Kubernetesオープンソースプロジェクトの立ち上げに尽力した後、Kubernetesの共同創設者であるクレイグ・マクラッキー氏とジョー・ベダ氏は、2016年にGoogleを退社し、Heptioを設立しました。その後、2018年に同社をVMwareに売却しました。2人とも2022年にVMwareを退社し、マクラッキー氏はAccelの起業家レジデンスとして短期間活動した後、ステルススタートアップを設立しました。現在、このステルススタートアップはStacklokであることが分かっています。Stacklokは、ソフトウェアサプライチェーンのセキュリティに焦点を当てたツールとサービスの開発を目指しています。
Stacklokの開発にあたり、マクラッキー氏はCTOのルーク・ハインズ氏とチームを組みました。ハインズ氏は、多くのサプライチェーンスタックの中核を担うデフォルトのオープンソースプロジェクトとなったsigstoreプロジェクトの創設者です。ハインズ氏によると、sigstoreは2020年のパンデミックによるロックダウンの初期、彼がRed Hatで働いていた頃に形を成したそうです。
「このアイデアはずっと前から頭の中にあったのですが、オープンソースのエコシステムには、ダークマターが山ほどあります。複雑に絡み合った依存関係が巨大なスパゲッティのように絡み合い、明確なパターンが見えていないのです」とハインズ氏は語った。「そこで、サプライチェーンの可観測性と透明性を確保するために、サプライチェーン台帳のようなものを構築するというアイデアを思いつきました。つまり、すべての情報が否認不能性と暗号署名を備えた、非常に堅牢な基盤から始めるということです。そうすれば、機械であれ人間であれ、それが特定のアイデンティティに結び付けられていることが分かります。ですから、非常に堅牢な信頼基盤、つまり信頼のファブリックから始めれば、その上に層を重ねていくことができるのです。」
現在、sigstore は Linux Foundation の Open Source Security Foundation (OpenSSF) の一部です。ソフトウェアサプライチェーンのセキュリティはソフトウェアエコシステム全体の優先事項であり、開発者が自身のプロジェクトや使用するライブラリに署名と検証を行うのに役立つ sigstore のようなツールは、より安全なソフトウェアを構築するための中核ツールとなっています。共同創設者の二人は Stacklok の製品計画についてはまだ多くを語っていませんが、sigstore がこのプロジェクトの中核を担うことは明らかです。
マクラッキー氏も、ここしばらくサプライチェーンのセキュリティについて考えてきたと語り、物作りが恋しかったと付け加えた。「会社を作ることほど楽しいことはありませ ん 」と彼は言った。「 サプライチェーンのセキュリティ問題については、長い間考えてきました。SolarWindsの事件が起こるずっと前から、このことについて話していました。私の中では、これは攻撃者にとって明らかな攻撃ベクトルのように思えました。企業組織について考えてみると、その主な差別化 要因の一つは 、ビジネス上の問題を解決するためにテクノロジーを生産し、利用する能力です 。そして、国家レベルのアクターと商業ハッカーが奇妙な形で融合し、世界がますます暗く、より危険になっている のを見ると、 彼らはほぼ区別がつくようになっています。そうした人が 注目し始めるのは、サプライチェーンであるのは当然のことだと思いました 。企業が利用するものを、サプライチェーンにどのように組み込めばいいのか、ということです。 」
多くの点で、オープンソースのサプライチェーン・セキュリティ・エコシステムは、初期のKubernetesエコシステムと似た状況にあります。基本的な構成要素の一部は既に利用可能ですが、この技術を幅広い潜在的ユーザーがより利用しやすくするためには、まだ多くの作業が必要です。多くの開発者は、安全なコードを書き、信頼できるパッケージのみを使用することを望んでいますが、結局のところ、暗号の専門家ではありません。一方、セキュリティを取り巻く状況は変化し続けており、大統領令14028号により、米国ではセキュリティが国家の優先事項となっています。
ルークと私が抱いているビジョンは、開発者から着手し、より良いソフトウェアを開発するために何をすべきかについて、明確かつ正確な洞察を提供することです。開発者が使用している依存関係や操作上の好みをより深く理解することです。そうすることで、開発者は台帳に書き込めるデータを作成し始め、自分の作業を効果的に示せるようになります。『ほら、これを作った時はちゃんとやっていたんだ』と。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
そのため、Stacklokは早期に、こうした出自データを開発者に直接公開し、この技術をより透明性が高くアクセスしやすいものにするツールを開発したいと考えています。McLuckie氏は、チームはまずGitHubとの統合に着手する可能性が高いと示唆しましたが、ベータ版のリリース準備が整うまで、計画の大部分は非公開としています。
「私たちは、この好循環、つまりエンゲージメントのフライホイール(回転する車輪)を作りたいのです」とマクラッキー氏は述べた。「しかし、チームが何を必要としているかを考え始めると、より興味深い商業的な側面が私たちにとって関わってくるのです。開発者がこれを消費し、活用し、プロジェクト情報を生成し始めると、当然ながら次に浮かぶのは、それがどこにあるのか、そしてそれに基づいてどのようにポリシーを決定すればよいのか、という疑問です。そこで、私たちの商用製品ラインが役に立ちます。」
Stacklokは本日、シリーズAラウンドで1,750万ドルを調達したと発表しました。同社のシードラウンドについては触れていませんが、Stacklokはシードラウンドを省略し、最初の資金調達ラウンドをシリーズAと呼ぶことにしました(規模を考えれば当然のことです)。McLuckie氏がAccelの常駐起業家を務めていたことを考えると、同社がHeptioの初期投資家であるMadronaと共にStacklokにも投資するというのは、驚くには当たりません。
「ソフトウェアサプライチェーンセキュリティ市場は断片化しており、ポイントソリューションプロバイダーは数多く存在するものの、明確なプラットフォームリーダーは存在しません」と、マドロナのティム・ポーター氏とサブリナ・ウー氏は本日の発表で述べています。「Stacklokは 、そのユニークな経歴と、DevSecOpsプロセス全体にわたってプロアクティブかつ修復的な革新的なプラットフォームソリューションを構築する能力を備えており、独自の勝利を収める立場にあると確信しています。このソリューションは、CodeSecへの洗練された効果的なアプローチを提供し、時間の経過とともにAppSecシナリオにも自然に拡張されます。例えば、 Stacklokは、新たなデイゼロ脆弱性が発見された際に、本番環境パッケージの修復を強制的に実行し、コンテキスト情報を活用することでサプライチェーンの可視性を向上させることができると考えています。」
Heptioは、チームが構想していた製品ポートフォリオを完全に構築する前に、かなり早く売却されました。実際、この件についてMcLuckie氏に尋ねたところ、売却が早すぎたかもしれないと答えました。「あまりにも早すぎました。時期尚早でした。最高の仕事でした」と彼は言いました。しかし、Stacklokチームは長期的な視点で事業に取り組んでいると彼は主張しています。
Sigstore がオープンソース プロジェクト向けの無料ソフトウェア署名および検証サービスを開始
VMwareがKubernetesの共同創業者2人によって設立されたスタートアップ企業Heptioを買収
フレデリックは2012年から2025年までTechCrunchに在籍していました。また、SiliconFilterを設立し、ReadWriteWeb(現ReadWrite)にも寄稿しています。フレデリックは、エンタープライズ、クラウド、開発者ツール、Google、Microsoft、ガジェット、交通機関など、興味のあるあらゆる分野をカバーしています。
バイオを見る
