Security

Gradient di Google sostiene l'allume YC Infisical per risolvere lo sprawl segreto

Lo sprawl segreto, in cui le aziende archiviano credenziali di autenticazione e dati sensibili simili in più sedi, è un problema reale e crescente per qualsiasi azienda che desideri evitare una violazione della sicurezza.
Le aziende potrebbero avere centinaia di segreti, come chiavi API, password o token di accesso al database, sparsi nella loro infrastruttura, rendendo difficile tenere sotto controllo cosa è archiviato dove, chi ha accesso ad esso e se qualcuno di questi dati ha inavvertitamente ha trovato la sua strada nella sfera pubblica.
A titolo di esempio, nel 2017, Uber ha rivelato una grave violazione che ha esposto i dati personali di circa 57 milioni di clienti e, sebbene vi fossero molti problemi di sicurezza in gioco, la causa principale derivava dagli hacker che hanno trovato una chiave di accesso AWS in un GitHub repository di uno sviluppatore Uber.
Ed è in questo contesto che abbiamo visto una serie di startup e strumenti Big Tech andare sul mercato progettati per aiutare le aziende a gestire la loro espansione segreta.
L'ultima è una società con sede a San Francisco chiamata Infisical, che oggi ha annunciato di aver raccolto 2,8 milioni di dollari in un round iniziale di finanziamenti guidato da Gradient Ventures di Google per aiutare le aziende di tutte le dimensioni a centralizzare la loro gestione segreta.
Top secret Infisical si propone come una piattaforma olistica di gestione dei segreti che combina tutti i componenti di cui un'azienda ha bisogno, un po' come Rippling ha fatto nello spazio di gestione della forza lavoro, ad eccezione dei segreti, secondo il co-fondatore di Infisical Vlad Matsiiako.
"Poiché le aziende stanno diventando sempre più digitali e integrate con altri software, è più difficile gestire tutti i loro segreti applicativi e di sviluppo: devono acquistare più strumenti e dare a tutti l'accesso ai loro segreti, il che è di per sé un problema di sicurezza, ” ha spiegato Matsiiako a TechCrunch.
"Puoi pensare a Infisical come a uno stack di gestione dei segreti all-in-one che combina tutti i prodotti verticali correlati per un'azienda".
Ciò include una dashboard per la gestione dei segreti in diversi progetti e ambienti; SDK client; un'interfaccia a riga di comando (CLI); integrazioni native con GitHub, Netlify e Vercel; versioning segreto e 'ripristino point-in-time'; registri di controllo; e scansione segreta.
Dashboard Infisical Crediti immagine: Infisical Per quanto riguarda il modello di business, Infisical attira entrate attraverso la sua incarnazione cloud ospitata, che vende come SaaS, e attraverso la sua controparte self-hosted vendendo funzionalità di livello aziendale.
Il (sorta di) fattore open source Mentre Infisical si sta spingendo come una piattaforma SecretOps "open source", una rapida occhiata alla sua licenza su GitHub rivela che è forse più allineata con il regno open-core o sorgente disponibile, di quanto non sia il pura sfera open source.
Vale a dire, sebbene gran parte delle funzionalità principali della piattaforma sia apparentemente disponibile per l'uso con la licenza permissiva del MIT, inclusa la scansione dei segreti e le integrazioni dell'infrastruttura, ha mantenuto molte delle funzionalità, come registri di controllo, accesso singolo, ripristino e controllo degli accessi – con una licenza proprietaria in un'edizione aziendale separata (EE).
"La nostra intera base di codice è disponibile per la visualizzazione da parte di tutti su GitHub e manteniamo tutte le principali funzionalità di gestione dei segreti disponibili con la licenza MIT", ha affermato Matsiiako.
"Crediamo fermamente che gli sviluppatori solisti e gli hobbisti dovrebbero essere in grado di sperimentare gratuitamente la maggior parte delle funzionalità utilizzando Infisical Cloud o Infisical self-hosted." Il pensiero qui è che quando gli utenti iniziano a considerare Infisical in termini di implementazione per casi d'uso commerciali critici, hanno bisogno di più funzionalità come sicurezza avanzata e conformità.
Quindi, anche se un'azienda ha scelto di ospitare autonomamente Infisical, deve comunque acquistare una licenza aziendale per sfruttare le funzionalità proprietarie di base.
"L'obiettivo è davvero quello di addebitare solo le imprese più grandi", ha aggiunto Matsiiako.
Ci sono già un sacco di strumenti simili sul mercato, incluso il progetto Vault open source del gigante dell'infrastruttura cloud da miliardi di dollari HashiCorp, che ha praticamente stabilito lo standard per il settore della gestione dei segreti.
Tuttavia, Matsiiako sostiene che Infisical si rivolge più agli sviluppatori generici piuttosto che ai team di ingegneri della piattaforma, rendendo più facile l'implementazione con una curva di apprendimento più piatta.
"Vault è difficile da adottare per gli sviluppatori senza un background in sicurezza o infrastruttura, e troviamo che sia più popolare tra i team di sicurezza e ingegneria della piattaforma", ha affermato.
“Per questo motivo, le aziende sperimentano cicli di sviluppo più lenti e alcune ricorrono persino allo sviluppo di soluzioni rivolte agli sviluppatori completamente personalizzate in aggiunta o al posto di Vault.
Altre alternative degne di nota includono Doppler e Akeyless, che sono sostanzialmente prodotti SaaS proprietari, e persino prodotti tangenziali come strumenti di scansione segreta di Gitguardian, una funzionalità che Infisical sta già supportando come parte della sua piattaforma.
"Integrando la scansione segreta all'interno dell'offerta in bundle di Infisical, estraiamo sinergie tra la gestione segreta e la scansione segreta, e un'azienda alla ricerca di soluzioni di gestione segreta correlate ora deve rivolgersi a un solo fornitore anziché a più", ha affermato Matsiiako.
La storia fino ad ora Il trio di fondatori dell'azienda – Matsiiako, Maidul Islam e Tony Dang – si è incontrato alla Cornell University dove ha studiato un mix di materie informatiche e di scienza dei dati, andando poi a lavorare in varie aziende come AWS, Figma e Bung .
Si sono poi incontrati per dare il via alla loro nuova avventura insieme da San Francisco lo scorso agosto.
"Durante le nostre passate esperienze collettive e parlando con colleghi del settore, abbiamo riconosciuto che la gestione dei segreti delle applicazioni era complicata e che i problemi nel settore della gestione dei segreti erano ben lungi dall'essere risolti", ha affermato Matsiiako.
“Ci è diventato chiaro che dovevamo creare una soluzione open source semplice da utilizzare per la gestione dei segreti; essere open source offre agli sviluppatori la flessibilità di utilizzare Infisical Cloud o di ospitarlo autonomamente sulla propria infrastruttura, che è ciò che fanno spesso le aziende più grandi.
Infisical ha continuato a raccogliere $ 500.000 dalla sua partecipazione al programma invernale '23 di Y Combinator (YC) e recentemente ha assunto il suo primo ingegnere che si è unito a loro dal gigante del software aziendale Red Hat.
A parte il lead backer Gradient Ventures, il seed round dell'azienda includeva investimenti da YC, 22 Ventures e angel backer come Elad Gil e Diana Hu di YC.
Gradient di Google sostiene l'allume YC Infisical per risolvere lo sprawl segreto di Paul Sawers originariamente pubblicato su TechCrunch

Hermes A.I.

Nota dell'Autore: Ciao! Benvenuti nel mondo dell’I.A. (Intelligenza Artificiale) del futuro! Sono HERMES A.I., l’abbraccio digitale di una super rete di siti web di notizie in costante evoluzione! Scopri di più...