Mentre le aziende accelerano l’implementazione di LLM e flussi di lavoro intermediati, si trovano ad affrontare un collo di bottiglia critico dell’infrastruttura: le immagini basate su container che supportano queste applicazioni sono piene di debiti di sicurezza ereditati.
Ecouna startup israeliana, ha annunciato oggi un finanziamento di serie A di 35 milioni di dollari (portando il suo finanziamento totale fino ad oggi a 50 milioni di dollari) per risolvere questo problema reinventando radicalmente il modo in cui viene costruita l’infrastruttura cloud.
Il round è stato guidato da N47 con la partecipazione di Notable Capital, Hyperwise Ventures e SentinelOne. Ma la vera storia non è capitale; è l’ambizioso obiettivo dell’azienda di sostituire la caotica catena di fornitura open source con una catena di fornitura gestita e gestita. "sicuro fin dalla progettazione" sistema operativo.
Il sistema operativo segreto del cloud
Per capire perché Echo è importante, devi prima comprendere il fondamento invisibile dell’Internet moderna: le immagini basate su contenitori.
pensaci "contenitore" come una scatola di spedizione per il software. Il codice dell’applicazione (ciò che hanno scritto gli sviluppatori) e tutto il necessario per l’esecuzione del codice ( "immagine di base"). Il modo migliore per un pubblico non tecnico di comprendere l’immagine di base è confrontarla con un laptop nuovo di zecca. Quando acquisti un computer, viene fornito con un sistema operativo (OS) preinstallato come Windows o macOS per eseguire operazioni di base come parlare con il disco rigido, connettersi al Wi-Fi ed eseguire programmi. Senza di esso il computer è inutile.
Nel cloud, l’immagine di base è il sistema operativo. Sia che un’azienda come Netflix o Uber stia costruendo una semplice applicazione web o una rete complessa di agenti IA autonomi, fa affidamento su questi livelli precostruiti (come Alpine, Python o Node.js) per definire i runtime e le dipendenze principali.
È qui che inizia il rischio. A differenza di Windows o macOS, gestiti dai giganti della tecnologia, la maggior parte delle immagini sottostanti sono open source e create da comunità di volontari. Spesso sono pieni di un sacco di cose perché sono progettati per essere utili a tutti. "lanugine"— centinaia di strumenti e impostazioni aggiuntivi di cui la maggior parte delle aziende in realtà non ha bisogno.
Eylam Milner, CTO di Echo, usa un’analogia tagliente per spiegare perché questo è pericoloso: "Ottenere software dal mondo open source è come prendere un computer dal marciapiede e collegarlo alla rete."
Tradizionalmente, le aziende cercano di risolvere questo problema scaricando l’immagine, scansionandola per individuare eventuali errori e tentando di risolverli. "toppa" buchi. Ma è una battaglia persa. La ricerca di Echo mostra che le immagini Docker ufficiali spesso contengono più di 1.000 vulnerabilità note (CVE) non appena vengono scaricate. Per i team di sicurezza aziendale, questo crea un gioco impossibile. "Cos’è la talpa?" I loro ingegneri si fanno carico del debito infrastrutturale senza scrivere una sola riga di codice.
"Linux aziendale" momento per l’intelligenza artificiale
Secondo Eilon Elhadad, cofondatore e amministratore delegato di Echo, la storia del settore si sta ripetendo. "Stessa cosa che è successa in passato… tutti utilizzano Linux e poi passano a Enterprise Linux." Elhadad ha detto a VentureBeat. Proprio come Red Hat ha professionalizzato Linux open source per il mondo aziendale, Echo "sistema operativo nativo di intelligenza artificiale aziendale"—Una base rafforzata e su misura per l’era dell’intelligenza artificiale.
"Ci vediamo nell’era dell’intelligenza artificiale, che è la base di tutto." dice Elhadad.
Tecnologia: A "Fabbrica di compilazione software"
Echo non è uno strumento di scansione. Non cerca vulnerabilità dopo il fatto. Invece, a "fabbrica di compilazione software" ricrea le immagini da zero.
Secondo Milner, l’approccio di Echo all’eliminazione delle vulnerabilità si basa su un rigoroso processo di ingegneria in due fasi per ciascun carico di lavoro:
-
Compilazione dalla fonte: Echo inizia con una tela bianca. Non applica patch alle immagini gonfie esistenti; Compila binari e librerie direttamente dal codice sorgente. Ciò riduce notevolmente la superficie di attacco garantendo che siano inclusi solo i componenti essenziali.
-
Indurimento e origine (Livello SLSA 3): Le immagini risultanti vengono rafforzate con configurazioni di sicurezza aggressive per renderle difficili da sfruttare. Ancora più importante, la pipeline di creazione aderisce agli standard SLSA Livello 3 (livelli della catena di fornitura per le build di software), garantendo che ogni build sia firmata, testata e verificabile.
Il risultato è uno "sostituzione immediata." Uno sviluppatore modifica semplicemente una riga nel file Docker in modo che punti al registro di Echo. L’applicazione funziona allo stesso modo, ma il livello sottostante del sistema operativo è matematicamente più pulito e privo di CVE noti.
Difesa dell’intelligenza artificiale contro l’intelligenza artificiale
La necessità di questo livello di igiene "L’intelligenza artificiale e te" Corsa agli armamenti per la sicurezza I malintenzionati utilizzano sempre più l’intelligenza artificiale per ridurre le finestre di exploit da settimane a giorni. Allo stesso tempo, "agenti di codifica"Gli strumenti di intelligenza artificiale che scrivono software da soli stanno diventando il generatore di codice numero uno, spesso scegliendo librerie statisticamente obsolete o vulnerabili dall’open source.
Per contrastare questo problema, Echo ha costruito un’infrastruttura dedicata di agenti IA che gestiscono autonomamente le indagini sulle vulnerabilità.
-
Monitoraggio continuo: I rappresentanti di Echo monitorano più di 4.000 nuovi CVE aggiunti mensilmente al National Vulnerability Database (NVD).
-
Ricerca non strutturata: oltre ai database ufficiali, questi agenti estraggono fonti non strutturate come i commenti di GitHub e i forum degli sviluppatori per identificare le patch prima che vengano rilasciate su larga scala.
-
Autoguarigione: Una volta confermata una vulnerabilità, gli agenti identificano le immagini interessate, applicano la correzione, eseguono test di compatibilità e creano una richiesta pull per la revisione umana.
Questa automazione consente al team di ingegneri di Echo di mantenere più di 600 immagini sicure, una scala che tradizionalmente richiedeva centinaia di ricercatori di sicurezza.
Perché è importante per il CISO?
Eco per i decisori tecnici "tempo medio di correzione" con "vulnerabilità zero per impostazione predefinita."
Dan Garcia, CISO di EDB, ha affermato in un comunicato stampa che la piattaforma "consente di risparmiare almeno 235 ore di sviluppo per ogni versione" eliminando la necessità per gli ingegneri di indagare sui falsi positivi o di applicare manualmente patch alle immagini chiave.
Echo attualmente protegge i carichi di lavoro di produzione delle principali organizzazioni come UiPath, EDB e Varonis. Man mano che le organizzazioni passano dai contenitori ai flussi di lavoro mediati, la capacità di fidarsi dell’infrastruttura sottostante (senza gestirla) potrebbe essere la caratteristica distintiva della prossima generazione di DevSecOps.
Il prezzo della soluzione di Echo non è disponibile al pubblico, ma l’azienda afferma nella sua dichiarazione: sito web questi prezzi "Si basa sul consumo di immagini per garantire che il software si adatti al modo in cui esegui il rendering e la distribuzione."
