Endor Labs

AI 生成代码正在改变软件的构建方式，但同时也带来了新的安全挑战。根据开发者安全平台 Synk 在 2023 年底的调查，超过 50% 的组织在使用 AI 生成代码时会遇到安全问题。这一挑战为 Endor Labs 带来了巨大的机遇，促使其改变发展方向，专注于解决 AI 代码的安全问题。

Endor Labs 的转型

Endor Labs 最初专注于帮助企业保护其开源软件包依赖项，并在两年前完成了 7000 万美元的 A 轮融资，用于发展其开发者流水线治理服务。然而，随着 AI 编程工具的普及，该公司看到了识别和应对 AI 生成代码漏洞的日益增长的需求。

如今，Endor Labs 运营着一个平台，不仅可以审查代码并识别风险，还可以推荐“精确”的修复方案并自动应用它们。该公司为 Cursor 和 GitHub Copilot 等 AI 驱动的编程工具提供了插件，可以在编写代码时扫描代码并标记问题。

B 轮融资

4月23日，Endor Labs 宣布完成 9300 万美元的 B 轮融资，由 DFJ Growth 领投，Salesforce Ventures、Lightspeed Venture Partners、Coatue、Dell Technologies Capital、Section 32 和 Citi Ventures 参投。首席执行官瓦伦·巴德瓦尔（Varun Badhwar）表示，本轮融资对 Endor 的估值“比其 A 轮融资估值高出几个数量级”。B 轮融资使这家初创公司的融资总额达到 1.63 亿美元。

巴德瓦尔表示，所得款项将用于扩展 Endor 的平台。自 2023 年 A 轮融资以来，Endor 的年度经常性收入增长了 30 倍，显示出强劲的增长势头。

产品与服务

几个月前，Endor 推出了一款工具，旨在帮助组织发现 AI 模型和服务与其代码库集成的位置，并评估这些集成的安全缺陷。该工具的目标是提供更好的监督，以应对 AI 编程工具的普及带来的安全挑战。
Endor 表示，它现在为包括 OpenAI、Rubrik、Peloton、Snowflake、Egnyte 和 Dropbox 在内的客户保护超过 500 万个应用程序，每周运行超过 100 万次扫描。

Endor Labs 的核心功能

Endor Labs 主要解决以下三个软件供应链安全用例：

1. 保护开源代码
   • 漏洞优先级排序：基于可达性的 SCA 利用程序分析，识别函数级别的可达漏洞，帮助在代码上下文中确定风险优先级。
   • OSS 风险的全面可见性：扫描直接和传递依赖（包括“幽灵依赖”检测），并与包含自 2018 年以来针对 CVE 的函数特定注释的专有数据库进行交叉引用。
   • 选择健康的 OSS 依赖：通过 Endor Score 和 DroidGPT 阻止有风险的 OSS 进入您的生态系统，实施 OSS 选择治理并提高开发人员的生产力。
2. 保护代码仓库和流水线
   • SCM 配置管理：深入了解源代码管理系统的配置，通过安全配置基线和开箱即用的策略了解交付过程。
   • 检测并确定密钥泄露的优先级：识别源代码中潜在的密钥泄露，并实施阻止密钥硬编码的策略。
3. 满足 AppSec 合规性要求
   • 许可证合规风险管理：作为开源软件治理计划的一部分，管理与 OSS 许可相关的法律和合规风险。
   • SBOM 和 VEX：自动生成软件物料清单 (SBOM)，并使用漏洞可利用性交换 (VEX) 文档进行注释，帮助利益相关者了解软件清单并评估漏洞状态。

集成到 SDLC 工作流程

Endor Labs 集成到软件交付生命周期的各个阶段，包括：

• 开发人员的集成开发环境 (IDE)：帮助开发团队选择更好的依赖项，并在软件开发过程的早期发现潜在问题。
• 持续集成作业中的测试：在软件安装或构建过程之前和之后执行测试，确保代码的安全性。
• 日常的工单和消息传递工作流程：通过策略帮助建立工单和消息传递工作流程，通知团队紧急问题或策略违规，以便进行适当的解决。