$25 млн в Серии А: ProjectDiscovery — открытая платформа поиска уязвимостей

Компания ProjectDiscovery, платформа для обнаружения уязвимостей в кодовых базах, сегодня объявила о привлечении 25 млн. долл. в рамках раунда финансирования Серии А под руководством CRV и при участии Point72, SignalFire, Rain Capital, Mango Capital, Accel и Lightspeed.

Компания ProjectDiscovery возникла как совместная работа четырех инженеров по безопасности — Ришираджа Шармы, Сандипа Сингха, Низамула Раны и Марко Риволи, — которые почувствовали, что имеющиеся у них инструменты для выявления, поиска и устранения уязвимостей слишком медленно обновляются в ответ на растущие угрозы.

«Эти инструменты давали слишком много ложных срабатываний, что затрудняло определение приоритетности уязвимостей, и не были адаптированы к архитектуре организации», — говорит Риширадж, занимающий должность генерального директора ProjectDiscovery. «Хуже того, они затрудняли работу по устранению уязвимостей в разных командах и отделах».

После совместной работы над несколькими решениями с открытым исходным кодом для решения этих проблем в 2020 году Шарма, Сингх, Рана и Риволи основали ProjectDiscovery, бесплатную платформу для сканирования уязвимостей. Изначально проект был побочным, но в январе 2021 года ProjectDiscovery привлек посевной раунд, после чего команда решила начать работать над ним на постоянной основе.

ProjectDiscovery осуществляет постоянный мониторинг уязвимостей на веб-сайтах, в приложениях, API, облачных средах и сервисах. Работая по шаблонам, ИТ-команды вместе с инженерами могут находить и устранять уязвимости и неправильные конфигурации.

Энди Као, операционный директор ProjectDiscovery, утверждает, что ProjectDiscovery представляет собой «шаг вперед» в обеспечении безопасности конечных точек, находящихся в открытом доступе.

«Сегодня руководители по компьютерной безопасности сталкиваются с постоянно растущим списком инструментов и предложений. Но многие из них ориентированы на какую-то одну область или на обеспечение соответствия правилам регуляторов, а не на безопасность», — сказал Цао. «Адресный рынок ProjectDiscovery включает предприятия всех размеров по всему миру».

Возможно, это и так. Но также верно и то, что ProjectDiscovery — далеко не единственный поставщик, продающий средства обнаружения эксплойтов. Компания Socket недавно привлекла 20 млн. долл. на свой сервис по обнаружению уязвимостей в открытом коде, а SonarSource — один из крупнейших игроков в области сканирования кода — в прошлом году получил инвестиции в размере 412 млн. долл. при оценке в 4.7 млрд. долл.

Цао не игнорирует конкурентов. Но он утверждает, что ProjectDiscovery обладает мощным ресурсом — сообществом разработчиков открытого кода.

«В настоящее время у нас более 60,000 членов сообщества, которые вносят свой вклад в разработку и используют наши инструменты, большинство из них работают в крупных компаниях», — сказал он. «Когда появляются новые критические уязвимости, нашим заказчикам не приходится ждать, пока их поставщик примет меры. Вместо этого сотни инженеров работают над шаблонами, которые помогают им найти и устранить эти уязвимости, и эти улучшения доступны всем».

Идя по пути многочисленных стартапов с открытым исходным кодом, ProjectDiscovery стремится монетизировать это преимущество с помощью управляемой облачной версии своих бесплатных предложений. Платная услуга, получившая название ProjectDiscovery Cloud Platform, занимается обслуживанием и установкой растущего набора программ ProjectDiscovery.

Можно ли убедить пользователей ProjectDiscovery платить за то, что уже доступно бесплатно? Возможно. По словам Цао, на данный момент на ProjectDiscovery Cloud Platform подписалось 3,000 человек, в том числе из компаний, входящих в список Fortune 500. Большим вопросом является реакция сообщества разработчиков открытого кода на коммерциализацию ProjectDiscovery — причем без компенсации. Но Цао, похоже, не особенно обеспокоен.

«Сила открытого кода — и нашего сообщества — означает, что ProjectDiscovery может обеспечить более комплексный подход, направленный на защиту от злоумышленников, а не только от аудиторов», — сказал Цао. «В частности, это означает разработку более совершенного решения, чем традиционные инструменты сканирования. И новые способы оптимизации взаимодействия между командами, которые находят уязвимости, и теми, кто их устраняет».

На сегодняшний день компания ProjectDiscovery привлекла 28 млн. долл. По словам Цао, средства, полученные в ходе последнего раунда, будут направлены на подбор персонала и поддержку запуска облачной платформы ProjectDiscovery.