Cloudsmith, mendapatkan investasi sebesar 72 juta dolar AS... Penyebaran AI menyebabkan peningkatan kebutuhan keamanan rantai pasokan

Manajemen komponen perangkat lunak startup Cloudsmith berhasil menarik investasi baru sebesar 72 juta dolar AS. Jika dihitung dalam won Korea, skala tersebut sekitar 106,38 miliar won Korea. Dalam konteks penyebaran cepat pengembangan sumber terbuka dan kecerdasan buatan, permintaan terhadap “keamanan rantai pasokan perangkat lunak” semakin meningkat, yang dianggap sebagai faktor latar belakang dari putaran investasi ini.

Putaran pendanaan Seri C ini dipimpin oleh TCV. TCV juga merupakan investor terbesar dalam putaran pendanaan sebelumnya dari Cloudsmith tahun lalu. Dalam putaran pendanaan ini, investor yang sudah ada serta Insight Partners juga turut berpartisipasi. Dengan demikian, total pendanaan eksternal kumulatif Cloudsmith telah melebihi 110 juta dolar AS.

Kantor pusat Cloudsmith yang berlokasi di Belfast, Irlandia Utara, menyediakan platform cloud yang memungkinkan tim pengembang mengelola berbagai komponen aplikasi dan file yang digunakan secara terpusat. Singkatnya, ini lebih mirip platform penyimpanan dan verifikasi untuk perusahaan, yang digunakan untuk mengelola aset perangkat lunak seperti proyek sumber terbuka, skrip konfigurasi, model kecerdasan buatan, file sistem operasi, dan lain-lain secara terpusat.

Layanan ini menarik perhatian karena lingkungan perusahaan semakin kompleks. Pengembang tidak hanya mengunduh komponen dari GitHub, tetapi juga dari berbagai repositori eksternal lainnya. Misalnya, model kecerdasan buatan sering diambil dari platform independen seperti Hugging Face. Masalahnya, dari sudut pandang manajemen keamanan, memverifikasi satu per satu apakah elemen eksternal ini memenuhi standar keamanan siber memakan waktu dan biaya yang besar.

Cloudsmith berfokus untuk mengurangi beban semacam ini. Konsep desainnya adalah, administrator tidak perlu memantau secara terpisah repositori eksternal yang tersebar di berbagai situs, melainkan dapat mengelola komponen secara terpusat di dalam platform. Keunggulannya terutama terletak pada kemampuannya untuk tidak hanya menyimpan kode secara sederhana, tetapi juga mengelola berbagai macam “produk”. Produk adalah istilah umum untuk berbagai file yang digunakan dalam proyek perangkat lunak.

Integrasi Pemeriksaan Kontainer dan Model AI

Cloudsmith juga mendukung penyimpanan kontainer perangkat lunak. Sebuah kontainer mungkin berisi puluhan bahkan ratusan produk independen, masing-masing berpotensi menjadi risiko keamanan. Untuk mengurangi kompleksitas ini, perusahaan secara otomatis akan menghasilkan “Daftar Bahan Perangkat Lunak” (SBOM) untuk setiap kontainer. SBOM adalah dokumen yang merinci elemen-elemen yang membentuk lingkungan kerja tertentu.

Fungsi pemeriksaan keamanan juga telah diperkuat. Sebelum merilis komponen sumber terbuka dalam bentuk yang dapat diunduh, Cloudsmith akan memeriksa terlebih dahulu kerentanan yang diketahui. Tingkat risiko kerentanan dievaluasi menggunakan kerangka kerja yang disebut “Skor Prediksi Eksploitasi Kerentanan” (EPSS). Ini adalah standar untuk memperkirakan kemungkinan hacker memanfaatkan kerentanan tersebut dalam 30 hari ke depan.

Perusahaan menyatakan bahwa mereka juga akan mendeteksi masalah lain selain kerentanan. Misalnya, menemukan ketentuan lisensi yang berpotensi membebani proyek perangkat lunak. Ini berarti mampu menyaring sebelumnya risiko lisensi yang dapat langsung mempengaruhi layanan perusahaan, seperti ketentuan yang melarang penggunaan komersial.

Pengembangan AI dan Kebutuhan Keamanan Rantai Pasokan Meningkat

Klien Cloudsmith juga dapat menggunakan data yang ditemukan di platform untuk merancang strategi otomatisasi. Misalnya, secara otomatis memblokir komponen sumber terbuka yang mengandung kerentanan risiko tinggi. Alur kerja otomatis ini ditulis menggunakan bahasa khusus bernama “Rego”, yang umum digunakan dalam konfigurasi infrastruktur cloud dan bidang terkait lainnya.

CEO Glenn Weinstein mengatakan, “Agen AI menghasilkan sejumlah besar perangkat lunak dengan kecepatan yang sangat cepat, sehingga manusia hampir tidak mampu melakukan pemeriksaan secara teliti satu per satu. Dengan kemampuan dan skalabilitas untuk secara luas meninjau seluruh ekosistem sumber terbuka, Cloudsmith mampu melindungi perusahaan dari ancaman baru yang muncul dari pengembangan yang didominasi AI.”

Cloudsmith berencana menggunakan dana yang terkumpul untuk meningkatkan fitur di masa depan. Terutama akan fokus pada penambahan fungsi pengendalian keamanan siber dan otomatisasi berbasis AI. Pasar secara umum percaya bahwa semakin cepat pengembangan AI berlangsung, semakin penting pula platform “keamanan rantai pasokan” yang mendukungnya.