پس از اینکه در راه اندازی پروژه منبع باز Kubernetes نقش مهمی داشتند، کریگ مک لوکی و جو بیدا، بنیانگذاران Kubernetes، گوگل را ترک کردند تا Heptio را در سال 2016 راه اندازی کنند. سپس در سال 2018 شرکت را به VMware فروختند. هر دو VMware را در سال 2022 ترک کردند و McLuckie به تاسیس یک شرکت ادامه داد. استارتآپ مخفی کاری پس از یک دوره کوتاه کارآفرینی در Accel. اکنون می دانیم که این استارت آپ مخفیانه Stacklok است که هدف آن ساخت ابزارها و خدماتی است که بر امنیت زنجیره تامین نرم افزار تمرکز دارند.
برای ساخت Stacklok، McLuckie با Luke Hinds به عنوان CTO شرکت همکاری کرد. Hinds بنیانگذار پروژه sigstore است که به پروژه منبع باز پیش فرض تبدیل شده است که در هسته بسیاری از زنجیره تامین قرار دارد. همانطور که هیندز به من گفت، سیگستور در روزهای اولیه قرنطینه های همه گیر سال 2020 شکل گرفت، زمانی که او در Red Hat کار می کرد.

اعتبار تصویر: Stacklok
مدتهاست که این ایده را در سر داشتم، اما با اکوسیستمهای منبع باز، ماده تاریک زیادی در آنجا وجود دارد – یک جانور اسپاگتی بزرگ از وابستگیهایی که به طرز پیچیدهای ترکیب شدهاند اما قادر به دیدن یک الگوی واضح نیستند. هیندز به من گفت. بنابراین من این ایده را داشتم که این نوع دفتر کل زنجیره تامین را بسازم تا قابلیت مشاهده و شفافیت در زنجیره تامین داشته باشد. بنابراین با یک پایه واقعا خوب شروع کنید که در آن هر چیزی که در آن وجود دارد غیر قابل انکار و امضای رمزنگاری باشد. بنابراین می دانید که به یک هویت گره خورده است، خواه ماشین باشد یا یک انسان. بنابراین اگر با یک پایه اعتماد واقعاً خوب شروع کنیم – یک ساختار اعتماد – آنگاه میتوانیم شروع به لایهبندی روی آن پشته کنیم.»
امروزه، sigstore بخشی از بنیاد امنیت منبع باز بنیاد لینوکس (OpenSSF) است. از آنجایی که امنیت زنجیره تامین نرمافزار در میان اکوسیستمهای نرمافزار اولویت دارد، ابزاری مانند sigstore که به توسعهدهندگان کمک میکند پروژه خود و کتابخانههایی را که استفاده میکنند امضا و تأیید کنند، به ابزاری اصلی برای ساختن نرمافزار امنتر تبدیل شده است. و در حالی که این دو بنیانگذار هنوز در مورد برنامه های محصول خود برای Stacklok صحبت نمی کنند، بدیهی است که sigstore در هسته اصلی این پروژه نیز خواهد بود.
مکلاکی به من گفت که او نیز مدتی است که به امنیت زنجیره تامین فکر میکند – و همچنین دلتنگ ساختن چیزها شده است. “وجود دارد هیچ چی بیشتر سرگرم کننده نسبت به. تا ساختمان آ شرکت، او گفت. “من داشتم بوده فكر كردن در باره مشکلات امنیتی زنجیره تامین برای آ طولانی زمان. من داشتم بوده صحبت کردن در باره این از آنجا که خوب قبل از را حادثه بادهای خورشیدی اتفاق افتاد که در من ذهن، آی تی به نظر می رسید پسندیدن چیزی که بود یک واضح بردار برای [attackers]. اگر شما فکر در باره شرکت، پروژه سازمان های، یکی از آنها اولیه متمایز کننده است آنها توانایی به تولید کردن و مصرف کردن فن آوری به حل را کسب و کار مشکل الفnd چه زمانی شما دیدن را جهان تبدیل شدن به طور فزاینده تاریک – الف مقدار کمی بیت بیشتر خطرناک – با این عجیب و غریب مرتب سازی از ادغام از بازیگران دولت-ملت و تجاری هکرها بنابراین آنها تقریبا قابل تشخیص شود منطقی به نظر می رسید که تیاو محل که شخص شروع می شود به پرداخت توجه به است را عرضه زنجیر: چگونه می توان شما درج کنید چیزی به آ عرضه زنجیر که شرکت ها مصرف می کنند؟”
از بسیاری جهات، اکوسیستم امنیتی زنجیره تامین منبع باز در نقطه ای مشابه با اکوسیستم اولیه Kubernetes قرار دارد. برخی از بلوک های ساختمانی اساسی در دسترس هستند، اما کار زیادی برای دسترسی بیشتر به فناوری برای طیف گسترده ای از کاربران بالقوه باقی مانده است. اکثر توسعه دهندگان، به همان اندازه که می خواهند کد ایمن بنویسند و فقط با بسته های قابل اعتماد کار می کنند، در نهایت متخصص رمزنگاری نیستند. در همین حال، چشم انداز امنیتی همچنان در حال تغییر است، در حالی که دستور اجرایی 14028 اکنون این موضوع را به یک اولویت ملی در ایالات متحده تبدیل کرده است.
چشم اندازی که من و لوک داریم این است که واقعاً با توسعه دهندگان شروع کنیم و به آنها مجموعه ای بسیار واضح و دقیق از آنچه که باید انجام دهند تا شروع به تولید نرم افزار بهتر انجام دهند ارائه می دهیم – درک بهتر در مورد وابستگی هایی که آنها دارند، بهتر است. درک در مورد اولویتهای عملیاتی خود – و با انجام این کار، آنها شروع به تولید دادههایی میکنند که سپس میتوانند در یک دفتر کل نوشته شوند، تا بتوانند کار خود را به طور مؤثر نشان دهند. “هی، وقتی این را تولید کردم رفتار خوبی داشتم.”
در اوایل، Stacklok انتظار دارد ابزارهایی بسازد که بسیاری از این داده های منشأ را مستقیماً در اختیار توسعه دهندگان قرار دهد و این کار را به گونه ای انجام دهد که این فناوری را برای آنها شفاف تر و در دسترس تر کند. McLuckie اشاره کرد که تیم احتمالاً ابتدا شروع به یکپارچگی با GitHub خواهد کرد، اما تیم بیشتر برنامههای خود را تا زمانی که آماده راهاندازی نسخه بتا شود، مخفی نگه میدارد.
ما می خواهیم این چرخه فضیلت مند را ایجاد کنیم. مکلاکی گفت: این چرخ لنگر تعامل. اما وقتی شروع به بررسی نیازهای تیمها میکنید، اینجاست که جنبه تجاری جالبتر چیزها برای ما مطرح میشود. هنگامی که توسعه دهندگان شروع به مصرف این و استفاده از آن و تولید اطلاعات پروژه می کنند، سوال منطقی واضح بعدی این است که کجا قرار دارد و چگونه می توانم در مقابل آن تصمیمات سیاسی بگیرم؟ اینجاست که خط تولید تجاری ما وارد خواهد شد.»
Stacklok امروز اعلام کرد که مبلغ 17.5 میلیون دلاری سری A را جمع آوری کرده است. دور بذر شرکت را از دست ندهید. Stacklok به سادگی تصمیم گرفت از این مرحله صرف نظر کند و اولین دور مالی خود را سری A نامید (و با توجه به اندازه آن، منطقی است). با توجه به نقش سابق مکلاکی بهعنوان یک کارآفرین در محل اقامت Accel، شوکآور نیست که این شرکت به همراه مادرونا، یکی دیگر از سرمایهگذاران اولیه Heptio، در Stacklok نیز سرمایهگذاری کند.
تیم پورتر و سابرینا وو از Madrona امروز در بیانیه خود می نویسند: “بازار امنیت زنجیره تامین نرم افزار پراکنده است، با بسیاری از ارائه دهندگان راه حل های نقطه ای، اما رهبر پلت فرم مشخصی وجود ندارد.” “ما معتقدیم Stacklok با توجه به پیشینه و توانایی منحصربهفرد تیم برای ایجاد یک راهحل پلتفرم جدید که در کل فرآیند DevSecOps هم فعال و هم اصلاحکننده است، یک رویکرد زیبا و مؤثر برای CodeSec ارائه میکند و طبیعتاً در طول زمان به سناریوهای AppSec گسترش مییابد، بهطور منحصربهفردی برای برنده شدن موقعیت دارد. به عنوان مثال، ما تصور می کنیم Stacklok زمانی که آسیبپذیری روز صفر جدیدی کشف شد، قادر به اصلاح بستههای تولیدی خواهد بود و با مفید ساختن اطلاعات زمینهای، دید را در زنجیره تامین بهبود بخشد.
هپتیو نسبتاً سریع فروخته شد – قبل از اینکه تیم حتی بتواند به طور کامل سبد محصولاتی را که در نظر گرفته بود بسازد. در واقع، وقتی از مکلاکی در این مورد پرسیدم، او گفت که ممکن است خیلی زود فروخته باشد. خیلی سریع بود. خیلی زود بود. بهترین کار بود میخواستم این کار را ادامه دهم، اما پول آنقدر خوب بود که نمیتوانم بگویم نه.» او استدلال می کند که تیم Stacklok برای مدت طولانی در آن حضور دارد.