אייקידו הבלגית רוכשת חברה ישראלית להגנה על קוד פתוח בעשרות מיליונים

יוניקורן הסייבר הבלגי אייקידו סקיוריטי הודיע היום (ג') כי רכש את רוט (Root), חברה ישראלית שפועלת בעולמות ההגנה על הקוד הפתוח. סכום העסקה לא נמסר, אולם לפי ההערכות בשוק, הוא עומד על בין 70 ל-100 מיליון דולר, ויש מומחים שמעריכים שהוא קרוב יותר ל-100 מיליון.

רוט פיתחה פלטפורמת AI לאבטחת רכיבי קוד פתוח, ורכישתה תאפשר לאייקידו להציע פתרון שבאמצעות מפתחים וסוכני AI יכולים לבנות תוכנה על בסיס גישה זו, ולהתמודד עם האיום הגובר של מתקפות על שרשרת אספקת התוכנה.

האיומים המרכזיים על הקוד הפתוח – ופתרון אפשרי

קוד פתוח מהווה את הבסיס לחלק ניכר מיישומי התוכנה, ובשנים האחרונות הפך לאחת מנקודות הכניסה המרכזיות של תוקפים. ארגונים מתמודדים כיום עם שני איומים מרכזיים: תוקפים שמסתירים נוזקות בתוך חבילות קוד פתוח שעליהן נשענות אפליקציות וחולשות אבטחה שנותרות ללא תיקון בסביבות ייצור במשך שנים. כך, למשל, Log4Shell, החולשה הקריטית שהתגלתה ב-Log4j ב-2021, עדיין קיימת במיליוני מערכות ברחבי העולם. במקביל, הבינה המלאכותית מעניקה לתוקפים דרכים מהירות וזולות יותר לנצל את שני האיומים הללו, וכיום כמעט שליש מהחולשות המוכרות מנוצלות כבר ביום חשיפתן, ולעתים אף לפני כן.

שדרוג לגרסה חדשה עשוי להיראות כפתרון המתבקש לחולשת אבטחה, אך בפועל, הוא עלול לשבור קוד קיים או להכניס שינויים בלתי צפויים. מנגד, פיתוח עצמאי של תיקון לכל תלות הוא משימה שאינה מעשית עבור רוב הארגונים. פתרון Aikido Libraries, המבוסס על הטכנולוגיה של רוט, מאפשר להחיל תיקוני אבטחה ללא צורך בשדרוג גרסה ומבלי לשבור את הקוד הקיים.

כחלק מהמהלך, אייקידו מודיעה על יוזמה להנגשת תיקוני אבטחה לגרסאות נתמכות של רכיבי קוד פתוח עבור חולשות קריטיות שכבר מנוצלות בפועל. במקום להשאיר את התיקונים מאחורי חומת תשלום, החברה תחזיר אותם לקהילת הקוד הפתוח ולפרויקטים הזקוקים להם.

הרוכשת והנרכשת על קצה המזלג

רוט החלה את דרכה כ-Slim.AI, מפתחת כלי הקוד הפתוח Slim Toolkit (לשעבר DockerSlim). החברה נוסדה על ידי בנג'י קלמן, מיקי גורדון, איאן ריופל וג'ון אמרל, ומעסיקה 25 עובדים, מתוכם כ-15 במרכז הפיתוח שלה בתל אביב, שצפוי להתרחב בקרוב. היא גייסה עד כה כ-31 מיליון דולר מקרנות הון-סיכון כגון אינסייט פרטנרס וטק אביב, וסיקס וורקס, חברה בת של יבמ, היא אחד הלקוחות שלה.

רכישת רוט מצטרפת לשורת רכישות של חברות שאייקידו ביצעה בשנה האחרונה, בהן חברת סקירת הקוד מבוססת הבינה המלאכותית טראק וחברות בדיקות החדירה האוטונומיות אולסיק והייקר. הפתרונות של אייקידו משרתים יותר מ-100 אלף צוותים ברחבי העולם, ועל לקוחותיה ניתן למנות את ליגת הכדורגל הראשית של אנגליה, הפריימר ליג, חברת המציאות הרבודה נינטיק ושירות סטרימינג האודיו סאונד קלאוד. מוקדם יותר השנה השלימה החברה סבב גיוס B בהיקף של 60 מיליון דולר לפי שווי של מיליארד דולר, וסך גיוסיה עומד על כ-85 מיליון דולר.

"במקום להתווכח מה לתקן – פשוט לתקן"

"קוד פתוח זקוק לתיקוני אבטחה, והוא זקוק להם במהירות", אמר וילם דלבארה, מייסד-שותף ומנכ"ל אייקידו סקיוריטי. "כיום עומדות בפני ארגונים שתי אפשרויות, ואף אחת מהן לא מתאימה לרובם: לשדרג לגרסה חדשה, מה שעלול לשבור את האפליקציה, או לעבור לפתרון סגור של ספק אחר. באמצעות הטכנולוגיה של רוט אנחנו מייצרים מאות תיקוני אבטחה מאומתים מדי יום עבור הגרסאות שבהן צוותי הפיתוח כבר משתמשים, ללא צורך בשדרוגי גרסה, ללא מיגרציה ומבלי לשבור את הקוד הקיים. כך הופכים את אבטחת שרשרת אספקת התוכנה לנגישה לכל ארגון, ולא רק למעטים".

גורדון וקלמן ציינו ש-"כמפתחי תוכנה, אנחנו מכירים היטב את המציאות שבה צוותים מתמודדים עם רשימות אינסופיות של חולשות אבטחה וצריכים להחליט במה לטפל קודם. מבחינתנו, הדיון הזה מפספס את העיקר: במקום להתווכח אילו חולשות לתקן, פשוט צריך לתקן אותן, ולעשות זאת בגרסאות שכבר נמצאות בשימוש הארגונים. רוב הפתרונות בשוק מאלצים ארגונים לבחור בין שדרוגי גרסה מורכבים לבין מעבר לפלטפורמות סגורות של ספקים אחרים. מיגרציות כאלה עלולות להימשך חודשים ולשבור קוד שכבר עובד. המטרה שלנו היא לאפשר לארגונים להמשיך להשתמש בטכנולוגיות שהם כבר מריצים, תוך תיקון החולשות במהירות וללא שינויי קוד".