Cloudsmith, recebe US$ 72 milhões em investimento... Crescimento na demanda por segurança na cadeia de suprimentos devido à difusão de IA

A startup de gerenciamento de componentes de software Cloudsmith atraiu com sucesso 72 milhões de dólares em novos investimentos. Em won coreano, o valor é aproximadamente 106,38 bilhões de won. Em um contexto de rápida popularização do desenvolvimento de código aberto e inteligência artificial, a demanda das empresas por “segurança na cadeia de suprimentos de software” está crescendo, sendo considerada uma das razões para esta rodada de investimento.

Esta rodada de financiamento Série C foi liderada pela TCV. A TCV também foi a maior investidora na rodada anterior de financiamento da Cloudsmith no ano passado. Nesta rodada, investidores existentes e a Insight Partners também participaram do investimento. Assim, o total de financiamento externo acumulado da Cloudsmith ultrapassou 110 milhões de dólares.

Com sede em Belfast, Irlanda do Norte, a Cloudsmith oferece uma plataforma na nuvem que permite às equipes de desenvolvimento gerenciar centralmente diversos componentes de aplicativos e arquivos utilizados. Simplificando, ela funciona mais como uma plataforma de armazenamento e validação voltada para empresas, usada para consolidar e gerenciar ativos de software como projetos de código aberto, scripts de configuração, modelos de inteligência artificial, arquivos de sistema operacional, entre outros.

O motivo pelo qual esse serviço tem recebido atenção é que o ambiente corporativo está se tornando cada vez mais complexo. Os desenvolvedores não apenas baixam componentes do GitHub, mas também de múltiplos repositórios externos. Por exemplo, modelos de inteligência artificial frequentemente são obtidos de plataformas independentes como Hugging Face. O problema, do ponto de vista da gestão de segurança, é que verificar individualmente se esses elementos externos atendem aos padrões de segurança cibernética exige muito tempo e custos.

A Cloudsmith foca em aliviar essa carga. Sua filosofia de design é que os administradores não precisam monitorar separadamente repositórios externos dispersos em vários sites, podendo gerenciar os componentes de forma unificada na plataforma. Sua característica principal é que ela não apenas armazena código de forma simples, mas também consegue lidar com diversos tipos de “produtos”. Produtos são uma denominação geral para os vários arquivos utilizados em projetos de software.

Integração de verificação de containers e modelos de IA

A Cloudsmith também suporta armazenamento de containers de software. Um container pode conter dezenas ou mais de produtos independentes, cada um potencialmente representando um risco de segurança. Para reduzir essa complexidade, a empresa gera automaticamente uma “lista de materiais de software”, ou SBOM, para cada container. SBOM é um arquivo que organiza os elementos que compõem um ambiente de trabalho específico em uma lista.

A funcionalidade de verificação de segurança também foi aprimorada. Antes de publicar componentes de código aberto em um estado de download, a Cloudsmith realiza uma verificação de vulnerabilidades conhecidas. O risco dessas vulnerabilidades é avaliado usando uma estrutura chamada “Sistema de Pontuação de Previsão de Exploração de Vulnerabilidades” (EPSS). Este é um padrão que estima a probabilidade de hackers explorarem uma vulnerabilidade nos próximos 30 dias.

A empresa afirma que também detecta outros problemas além de vulnerabilidades. Por exemplo, identifica cláusulas de licença que podem representar um peso para o projeto de software. Isso significa que ela consegue filtrar previamente riscos de licença que possam impactar diretamente os serviços empresariais, como condições que proíbam uso comercial.

Crescimento na demanda por segurança na cadeia de suprimentos devido ao desenvolvimento de IA

Clientes da Cloudsmith podem também criar estratégias automatizadas com base nos dados descobertos na plataforma. Por exemplo, interceptar automaticamente componentes de código aberto com vulnerabilidades de alto risco. Esse fluxo de trabalho automatizado é escrito usando uma sintaxe especializada chamada “Rego”, frequentemente utilizada em configurações de infraestrutura na nuvem.

O CEO Glenn Weinstein afirmou: “Agentes de IA estão gerando uma quantidade enorme de software a uma velocidade extremamente rápida, tornando quase impossível para os humanos revisarem tudo cuidadosamente uma por uma. Com sua capacidade de examinar amplamente todo o ecossistema de código aberto e sua escalabilidade, a Cloudsmith pode proteger as empresas contra novas ameaças trazidas pelo desenvolvimento liderado por IA.”

A Cloudsmith planeja usar os fundos arrecadados para aprimorar futuras funcionalidades, especialmente focando em aumentar os controles de segurança de rede e funcionalidades de automação baseadas em IA. O mercado acredita que, quanto mais rápido for o desenvolvimento de IA, maior será a importância de plataformas de “segurança na cadeia de suprimentos” que as suportam.