Rantai pasokan perangkat lunak, yang terdiri dari komponen, perpustakaan, dan proses yang digunakan perusahaan untuk mengembangkan dan menerbitkan perangkat lunak, berada dalam ancaman.
Menurut sebuah survei baru-baru ini, 88% perusahaan percaya bahwa keamanan rantai pasokan perangkat lunak menimbulkan “risiko bagi seluruh perusahaan” bagi organisasi mereka, sementara hampir dua pertiga (65%) percaya bahwa program keamanan rantai pasokan perangkat lunak organisasi mereka belum matang. seperti seharusnya. Jajak pendapat terpisah menemukan bahwa jumlah rata-rata pelanggaran rantai pasokan meningkat menjadi sekitar empat insiden per perusahaan pada tahun 2023, naik dari sekitar tiga insiden pada tahun 2022 – peningkatan sebesar 25%.
Sekarang, Anda mungkin menunjukkan – dan tidak salah – bahwa ada sejumlah vendor besar dan kecil di luar sana yang menangani tantangan keamanan rantai pasokan. Dan Anda tidak akan salah. Namun pendatang baru, Kusari, berpendapat bahwa mereka dapat bekerja lebih baik jika tim berasal dari industri jasa keuangan dan pertahanan.
Investor tampaknya bersedia untuk membeli. Bulan ini, Kusari – yang merupakan senjata feodal Jepang kusari-fundo — mengumpulkan $8 juta melalui putaran pendanaan pra-seed dan seed yang melibatkan J2 Ventures, Glasswing Ventures, dan Unusual Ventures. Dana tersebut akan digunakan untuk membangun platform software-as-a-service (SaaS) Kusari, kata salah satu pendiri dan CEO Tim Miller, dan mengembangkan tim startup dari delapan orang menjadi sekitar 15 orang.
“Ada kurangnya pendidikan mengenai manajemen rantai pasokan perangkat lunak dan peralatan, spesifikasi, dan standar dalam bidang tersebut,” kata Miller kepada TechCrunch dalam sebuah wawancara email. “Platform Kusari bertindak seperti GPS untuk menavigasi masalah rantai pasokan, membantu kepala petugas keamanan informasi memahami dan mempertimbangkan risiko perangkat lunak yang mereka hadapi — dan membantu staf DevOps dengan mudah dan otomatis memperbaiki masalah tersebut.”
Miller mendirikan Kusari bersama Michael Lieberman dan Parth Patel pada tahun 2022. Sebelum Kusari, Miller adalah direktur teknik di Citi, tempat ia bertemu Lieberman, sementara Patel adalah insinyur sistem keamanan siber senior di Raytheon.
Miller mengatakan bahwa dia, Lieberman, dan Patel terdorong untuk meluncurkan Kusari karena masalah yang sama: mengetahui perangkat lunak dan dependensi mana yang digunakan oleh aplikasi atau sistem tertentu pada saat tertentu.
“Berada dalam kegelapan menyebabkan banyak masalah, seperti lambat bereaksi terhadap kerentanan keamanan, mengetahui jika ada masalah perizinan atau kepatuhan, dan bahkan pemeliharaan dasar seperti 'Siapa yang harus saya hubungi jika ini rusak?',” kata Miller. “Kami mendirikan Kusari untuk menghadirkan transparansi dan keamanan pada rantai pasokan perangkat lunak dengan membuatnya mudah untuk mempertimbangkan apa yang ada dalam perangkat lunak suatu organisasi — dan menunjukkan kepada Anda apa yang harus dilakukan untuk mengatasinya.”
Untuk mencapai tujuan tersebut, Kusari memanfaatkan proyek open source Guac – yang dikontribusikan oleh Miller, Lieberman, dan Patel – untuk menemukan komponen yang paling sering digunakan dalam rantai pasokan perangkat lunak dan mengidentifikasi paparan terhadap ketergantungan yang berisiko. Kusari — didukung oleh Guac — juga dapat menentukan kepemilikan aplikasi dalam suatu organisasi, memastikan bahwa aplikasi memenuhi kebijakan organisasi, dan menentukan perubahan di antara berbagai versi perangkat lunak.
Di sisi remediasi, Guac – dan Kusari – dapat menentukan “radius ledakan” dari paket buruk atau kerentanan dan memberikan rencana untuk memperbaikinya. Ia juga dapat melacak titik asal eksploitasi, menunjukkan dengan tepat kapan — dan di mana — eksploitasi tersebut diperkenalkan.
Miller melihat Legit Security, Ox Security, dan Snyk sebagai pesaing Kusari yang paling tangguh. Namun dia menekankan pendekatan open source Kusari, yang menurutnya unik.
“Kami memiliki model bisnis open source plus SaaS,” katanya. “Strategi awal kami adalah memberikan validasi pada pendekatan ini melalui produk sumber terbuka; produk SaaS kami akan dirilis akhir tahun ini. Kami percaya bahwa kami dapat secara signifikan mengurangi biaya penanganan kerentanan perangkat lunak sekaligus meningkatkan kepercayaan diri dalam melakukan hal tersebut, memungkinkan para pengambil keputusan di bidang teknologi memahami kesehatan rantai pasokan perangkat lunak mereka dan dengan cepat menentukan apakah ada risiko yang belum ditangani.”
Kemampuan masa depan yang sedang dikembangkan mencakup chatbot mirip ChatGPT yang memungkinkan pengguna “mengobrol” dengan Guac (melalui Kusari) untuk memeriksa dan mendapatkan penanganan yang lebih baik pada rantai pasokan organisasi, misalnya dengan mengajukan pertanyaan seperti “Kontainer mana yang sedang berjalan yang memiliki hal tersebut? dan kerentanan seperti itu?”
Miller mengatakan bahwa timnya sedang berusaha keras untuk menjalankan “lean” untuk saat ini, dengan fokus pada mempekerjakan “segelintir ahli” yang dapat membantu Kusari berkembang dengan cepat. Platform ini masih belum diluncurkan — namun startup tersebut menargetkan ketersediaan umum pada akhir tahun ini.
“Sebagai akibat dari perlambatan ini, kami melihat beberapa mitra desain potensial menarik diri dari kolaborasi karena mereka fokus pada inisiatif bisnis yang lebih penting,” tambah Miller, “namun perlambatan ini tidak berdampak besar pada kami seperti mitra lainnya. Kami menggunakan teknologi terbaru dan terhebat yang dibangun di atas sumber terbuka untuk menjadikan pembangunan dan penskalaan platform kami hemat biaya.”