在典型的安全团队中,工程师编写一次性脚本来跟踪云供应商上的特定问题,例如GitHub上的未授权用户帐户,尽管工程师能够编写此类脚本,但这并不是解决这些专业人员需要跟踪的一系列安全问题的有效或可扩展的方法。

Vectrix是由三名安全退伍军人发起的Y Combinator 2020年夏季研究小组的成员,他希望解决该问题。它创建了一个安全市场,其他安全专家可以在其中编写模块来自动化此类修复程序,其他安全专家可以利用而无需每次都重新编写脚本的方式。

Alex Dunbrack,公司联合创始人兼首席运营官说,他和其他联合创始人,首席技术官Matthew Lewis以及首席执行官Corey Mahan在他们先前在PlanGrid,Vimeo和Autodesk的工作中亲眼目睹了这个问题。因此,像许多YC公司创始人一样,他们决定建立解决方案。

Dunbrack解释说:“这是一个自动化安全工具的市场,该工具监视技术并具有对公司在其云供应商中可能存在的任何安全问题的响应能力。”他说这可能在GitHub,AWS,G Suite上,可能在任何云服务上。

其想法是让安全专家构建这些模块,然后为他们提供一种可行的解决方案的“忠诚度”和自吹自rights的权利。Dunbrack表示,这与HackerOne模型没有什么不同,该模型提供了经济激励和社区认可,以发现代码中的漏洞。

用户实际上并没有下载任何东西。他们只需选择一个模块,输入其云服务凭证,并为模块生成的任何警报提供Slack或Jira之类的输出。

初创公司会审核模块和开发人员,然后再将其投放市场。他说,尽管目前这是一个手动过程,但他们正在努力为它带来更多的自动化。现在,对于每个想要贡献模块的人,他们都要进行一次访谈,参考检查,就业背景检查以及类似的调查。

一旦他们通过了此步骤,并且安全专业人员编写了该模块,它就必须通过进一步的审查。“我们基本上完全确定了他们将要构建的内容以及随之而来的警报种类。然后从那里,我们在代码方面有了一个非常模板化的逻辑方案,他们只是在编写逻辑来进行扫描,”他说。

模块编写者看不到有关该服务的任何用户信息,并且Vectrix确保没有诸如数据出站请求之类的问题。目前,他们有10个模块,并计划很快添加更多模块。在制定定价模型时,如今,客户为访问整个市场支付固定费用,而不是按模块付费。

该公司目前只是三位联合创始人,但他们希望扩大规模,而且当他们这样做时,他们已经对如何建立一个多元化和包容性的公司进行了很多思考。他说,对于初学者来说,他们并不受硅谷网络效应的影响。

“很多人会说'我们只是想要最优秀的人才',但是我们对最优秀人才的诠释实际上是不同思想和经验的集合,这确实使某人的观点与众不同。这来自于我们看待方式的多样性,因此从很多意义上讲,最优秀的人才来带来最广泛的思维过程,并且伴随着多样性和包容性,并且某种程度上将所有这些因素都纳入了考虑范围。帐户,”他说。

至于YC的经验,Dunbrack表示,他最期待从他之前的公司网络中学习,他说,甚至实际上该公司也已经成功地为他提供了这种经验。

到目前为止,该公司已经启动并使用了来自Y Combinator的资金,但它打算很快进行一次筹款。“我们意识到我们为行业带来的收益以及那里的价值。因此,招募战略合作伙伴确实是我们将如何实现这一目标的目标。”他说。