يدعم Gradient من Google برنامج YC alum Infisical لحل مشكلة التمدد السري
يعد الامتداد السري ، حيث تقوم الشركات بتخزين بيانات اعتماد المصادقة والبيانات الحساسة المماثلة عبر مواقع متعددة ، مشكلة حقيقية ومتنامية لأي شركة ترغب في تجنب خرق أمني.
قد تمتلك الشركات المئات من الأسرار – مثل مفاتيح واجهة برمجة التطبيقات أو كلمات المرور أو رموز الوصول إلى قاعدة البيانات – منتشرة عبر بنيتها التحتية ، مما يجعل من الصعب الاحتفاظ بعلامات تبويب على ما يتم تخزينه ومكانه ومن يمكنه الوصول إليه وما إذا كان أي من هذه البيانات قد تم دون قصد وجدت طريقها إلى المجال العام. على سبيل المثال ، في عام 2017 ، كشفت Uber عن خرق كبير كشف البيانات الشخصية لحوالي 57 مليون عميل ، وبينما كان هناك العديد من الإخفاقات الأمنية في اللعب ، فإن السبب الجذري ينبع من المتسللين الذين وجدوا مفتاح وصول AWS في GitHub مستودع مطور أوبر.
وفي ظل هذه الخلفية ، رأينا عددًا كبيرًا من الشركات الناشئة وأدوات Big Tech تذهب إلى السوق المصممة لمساعدة الشركات على إدارة توسعها السري. آخرها شركة تدعى Infisical ومقرها سان فرانسيسكو ، أعلنت اليوم أنها جمعت 2.8 مليون دولار في جولة تمويل أولية بقيادة شركة Gradient Ventures من Google لمساعدة الشركات من جميع الأحجام على مركزية إدارتها السرية.
سري للغاية
تقدم Infisical نفسها كمنصة إدارة سرية شاملة تجمع بين جميع المكونات التي تحتاجها الشركة – تمامًا مثل ما كانت تقوم به Rippling في مجال إدارة القوى العاملة ، باستثناء الأسرار ، وفقًا لمؤسس Infisical ، فلاد ماتسيياكو.
“نظرًا لأن الشركات أصبحت أكثر رقمية ومتكاملة مع البرامج الأخرى ، فقد أصبح من الصعب إدارة جميع أسرار التطبيقات والمطورين الخاصة بهم – يتعين عليهم شراء أدوات متعددة ومنحهم جميعًا إمكانية الوصول إلى أسرارهم ، وهو أمر يمثل مصدر قلق أمني بحد ذاته ، وأوضح ماتسياكو لموقع TechCrunch. “يمكنك التفكير في Infisical على أنها مجموعة إدارة سرية متكاملة تضم جميع قطاعات المنتجات ذات الصلة لشركة ما.”
يتضمن ذلك لوحة تحكم لإدارة الأسرار عبر المشاريع والبيئات المختلفة ؛ مجموعات تطوير البرامج (SDK) للعميل ؛ واجهة سطر الأوامر (CLI) ؛ تكامل محلي مع أمثال GitHub و Netlify و Vercel ؛ الإصدار السري و “الاسترداد في الوقت المناسب” ؛ سجلات التدقيق والمسح السري.
لوحة القيادة غير المرئية اعتمادات الصورة: غير بصري
بالنسبة لنموذج الأعمال ، تجذب Infisical الإيرادات من خلال تجسدها السحابي المستضاف ، والذي تبيعه على أنه SaaS ، ومن خلال نظيره المستضاف ذاتيًا عن طريق بيع ميزات على مستوى المؤسسات.
(نوع) عامل المصدر المفتوح
بينما تدفع Infisical نفسها كمنصة SecretOps “مفتوحة المصدر” ، تكشف نظرة خاطفة سريعة على ترخيصها على GitHub أنه ربما يكون أكثر انسجامًا مع المجال المفتوح أو المصدر المتاح ، أكثر من مجال المصدر المفتوح الخالص. وهذا يعني ، في حين أن الكثير من الوظائف الأساسية للمنصة متاحة على ما يبدو للاستخدام بموجب ترخيص MIT المسموح به ، بما في ذلك المسح السري وتكامل البنية التحتية ، فقد احتفظت بالعديد من الميزات – مثل سجلات التدقيق ، تسجيل الدخول الفردي ، ضوابط الاسترداد والوصول – بموجب ترخيص خاص بموجب إصدار مؤسسة منفصل (EE).
قال ماتسيكاو: “قاعدة الكود لدينا متاحة للجميع لمشاهدتها على GitHub ، ونحن نحتفظ بجميع وظائف الإدارة السرية الأساسية بموجب ترخيص معهد ماساتشوستس للتكنولوجيا”. “نعتقد بشدة أن المطورين والهواة المنفردين يجب أن يكونوا قادرين على تجربة معظم الميزات مجانًا باستخدام إما Infisical Cloud أو Infisical المستضافة ذاتيًا.”
الفكرة هنا هي أنه عندما يبدأ المستخدمون في التفكير في Infisical من حيث النشر لحالات الاستخدام التجاري الحرجة ، فإنهم يحتاجون إلى المزيد من الميزات مثل الأمان المتقدم والامتثال. لذا ، حتى إذا اختارت الشركة استضافة Infisical ، فلا يزال يتعين عليها شراء ترخيص مؤسسة للاستفادة من ميزات الملكية الأساسية.
وأضاف ماتسيياكو: “الهدف حقًا هو فرض رسوم على الشركات الكبرى فقط”.
هناك مجموعة من الأدوات المماثلة في السوق بالفعل ، بما في ذلك مشروع Vault مفتوح المصدر من شركة HashiCorp العملاقة للبنية التحتية السحابية بمليارات الدولارات ، والتي وضعت إلى حد كبير المعايير لقطاع إدارة السرية. ومع ذلك ، يجادل ماتسياكو بأن Infisical يستهدف المطورين العامين أكثر من فرق هندسة النظام الأساسي ، مما يسهل النشر باستخدام منحنى تعليمي أكثر انبساطًا.
قال: “يصعب اعتماد Vault للمطورين الذين ليس لديهم خلفية في الأمان أو البنية التحتية ، ونجدها أكثر شيوعًا بين فرق الأمن وهندسة الأنظمة الأساسية”. وبسبب ذلك ، تواجه الشركات دورات تطوير أبطأ ، بل إن البعض يلجأ إلى تطوير حلول مخصصة بالكامل تواجه المطورين فوق – أو بدلاً من – Vault.
تشمل البدائل البارزة الأخرى Doppler و Akeyless ، وهما منتجات SaaS مملوكة بشكل جوهري ، وحتى المنتجات العرضية مثل أدوات المسح السري من أمثال Gitguardian ، وهي ميزة تدعمها Infisical بالفعل كجزء من نظامها الأساسي.
قال ماتسيكاو: “من خلال دمج المسح السري داخل عرض حزمة Infisical ، نستخلص أوجه التآزر بين الإدارة السرية والمسح السري ، وتحتاج الشركة التي تبحث عن حلول إدارة سرية ذات صلة الآن فقط إلى المرور عبر بائع واحد بدلاً من عدة بائعين”.
القصة حتى الآن
التقى ثلاثي مؤسسي الشركة – ماتسياكو وميدول إسلام وتوني دانغ – في جامعة كورنيل حيث درسوا مزيجًا من موضوعات علوم الكمبيوتر والبيانات ، واستمروا في العمل في شركات مختلفة مثل AWS و Figma و Bung. ثم التقيا لبدء مشروعهما الجديد معًا خارج سان فرانسيسكو في أغسطس الماضي.
قال ماتسيياكو: “من خلال تجاربنا الجماعية السابقة والتحدث إلى نظرائنا في الصناعة ، أدركنا أن إدارة أسرار التطبيقات كانت مرهقة وأن المشكلات في صناعة الإدارة السرية كانت بعيدة عن الحل”. “أصبح من الواضح لنا أننا بحاجة إلى بناء حل مفتوح المصدر يسهل استخدامه لإدارة السرية ؛ كونك مفتوح المصدر يمنح المطورين المرونة في استخدام Infisical Cloud أو الاستضافة الذاتية على البنية التحتية الخاصة بهم وهو ما تفعله الشركات الكبرى بشكل متكرر “.
واصلت Infisical جمع 500000 دولار من مشاركتها في برنامج Y Combinator (YC) الشتوي لعام 23 ، وقد قامت مؤخرًا بأول توظيف هندسي انضم إليهم من شركة Red hat العملاقة لبرامج المؤسسة.
بصرف النظر عن الداعم الرئيسي Gradient Ventures ، تضمنت الجولة الأولية للشركة استثمارات من YC و 22 Ventures وداعمين ملاك مثل Elad Gil و Diana Hu من YC.
