La cadena de suministro de software, que incluye los componentes y procesos para desarrollar software, se ha vuelto insegura. Un estudio reciente indica que el 88% de las empresas considera que la mala seguridad en esta cadena representa un “riesgo para toda la organización”. Los componentes de código abierto son especialmente problemáticos debido a las dificultades logísticas para mantener cada parte en buen estado. Un informe de 2023 de la firma de seguridad Synopsys reveló que el 89% de los códigos de las empresas contenían herramientas de código abierto que estaban desactualizadas por más de cuatro años. Además, un informe de 2024 del Instituto Ponemon encontró que más de la mitad de las organizaciones han sufrido un ataque en su cadena de suministro de software. Se estima que estos ataques podrían costar a la economía casi $81 mil millones en ingresos perdidos y daños para 2026, según Juniper Research.

Socket, una startup que ofrece herramientas para detectar vulnerabilidades de seguridad en el código abierto, ha recaudado $40 millones para abordar este problema. Su CEO, Feross Aboukhadijeh, fundó Socket en 2020. Aboukhadijeh, un destacado mantenedor de código abierto y profesor de seguridad web en Stanford, cree que las herramientas de seguridad tradicionales no son suficientes para enfrentar los desafíos del desarrollo de software moderno. “La extensa red de dependencias, que suma miles, presenta riesgos de seguridad significativos que las herramientas tradicionales no logran mitigar”, comentó Aboukhadijeh. Las dependencias son piezas de software o bibliotecas que una aplicación necesita para funcionar.

Socket ofrece un escáner que busca actividades maliciosas, como puertas traseras y código ofuscado, en componentes de código abierto, y alerta a los desarrolladores cuando se actualizan o añaden dependencias y paquetes. A través de integraciones con APIs de inteligencia artificial generativa de Anthropic y OpenAI, Socket también puede generar resúmenes de vulnerabilidades. Además, la plataforma puede verificar opcionalmente que el código abierto esté correctamente licenciado y, por lo tanto, sea legal para su reutilización. “Socket está diseñado para equipos de ingeniería y de seguridad de aplicaciones que dependen en gran medida del software de código abierto”, explicó Aboukhadijeh.

Cada vez más empresas de software confían en el código abierto. En un informe de 2023, el 95% de los encuestados afirmó que su uso de código abierto había aumentado o se había mantenido en el último año. Con el mercado de plataformas de seguridad en la cadena de suministro de software que se espera crezca hasta $3.5 mil millones para 2027, no sorprende que Socket tenga competidores. Oligo, una empresa centrada en la seguridad y observabilidad de aplicaciones en tiempo de ejecución, emergió en febrero con $28 millones, mientras que Endor lo hizo con $25 millones en octubre pasado, tras la recaudación de $50 millones por parte de Chainguard en junio.

Lo que distingue a Socket, según Aboukhadijeh, es su capacidad para detectar código potencialmente dañino que otras herramientas pasan por alto, especialmente el código que puede extraer datos sensibles. Socket está detectando más de 100 ataques a la cadena de suministro de software cada semana. Entre sus inversores y clientes se encuentran nombres destacados como Elad Gil, Andreessen Horowitz, y el cofundador de Yahoo, Jerry Yang. Actualmente, Socket protege más de 7,500 organizaciones y defiende 300,000 repositorios de código, apoyando a más de un millón de desarrolladores en todo el mundo.

Con el nuevo financiamiento, Socket ha recaudado un total de $65 millones y planea aumentar su equipo de 32 a 50 empleados para finales de año, enfocándose en ingeniería, producto, diseño y ventas. Aboukhadijeh destacó que ahora es un momento crucial en la historia del código abierto, ya que la inteligencia artificial se utiliza cada vez más para escribir código, lo que introduce el potencial de agujeros de seguridad. “Era el momento adecuado para recaudar estos fondos”, concluyó.