Cloudsmith，獲7200萬美元投資……AI擴散致供應鏈安全需求增長

軟件組件管理初創公司Cloudsmith成功吸引了7200萬美元的新投資。按韓元計算，規模約為1063.8億韓元。在開源和人工智能開發快速普及的背景下，企業對"軟件供應鏈安全"的需求日益增長，被認為是本輪投資的背景因素。

本輪C輪融資由TCV領投。TCV在去年Cloudsmith的上一輪融資中也是最大的投資者。本輪融資中，現有投資者以及Insight Partners也參與了投資。至此，Cloudsmith的累計外部融資額已超過1.1億美元。

總部位於北愛爾蘭貝爾法斯特的Cloudsmith，提供了一個雲端平台，讓開發團隊可以在中央統一管理所使用的各種應用程序組件和文件。簡單來說，它更像是一個面向企業的存儲與驗證平台，用於將開源項目、配置腳本、人工智能模型、操作系統文件等"軟件資產"集中在一起進行管理。

這項服務之所以受到關注，是因為企業環境正變得越來越複雜。開發人員不僅從GitHub，還會從多個外部存儲庫下載所需的組件。例如，人工智能模型常常從Hugging Face等獨立平台獲取。問題在於，從安全管理人員的角度來看，逐一確認這些外部元素是否符合網絡安全標準，需要耗費大量的時間和成本。

Cloudsmith專注於減輕這類負擔。其設計理念是，管理員無需分別監控分散在多個網站的外部存儲庫，而可以在平台內部對組件進行統一管理。其特點尤其在於，不僅僅是簡單的代碼存儲，還能夠處理各種各樣的"制品"。制品是軟件項目中使用的各類文件的統稱。

整合檢查容器與AI模型

Cloudsmith也支持軟件容器的存儲。一個容器可能包含數十個以上的獨立制品，每一個都可能成為潛在的安全風險。為了降低這種複雜性，該公司會為每個容器自動生成"軟件物料清單"，即SBOM。SBOM是一份將構成特定工作環境的元素整理成清單的文件。

安全檢查功能也得到了加強。在將開源組件以可下載的狀態發布之前，Cloudsmith會首先檢查已知漏洞。漏洞的風險等級利用名為"漏洞利用預測評分系統"（EPSS）框架進行評估。這是一個預估未來30天內黑客實際利用該漏洞可能性的標準。

該公司表示，他們還會檢測除漏洞之外的其他問題。例如，找出可能給軟件項目帶來負擔的許可條款。這意味著能夠提前篩選掉可能直接影響企業服務的許可風險，比如禁止商業使用的條件。

AI開發擴展使供應鏈安全需求增長

Cloudsmith的客戶還可以基於平台發現的數據制定自動化策略。例如，自動攔截包含高風險漏洞的開源組件。這種自動化工作流程使用一種名為"Rego"的專用語法編寫，該語法常用於雲基礎設施配置等領域。

首席執行官Glenn Weinstein表示：“AI代理正以極快的速度生成大量軟件，這使得人類幾乎無法逐一進行仔細審查。Cloudsmith憑藉能夠廣泛審視整個開源生態系統的能力和可擴展性，能夠保護企業免受AI主導開發所帶來的新威脅。”

Cloudsmith計劃將籌集的資金用於未來功能的升級。尤其將專注於增加網絡安全控制功能和基於AI的自動化功能。市場普遍認為，AI開發速度越快，為其提供支撐的"供應鏈安全"平台的重要性也將隨之增加。

TP AI注意事項 本文使用TokenPost.ai基礎語言模型進行摘要。正文主要內容可能被遺漏或與事實不符。