初创公司 Socket 宣布完成了 2000 万美元的 A 轮融资,由 Andreessen Horowitz (a16z) 领投,跟投的包括 Abstract Ventures 和 Michael Ovitz,以及众多知名天使投资人 Box(Aaron Levie)、Figma(Dylan Field)、Okta(Frederic Kerrest)、Vercel(Guillermo Rauch)和 Eventbrite(Julia 和 Kevin Hartz)的联合创始人等。
Socket 是一家提供扫描工具来检测开源代码中安全漏洞的初创公司,旨在保护应用程序免受潜伏在开源供应链中的恶意依赖项的影响。随着此轮融资的完成,a16z 的普通合伙人兼 Signal Sciences 联合创始人 Zane Lackey 将加入 Socket 董事会。
Socket 首席执行官 Feross Aboukhadijeh 向 TechCrunch 透露,新的现金加上该公司之前的 460 万美元种子投资(使公司融资总额达到 2460 万美元),将用于扩大 Socket 团队并扩大对更多编程语言和集成的支持。
“在过去十年间,开源软件显然已经胜出。自由共享代码使得构建软件的成本大大降低、速度加快,技术创新也因此加速。但安全往往是事后才想到的。新技术之所以传播是因为它有用,而不是因为它安全。犯罪分子正在利用对开源软件的信任来实施肆无忌惮的攻击,传播破坏性恶意软件。”
Aboukhadijeh 解释称,与其他同类软件相比,Socket 的与众不同之处在于它不仅仅查找客户使用的软件来查看漏洞是否已报告给公共数据库。相反,它会更深入地试图减少在分析数千行第三方代码时可能出现的问题。
“与传统的安全扫描器不同,Socket 实际上可以检测主动的供应链攻击并帮助你阻止它。与传统的静态分析工具不同,Socket 提供有关依赖风险的可操作反馈,而不是数百个无意义的警报。”
具体来说,Socket 会查找软件中的高级危险信号,例如恶意软件、抢注(出于恶意目的注册常见拼写错误的域名)、误导性软件包和未维护的代码,以及未知的维护者和过多的权限。该平台提供了搜索功能,允许用户深入代码库以查找和跟踪依赖项的变化;此外还提供了一个免费的网络浏览器扩展,用于判断开源软件包是否安全和可信。
且在生成式 AI 的热潮下, Socket 最近还推出了 ChatGPT(OpenAI 的人工智能聊天机器人)的连接器,它可以总结软件包中的潜在问题,尤其是“uncommon”的代码模式。