Bright Security fÄr 20 miljoner USD för utvecklingsfokuserad dynamisk apptestning

Bright Security fÄr 20 miljoner USD för utvecklingsfokuserad dynamisk apptestning


Beroende pÄ vem du frÄgar inom cybersÀkerhetsvÀrlden, sker nu ett stort skifte inom applikationssÀkerhetssektorn. Tanken Àr att processen för att sÀkerstÀlla att koden Àr sÀker inte bara ska falla, eller till och med övervÀgande, till sÀkerhetsteamet. Utvecklarna mÄste sjÀlva spela en ledande roll.

För att faktiskt fÄ det att hÀnda i praktiken behöver utvecklare verktyg som Àr bekanta för dem och som passar in i hur de fungerar normalt. Företag som Snyk, vars kunder inkluderar Google och Salesforce, och Data Theorem, som betjÀnar Netflix och Microsoft, Àr bland de stora företagen som hittills har tagit detta tillvÀgagÄngssÀtt.

En startup som arbetar för att ansluta sig till deras led genom att ta en utvecklarfokuserad strategi för AppSec Àr Bright Security, som tidigare var kÀnt som NeuraLegion. Det nya namnet, och en finansieringsrunda pÄ 20 miljoner dollar i serie A för företaget, presenteras bÄda idag. OmgÄngen leddes av Evolution Equity Partners och inkluderade stöd frÄn DNX Ventures, J-ventures, Fusion Fund och Incubate Fund.

Till skillnad frĂ„n företag som Snyk fokuserar Bright Security bara pĂ„ dynamiska applikationssĂ€kerhetstestning (DAST) – vilket innebĂ€r att köra skanningar över hela mjukvaruutvecklingens livscykel för sĂ„rbarheter utifrĂ„n, hur en angripare skulle se applikationen, snarare Ă€n att fokusera pĂ„ undersöker öppen kĂ€llkod eller proprietĂ€r kod frĂ„n insidan för sĂ€kerhetsproblem.

“Precis som Snyk har gjort en betydande förĂ€ndring i hur mĂ€nniskor gjorde analys av mjukvarusammansĂ€ttning (SCA) och nu statisk analys – mot att göra det mycket mer tillgĂ€ngligt för utvecklare och se till att det passar in i en modern utvecklingsmiljö – detta Ă€r en gratislösning pĂ„ den dynamiska analysfronten”, sa Gadi Bashvitz, medgrundare och VD för Bright Security, i en intervju.

FÄnga sÄrbarheter

Bright Security tar tillfĂ€llet i akt att föra in sĂ€kerhet tidigare i applikationsutvecklingsprocessen, vanligen kallad “vĂ€xling Ă„t vĂ€nster”, för DAST-sidan av AppSec-ekvationen. Dynamisk analys, för mĂ„nga organisationer idag, sker för sent i processen – vilket leder till att de flesta företag distribuerar applikationer i produktion som fortfarande innehĂ„ller sĂ„rbarheter, enligt Bright Security.

I sjÀlva verket, enligt en rapport frÄn NTT Application Security, var 50 % av alla webbappar sÄrbara för minst en allvarlig exploateringsbar sÄrbarhet under 2021.

Med Bright Securitys DAST-plattform för att automatiskt testa alla aspekter av en applikation och API:er, strĂ€var företaget efter att “se till att organisationer hittar dessa sĂ„rbarheter tidigt och Ă„tgĂ€rdar dem tidigt innan de sĂ€tts i produktion”, sa Bashvitz till VentureBeat.

Standard DAST-lösningar passade bra för organisationer tidigare, nĂ€r ny mjukvara slĂ€pptes med nĂ„gra mĂ„naders mellanrum och du skulle ha mycket tid avsatt för testning, sa han. Men för företag som nu slĂ€pper nya mjukvaruuppdateringar hela tiden, Ă€r det en “vĂ€ldigt annan hastighet” och inte en situation som traditionell DAST skapades för, enligt Bashvitz.

“De hĂ€r Ă€ldre lösningarna byggdes inte för att köras i en vĂ€rld dĂ€r du gör flera releaser om dagen eftersom de tog lĂ„ng tid att köra”, sa han. “Och de var inriktade pĂ„ AppSec-teamet. De var inte inriktade pĂ„ utvecklare. Och det enda sĂ€ttet pĂ„ vilket du faktiskt kan möta denna hastighet, och distribuera snabbt, Ă€r om du riktar in dig pĂ„ lösningarna och ser till att lösningarna Ă€r bekvĂ€ma för utvecklare att anvĂ€nda dem.”

Gjord för utvecklare

Och sĂ„, det Ă€r pĂ„ det hĂ€r sĂ€ttet som Bright Security vill sticka ut frĂ„n andra aktörer pĂ„ marknaden – genom att erbjuda ett DAST-verktyg som kan utföra skanningar tillrĂ€ckligt snabbt för att hĂ„lla jĂ€mna steg med den aktuella hastigheten för programutgĂ„vor, och som Ă€r gjord för anvĂ€ndning av utvecklare.

“Utvecklaren sĂ€ger, ‘Jag behöver nĂ„got som körs pĂ„ högst 30 sekunder’,” sa Bashvitz. ”VĂ„r lösning utformades, nĂ€r den Ă€r integrerad i utvecklingsprocessen, för att gĂ„ mycket, mycket snabbare [than standard DAST] eftersom vi begrĂ€nsar antalet parametrar och begrĂ€nsar antalet ingĂ„ngspunkter som vi testar.”

NÀr det gÀller att göra lösningen utvecklarvÀnlig kan Bright Security-verktyget anvÀndas inom processen för kontinuerlig integration / kontinuerlig leverans (CI/CD). Det betyder att utvecklaren bara ser att biljetterna har öppnats för dem i deras biljettsystem och ÄtgÀrdar eventuella sÀkerhetsproblem pÄ det sÀttet.

“SĂ€kerhetssĂ„rbarheter Ă€r buggar – men av nĂ„gon anledning behandlar vi dem olika. Och vi borde inte behandla dem annorlunda”, sa Bashvitz. “De Ă€r en bugg och de borde hanteras som alla andra buggar. SĂ„ biljetter bör öppnas och riktlinjer för sanering bör tillhandahĂ„llas.”

Bright Security kan Ă€ven anvĂ€ndas via en integration inom enhetstestplattformar. “Oavsett vilka verktyg DevOps-organisationen anvĂ€nder för att driva deras utvecklingslivscykler, Ă€r vi integrerade med dem för att sĂ€kerstĂ€lla att det inte Ă€r arbetskrĂ€vande att driva vĂ„ra lösningar,” sa Bashvitz.

Ett ytterligare element som gör Bright Security till en bra passform för utvecklare Ă€r verktygets förmĂ„ga att “presentera informationen för utvecklare i ‘utvecklartala’, inklusive riktlinjer för Ă„tgĂ€rdande”, sa han.

Verktyget minskar ocksĂ„ “bruset” för utvecklare, sa Bashvitz. “Eftersom vi Ă€r DAST kan vi faktiskt testa om en sĂ„rbarhet Ă€r exploateringsbar eller inte. Och vi kan ta bort alla de som Ă€r falska positiva, sade han.

I slutĂ€ndan, för tusentals eller tiotusentals organisationer som anvĂ€nder DAST idag, passar de traditionella verktygen “bara inte in i vad de försöker göra lĂ€ngre”, sa Bashvitz. “SĂ„ den stora möjligheten Ă€r att se till att organisationer kan distribuera dynamisk analys pĂ„ ett sĂ€tt som passar deras moderna utvecklingsmiljö.”

Kunddragkraft

Sedan Bright Security lanserade sin produkt kommersiellt i november 2020 har fler Àn 50 företag fÄtt kunder. Dessa inkluderar ZoomInfo, BDO, Nvidia och PremFina.

Förutom att sÀlja direkt till företag tillÄter Bright Security Àven utvecklare att registrera sig sjÀlva och anvÀnda produkten gratis. Startupen sÀger att den nu har tusentals utvecklare som anvÀnder produkten pÄ det sÀttet.

SĂ„ smĂ„ningom kan det leda till att deras företag blir kund. Cirka 10 % av Bright Securitys kunder har kommit ombord pĂ„ det sĂ€ttet, och “vi förvĂ€ntar oss att det kommer att öka avsevĂ€rt” framöver, sa Bashvitz.

Med den nya finansieringen har företaget samlat in totalt 25,6 miljoner USD i finansiering sedan lanseringen 2018.

Bright Security planerar nu att anstÀlla för sitt ingenjörsteam samt sitt försÀljnings- och marknadsföringsteam. Det San Francisco-baserade företaget, som ocksÄ har ett kontor i Israel, har för nÀrvarande 68 anstÀllda och rÀknar med att överstiga 100 i slutet av juni.

Tillsammans med Bashvitz Ă€r de andra grundarna av företaget COO Shoham Cohen, CTO Bar Hofesh och CPO Art Linkov. Cohen hade tidigare varit VD – fram till januari, dĂ„ han eftertrĂ€ddes av Bashvitz, tidigare VD och kundchef för företaget.

AffÀrslogikbrister

Förutom att Ă„tgĂ€rda tekniska sĂ„rbarheter, Ă€r en annan skillnad för Bright Security-verktyget dess förmĂ„ga att tillhandahĂ„lla skanning efter sĂ„rbarheter i affĂ€rslogik. Denna klass av sĂ„rbarheter – som Ă€r brister i applikationens design – gör att legitim anvĂ€ndning av applikationen potentiellt kan utnyttjas.

Även om det vanligtvis har antagits att endast mĂ€nniskor kan testa för sĂ„rbarheter i affĂ€rslogik, sĂ€ger Bright Security att det pĂ„ ett unikt sĂ€tt möjliggör automatiserad skanning efter sĂ„dana brister med hjĂ€lp av AI.

Oavsett vilken typ av sĂ„rbarhet det Ă€r, har det en stor vinst för organisationer att fĂ„nga brister tidigt – inte bara nĂ€r det gĂ€ller att sĂ€nka deras sĂ€kerhetsrisk, utan ocksĂ„ nĂ€r det gĂ€ller produktivitet, enligt Bashvitz. Det Ă€r betydligt lĂ€ttare att Ă„tgĂ€rda ett problem som hittas som en del av byggprocessen, Ă€n det Ă€r att Ă„tgĂ€rda problemet om det redan Ă€r i produktion, sa han.

Efter att en app Ă€r i produktion mĂ„ste utvecklaren gĂ„ tillbaka till koden och bekanta sig med allt igen, sa Bashvitz. “Det Ă€r mycket effektivare att lösa dessa sĂ„rbarheter tidigt i cykeln. Och det Ă€r precis vad vi gör det möjligt för organisationer att göra.”

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknologi och handla. LÀs mer om medlemskap.