La cadena de suministro de software enfrenta amenazas desde todos los lados. Un informe de 2024 del Instituto Ponemon encontró que más de la mitad de las organizaciones han experimentado un ataque a la cadena de suministro de software, con un 54% que ha experimentado uno en el último año.
Los ataques a la cadena de suministro suelen apuntar a servicios de proveedores de terceros o software de código abierto que conforman la pila tecnológica de una empresa, y pueden devastar financieramente a una organización. Según un estudio de Juniper Research, los ciberataques a la cadena de suministro podrían costar a la economía mundial casi $81 mil millones en ingresos perdidos y daños para 2026. La Casa Blanca ha indicado un compromiso para abordar el problema más amplio de la seguridad de la cadena de suministro de software, declarándolo abiertamente como un problema de seguridad nacional y lanzando una orden ejecutiva destinada a establecer estándares mitigatorios.
La amenaza ha impulsado la demanda de plataformas que puedan usarse para detectar, y en un mundo perfecto, mitigar ataques a la cadena de suministro de software de una empresa. Una startup que crea una plataforma así, Lineaje (una ortografía semi-fonética de «lineage»), cerró hoy una ronda de financiación de $20 millones en su Serie A.
Fundada en 2021 por Javed Hasan y Anand Revashetti, Lineaje desarrolla herramientas para detectar software en la cadena de suministro de una organización que ha sido manipulado, así como software de código abierto obsoleto y potencialmente vulnerable. Una vez que Lineaje encuentra una vulnerabilidad probable, recomienda soluciones, si las hay, y advierte contra implementar aquellas que puedan romper el software.
«Para las organizaciones que se preocupan por el riesgo que su software crea para sus organizaciones y sus clientes, centrarse en gestionar este riesgo es crítico», dijo Hasan, CEO de Lineaje, a TechCrunch. «Lineaje nació para descubrir, gestionar y asegurar el software, independientemente de dónde se construya».
Tanto Hasan como Revashetti provienen de la industria de ciberseguridad, habiendo trabajado en proveedores como Symantec, McAfee y Norton. Se cruzaron mientras estaban en McAfee, donde Revashetti era compañero y arquitecto jefe.
«Los ataques y preocupaciones a la cadena de suministro de software han estado aumentando constantemente», dijo Hasan. «Al mirar este espacio, estaba claro que la cadena de suministro era una de las tres principales preocupaciones para los CISOs y el gobierno de Estados Unidos.»
Lineaje ocupa un mercado abarrotado. Kusari, Ox Security, Chainguard, Dustico y Endor se encuentran entre sus rivales, y grandes empresas de tecnología como Google, Amazon y Microsoft están haciendo esfuerzos para mejorar la seguridad general del software de código abierto.
Pero una forma en que Lineaje está tratando de destacar es mediante la realización de trabajo defensivo. Hasan afirma que la empresa tiene un contrato con la Fuerza Aérea de EE. UU. para apoyar su programa antiterrorismo «Eagle Eyes» y relaciones con otras agencias federales no especificadas.
Las agencias del sector público ciertamente enfrentan desafíos de cadena de suministro de software similares a los que ve el sector privado. Un informe reciente publicado por el Departamento de Seguridad Nacional de EE. UU. encontró que un gabinete de un organismo gubernamental estadounidense pasó meses respondiendo a una vulnerabilidad en la biblioteca de Log4j2 de Apache, un servicio de registro basado en Java, en parte porque sus equipos de seguridad tuvieron problemas para identificar dónde residían los paquetes vulnerables dentro de sus entornos de software.
Los fondos de la Serie A de Lineaje, que elevan el total recaudado por la startup a $27 millones, impulsarán sus esfuerzos para adquirir aún más clientes del sector público de EE. UU., continuó Hasan.
«La ronda de financiación de la Serie A nos cubrirá al menos hasta principios de 2027», dijo, agregando que el año pasado fue el primer año de ingresos de Lineaje. «Actualmente contamos con alrededor de 30 empleados, con planes de duplicar la cantidad para fin de año.»
La ronda fue copatrocinada por Prosperity7 Ventures, Neotribe y Hitachi con la participación de Tenable Ventures, Carahsoft, Wipro Ventures, SecureOctane y AlumniVentures.
