Şirketlerin kimlik doğrulama bilgilerini ve benzer hassas verileri birden çok konumda depoladığı gizli yayılma, güvenlik ihlalini önlemek isteyen tüm şirketler için gerçek ve büyüyen bir sorundur.
Şirketlerin altyapılarına yayılmış API anahtarları, şifreler veya veritabanı erişim belirteçleri gibi yüzlerce sırrı olabilir ve bu da neyin nerede depolandığı, bunlara kimlerin erişimi olduğu ve bu verilerden herhangi birinin yanlışlıkla ele geçirilip geçirilmediği konusunda sekmeler tutmayı zorlaştırır. kamusal alana girmenin yolunu buldu. Örnek olarak, 2017’de Uber, yaklaşık 57 milyon müşterinin kişisel verilerini ifşa eden büyük bir ihlali ortaya çıkardı ve oyunda birçok güvenlik hatası olsa da asıl neden, bir GitHub’da bir AWS erişim anahtarı bulan bilgisayar korsanlarından kaynaklanıyordu. bir Uber geliştiricisinin deposu.
Ve bu arka plana karşı, şirketlerin gizli yayılmalarını yönetmelerine yardımcı olmak için tasarlanmış bir dizi yeni girişim ve Büyük Teknoloji aracının pazara girdiğini gördük. En sonuncusu, Infisical adlı San Francisco merkezli bir şirkettir ve bugün, Google’ın Gradient Ventures liderliğindeki her büyüklükteki şirketin gizli yönetimlerini merkezileştirmesine yardımcı olmak için bir başlangıç finansman turunda 2,8 milyon dolar topladığını duyurdu.
Çok gizli
Infisical’ın kurucu ortağı Vlad Matsiiako’ya göre Infisical kendisini, bir şirketin ihtiyaç duyduğu tüm bileşenleri birleştiren bütünsel bir gizli yönetim platformu olarak tanıtıyor – biraz Rippling’in işgücü yönetimi alanında sırlar dışında yaptığı gibi.
“Şirketler daha dijital hale geldikçe ve diğer yazılımlarla entegre hale geldikçe, tüm uygulama ve geliştirici sırlarını yönetmek daha da zorlaşıyor – birden fazla araç satın almaları ve hepsine kendi başına bir güvenlik sorunu olan sırlarına erişim izni vermeleri gerekiyor. ” Matsiiako TechCrunch’a açıkladı. “Infisical’ı, bir şirket için ilgili tüm ürün dikeylerini birleştiren hepsi bir arada gizli bir yönetim yığını olarak düşünebilirsiniz.”
Bu, farklı projeler ve ortamlarda sırları yönetmek için bir pano içerir; istemci SDK’ları; bir komut satırı arabirimi (CLI); GitHub, Netlify ve Vercel gibi yerel entegrasyonlar; gizli sürüm oluşturma ve ‘zaman içinde bir noktadan kurtarma’; denetim günlükleri; ve gizli tarama.
İş modeline gelince, Infisical, bir SaaS olarak sattığı barındırılan bulut enkarnasyonu ve kurumsal düzeyde özellikler satarak kendi kendine barındırılan muadili aracılığıyla gelir çekiyor.
(Bir çeşit) açık kaynak faktörü
Infisical kendini bir “açık kaynak” SecretOps platformu olarak zorlarken, GitHub’daki lisansına hızlı bir göz atıldığında, belki de saf açık kaynak küresinden çok açık çekirdek veya mevcut kaynak alemiyle daha uyumlu olduğunu ortaya koyuyor. Diğer bir deyişle, gizli tarama ve altyapı entegrasyonları da dahil olmak üzere platformun temel işlevlerinin çoğu izin verilen MIT lisansı altında kullanılabilirken, denetim günlükleri, tek oturum açma gibi birçok özelliği korumuştur. kurtarma ve erişim denetimleri — ayrı bir kurumsal sürüm (EE) kapsamında özel bir lisans kapsamında.
Matsiiako, “Kod tabanımızın tamamı herkesin GitHub’da görüntülemesine açık ve tüm temel gizli yönetim işlevlerini MIT lisansı altında tutuyoruz” dedi. “Yalnız geliştiricilerin ve meraklıların, Infisical Cloud veya kendi kendine barındırılan Infisical kullanarak çoğu özelliği ücretsiz olarak deneyebilmeleri gerektiğine inanıyoruz.”
Buradaki düşünce, kullanıcıların Infisical’ı kritik ticari kullanım durumları için dağıtma açısından düşünmeye başladıklarında, gelişmiş güvenlik ve uyumluluk gibi daha fazla özelliğe ihtiyaç duyduklarıdır. Bu nedenle, bir şirket Infisical’ı kendi kendine barındırmayı seçmiş olsa bile, temel tescilli özelliklerden yararlanmak için bir işletme lisansı satın alması gerekir.
Matsiiako, “Amaç gerçekten yalnızca daha büyük işletmeleri ücretlendirmek,” diye ekledi.
Gizli yönetim sektörü için hemen hemen standartları belirleyen milyar dolarlık bulut altyapısı devi HashiCorp’un açık kaynaklı Vault projesi de dahil olmak üzere, piyasada şimdiden bir sürü benzer araç var. Ancak Matsiiako, Infisical’ın platform mühendisliği ekiplerinden ziyade genel geliştiricileri hedeflediğini ve bunun daha düz bir öğrenme eğrisi ile devreye almayı kolaylaştırdığını savunuyor.
“Güvenlik veya altyapı geçmişi olmayan geliştiricilerin Vault’u benimsemesi zordur ve güvenlik ve platform mühendisliği ekipleri arasında daha popüler olduğunu görüyoruz” dedi. “Bu nedenle, şirketler daha yavaş geliştirme döngüleri yaşıyor ve hatta bazıları Vault’a ek olarak – veya bunun yerine – tamamen özel geliştirici odaklı çözümler geliştirmeye başvuruyor.
Diğer dikkate değer alternatifler arasında, büyük ölçüde tescilli SaaS ürünleri olan Doppler ve Akeyless ve hatta Infisical’ın zaten platformunun bir parçası olarak desteklediği bir özellik olan Gitguardian gibi gizli tarama araçları gibi teğetsel ürünler yer alıyor.
Matsiiako, “Gizli taramayı Infisical’ın paket teklifine entegre ederek, gizli yönetim ile gizli tarama arasındaki sinerjiyi ortaya çıkarıyoruz ve ilgili gizli yönetim çözümleri arayan bir şirketin artık birden çok satıcı yerine tek bir satıcıdan geçmesi gerekiyor” dedi.
Hikaye şimdiye kadar
Şirketin kurucu üçlüsü – Matsiiako, Maidul Islam ve Tony Dang – Cornell Üniversitesi’nde bir araya gelerek bilgisayar ve veri bilimi konularının bir karışımını incelediler ve AWS, Figma ve Bung gibi çeşitli şirketlerde çalışmaya devam ettiler. Daha sonra, geçen Ağustos ayında San Francisco’da yeni girişimlerini birlikte başlatmak için bir araya geldiler.
Matsiiako, “Geçmiş toplu deneyimlerimiz ve sektör meslektaşlarımızla konuşmamız boyunca, uygulama sırlarını yönetmenin külfetli olduğunu ve gizli yönetim endüstrisindeki sorunların çözülmekten çok uzak olduğunu fark ettik” dedi. “Gizli yönetim için kullanımı kolay bir açık kaynak çözümü oluşturmamız gerektiği bizim için netleşti; açık kaynak olması, geliştiricilere Infisical Cloud’u kullanma veya daha büyük şirketlerin sıklıkla yaptığı gibi kendi altyapılarında barındırma esnekliği sağlıyor.”
Infisical, Y Combinator’ın (YC) ’23 kış programına katılımından 500.000 $ toplamaya devam etti ve kısa süre önce kurumsal yazılım devi Red hat’tan aralarına katılan ilk mühendis alımını yaptı.
Baş destekçi Gradient Ventures’ın yanı sıra, şirketin tohum turu YC, 22 Ventures ve Elad Gil ve YC’den Diana Hu gibi melek destekçilerden gelen yatırımları içeriyordu.