のオープンソースソフトウェア保護法や大統領令14028などの法律が制定された。
「今日の現実として、現代のアプリケーションのコードの多くはオープンソースリポジトリに依存しています」とバドワール氏は述べた。「これらのコードのほとんどは、開発者が実際に選択したものではなく、コードベースに自動的に組み込まれた間接的な依存関係です。その結果、開発者はアラートの調査、セキュリティツールの統合、優先順位の調整に過度の時間を費やしています。同時に、アプリセキュリティチームは、開発者に莫大な「生産性税」を課さずに業務を遂行することはできません。」
バドワール氏によると、Endorはオープンソースコード内の「到達可能」かつ「悪用可能な」リスクを明らかにするプラットフォームとして立ち上げられました。その後、堅牢なアプリセキュリティプログラムの構築に重点を置いた、コードおよびソフトウェア開発パイプラインのガバナンスサービスへと拡大しました。
Endor を使用すると、企業は開発パイプラインのセキュリティ体制を監視し、開発者のコードへのアクセスを管理し、コードベースにハードコードされた秘密 (パスワードなど) を注意深く監視することができます。
Endorは最近、「DroidGPT」をリリースしました。これは、OpenAIのAI搭載チャットボットChatGPTとEndorのリスクデータを組み合わせることで、オープンソースの選択を支援するAIツールです。ユーザーは、「Javaに最適なロギングパッケージはどれか?」といった質問に、各パッケージの品質、人気、信頼性、セキュリティを示すリスクスコアを含む回答を得ることができます。
「大企業では、アプリセキュリティエンジニア1人に対して、数百人、あるいは数千人の開発者が関わることがよくあります」とバドワール氏は述べています。「経営幹部は、セキュリティがあらゆるソフトウェア製品にとって不可欠な要素であることを理解していますが、同時に運用予算にも配慮しています。Endor Labsは、このバランスをとるお手伝いをします。アプリセキュリティチームは、重要なリスクのみを洗い出し、それらのリスクに対処する必要がある理由を伝えるために必要な証拠を収集することができます。」
Endorはオープンソースのセキュリティ管理分野で競合相手を抱えており、Badhwar氏はSnykを最大のライバルの一つとして挙げています。しかし、Endorには直接的な競合相手はいないとBadhwar氏は主張しています。
「既存のソリューションは大部分が不完全で不正確です。ライセンスと脆弱性コンプライアンスに主に焦点を当てた最先端のSCAツールやアプローチでさえ、不十分です」とバドワール氏は述べた。「せいぜい、それ自体が遅れている単一のリスクベクトル、つまり既知の脆弱性、通常は善意の開発者のコードに存在するバグを追跡しているだけです。」
ベンダーは異論を唱えるかもしれない。しかし、大げさな宣伝はさておき、Endorは発売後2四半期でFive9、RocketLawyer、MileIQ、Cowbell、Navanといった顧客を獲得することに成功した。
バドワール氏はエンドルが2年以内に収益性を達成すると予想している。
「当社の独自のアプローチが市場で受け入れられたことは間違いありません」と彼は述べた。「当社の技術は、重要でありながらほとんど見過ごされてきた問題に対処しています。次世代のカスタマイズアプリケーションへの需要が高まり続け、インフラへの攻撃がより巧妙化する中で、この重要な分野はますます重要性を増していくでしょう。2022年秋にステルスモードから脱却して以来、幅広い顧客、投資家、そして高い評価を獲得してきました。当社は明らかに喫緊のニーズに応え、優秀な人材を惹きつけています。今回の資金調達により、事業をさらに大きく、幅広く展開していく時が来ました。」
