Empresa de gerenciamento de código aberto FOSSA levanta $ 23 milhões

A empresa lançou simultaneamente o FOSSA Security Management, um produto projetado para ajudar as organizações a proteger sua cadeia de suprimentos de software – ou seja, a inclusão e o uso descontrolado de software de código aberto em seu próprio desenvolvimento de software. O Technology Insight for Software Composition Analysis da Gartner, publicado em novembro de 2019, estimou que 90% do código em 90% do software em desenvolvimento e produção é open source. 

Em junho de 2020, o RiskSense relatou mais de 1.000 vulnerabilidades em apenas 54 projetos populares de código aberto durante 2019. Entre 2015 e 2020, quase 2.700 foram relatados e receberam designações CVE; e 89 dessas vulnerabilidades foram transformadas em armas. As empresas devem levar a sério a segurança do software de código aberto incluído em seu próprio desenvolvimento de software.

O problema vai além das vulnerabilidades e inclui manutenção precisa da licença de código aberto. Historicamente, porém, houve pouco para ajudar as empresas a fazer isso. Este é o objetivo do FOSSA Security Management, para fornecer uma solução completa de varredura de vulnerabilidade e licença para software de código aberto construída sobre padrões claros em equipes e cronogramas.

O CEO e fundador Kevin Wang descreveu o produto para SecurityWeek . Ele usa ferramentas de análise proprietárias para explorar o software de código aberto que está sendo usado no desenvolvimento para encontrar a vulnerabilidade e os problemas de licença que podem ser perdidos pelos desenvolvedores. Essa análise é integrada a um mecanismo de política centralizado. A política é geralmente definida pela equipe jurídica, a equipe de segurança e a equipe de engenharia e será diferente de empresa para empresa e até mesmo de aplicativo para aplicativo. A política define as regras de governança em torno de como é a postura de gerenciamento de vulnerabilidade da empresa, quais licenças são aceitáveis ​​e o que é considerado código de alta qualidade.

“O importante”, disse Wang, “é que você tenha um local centralizado onde essas regras possam ser mantidas e de onde possam ser automaticamente quantificadas e aplicadas ao longo do processo de desenvolvimento.”

“Com o FOSSA”, diz a empresa, “as organizações podem monitorar ativamente seu software de código aberto para vulnerabilidade e riscos de licença e aplicar as políticas de risco apropriadas em suas equipes em escala para mitigação contínua de risco.” Em um blog associado , a empresa afirma que o novo produto permite que as organizações monitorem seus softwares de código aberto para vulnerabilidade e riscos de licença como um único processo automatizado durante o desenvolvimento e implantação, e aplicar políticas apropriadas. “Na verdade”, diz ele, “os usuários do FOSSA avaliam 47% menos falsos positivos ao encontrar vulnerabilidades nas dependências em que realmente dependem no SDLC.”

A Fossa foi fundada em 2015 por Wang. Ele arrecadou US $ 8,5 milhões em uma rodada de financiamento da Série A anunciada em setembro de 2019. O novo financiamento ajudará no desenvolvimento de produtos e aumentará a expansão da FOSSA para a EMEA.

Fonte: https://www.securityweek.com/open-source-management-firm-fossa-raises-23-million