Socket erreicht eine Bewertung von 1 Milliarde US-Dollar mit einer Finanzierungsrunde von 60 Millionen US-Dollar, die sich auf die Sicherheit von npm- und PyPI-Abhängigkeiten konzentriert
Socket hat am Tag, an dem GitHub einen Angriff über manipulierte npm-Pakete bestätigte, 60 Millionen US-Dollar in der Serie C unter der Leitung von Thrive Capital eingesammelt und wird damit das erste Einhorn, das sich auf die Sicherheit von Software-Abhängigkeiten spezialisiert.
Socket, ein 2020 gegründetes amerikanisches Start-up, das sich auf die Sicherheit von Software-Abhängigkeiten spezialisiert hat, gab am Donnerstag, dem 21. Mai, eine Serie-C-Runde von 60 Millionen US-Dollar unter der Leitung von Thrive Capital bekannt, an der Andreessen Horowitz, Abstract Ventures und Capital One Ventures beteiligt sind. Diese Runde erhöht das insgesamt von der Firma aufgebrachte Kapital auf 125 Millionen US-Dollar und führt zu einer Bewertung von 1 Milliarde US-Dollar, wodurch Socket das erste Unternehmen wird, das den Einhorn-Status erreicht, das sich ausschließlich auf die Sicherheit von Software-Abhängigkeiten in Registern wie npm und PyPI fokussiert.
Die Ankündigung fiel auf denselben Nachmittag, an dem GitHub bestätigte, dass 3.800 interne Repositories durch eine manipulierte VS Code-Erweiterung kompromittiert wurden, deren Angriffsstruktur auf von TeamPCP kompromittierten npm-Paketen basiert. Der zeitliche Zufall ist nicht unbeabsichtigt: Die Nachfrage nach Schutz auf dieser speziellen Ebene der Software-Entwicklungskette war für Vorstandsmitglieder und CISOs selten so sichtbar.
Was die Plattform macht
Socket überwacht npm-, PyPI- und andere Open-Source-Registrierungen auf bösartiges Verhalten, bevor Abhängigkeiten in Projekte integriert werden. Das System analysiert neuen Code zum Zeitpunkt der Veröffentlichung und identifiziert verdächtige Muster wie ungewöhnlichen Zugriff auf Umgebungsvariablen, nicht deklarierte Shell-Befehle und Versuche zur Datenexfiltration. Laut dem Unternehmen blockiert die Plattform wöchentlich über 1.000 Angriffe.
Der Unterschied zu traditionellen Sicherheits-Scannern ist präzise: Werkzeuge wie Dependabot oder npm audit arbeiten mit Datenbanken bekannter CVEs und reagieren auf bereits katalogisierte Schwachstellen. Socket analysiert das Verhalten neuen Codes, bevor irgendein CVE zugewiesen wird, und positioniert sich daher näher an einem verhaltensbasierten Detektionssystem als an einer Signaturdatenbank. Dieses Modell ist besonders relevant für Angriffe wie Mini Shai-Hulud, der 84 bösartige Artefakte in 42 @tanstack-Paketen veröffentlichte, bevor irgendein auf CVE basierender Scanner sie erkennen konnte.
Wer investiert hat und warum
Thrive Capital, das auch zu den Hauptaktionären von OpenAI gehört, führte die Runde an. Das Engagement von Thrive im Bereich der KI-Modell-Infrastruktur und der Sicherheit der Software-Lieferkette spiegelt die These wider, dass die beschleunigte Expansion der KI-gestützten Entwicklung strukturell die Angriffsfläche in der Abhängigkeitsebene erhöht: Je mehr KI-Agenten Open-Source-Pakete verbrauchen, um Codierungsaufgaben auszuführen, desto größer ist der Anreiz für Angreifer, diese Pakete zu kompromittieren.
Das Engagement von Capital One Ventures unterscheidet diese Finanzierungsrunde von früheren Investitionen in die Sicherheit von Software. Banken und Versicherungen, die agile Entwicklungszyklen angenommen haben und npm als Hauptregistrierung nutzen, sehen sich den gleichen Risiken gegenüber, die GitHub und Grafana betroffen haben: Eine kompromittierte Abhängigkeit in einer CI/CD-Pipeline kann zu Zugriff auf Produktionssysteme eskalieren. Das Interesse von Finanzinstitutionen an Lösungen für die Sicherheit von Open-Source-Code signalisiert, dass das Risiko von Software-Lieferketten aus der technischen Sphäre herausgeholt und als erstklassiges operationelles Risiko behandelt wird.
Was sich für die Teams der Unternehmensentwicklung ändert
Für CISOs von Unternehmen mit großen Codebasen, die auf öffentliche Paketregistrierungen angewiesen sind, bietet Socket eine Schicht der Vorab-Analyse, die bestehende Software-Zusammensetzungstools ergänzt, aber nicht ersetzt. Die Finanzierung von 60 Millionen US-Dollar dient der Erweiterung des Coverage auf neue Registrierungen über npm und PyPI hinaus, der Entwicklung nativer Integrationen mit CI/CD-Pipelines und der Einstellung von Bedrohungsforschungsteam.
Für Beratungsunternehmen, die Entwicklungsprojekte mit Open-Source-Abhängigkeiten liefern, besteht die praktische Herausforderung in der Verantwortung: Nach Vorfällen wie dem von TanStack tendieren Unternehmensklienten dazu, Audit-Klauseln für Abhängigkeiten in Entwicklungsverträgen aufzunehmen. Die Fähigkeit, nachzuweisen, dass die CI/CD-Pipeline durch eine verhaltensbasierte Analyse von Paketen und nicht nur durch Scans bekannter CVEs geschützt ist, wird zu einem Unterschied in der Wert proposition.
Der Zeitpunkt der Investition folgt einem gut dokumentierten historischen Muster: Bedeutende Finanzierungsrunden zur Sicherheit von Software-Lieferketten konzentrieren sich häufig auf große Sichtbare Vorfälle. Nach dem Log4Shell im Dezember 2021 wuchs der Markt für Software-Bill-of-Materials und für die Analyse von Software-Zusammensetzungen in zwei Jahren um 340%, so die Daten von Gartner. Der Angriff auf TanStack und seine Kaskadeneffekte auf GitHub und Grafana stellen den sichtbarsten Katalysator des aktuellen Zyklus dar.