يوفر بدء التشغيل r2c ، الذي أسسه خريجو معهد ماساتشوستس للتكنولوجيا ، قاعدة بيانات لفحوصات أمان البرامج لتبسيط عملية تأمين الكود.
الحقيقة المؤسفة لصناعة أمن البرمجيات هي أنه من الأسهل بكثير مهاجمة نظام بدلاً من حمايته. يحتاج المتسللون فقط إلى العثور على ثغرة أمنية واحدة لتحقيق النجاح ، بينما يحتاج مطورو البرامج إلى حماية التعليمات البرمجية الخاصة بهم من جميع الهجمات المحتملة.
يعني عدم التناسق أنه عندما ينشئ مبرمج منفرد تطبيقًا شائعًا عن غير قصد ، فإنه سرعان ما يصبح سمكة معرضة للخطر في محيط من التهديدات. تمتلك الشركات الأكبر حجمًا فرقًا لأمن البرامج ، لكنها طورت سمعة طيبة بين المطورين لإبطاء عمليات النشر حيث يقومون بمراجعة خطوط التعليمات البرمجية بشق الأنفس للحماية من الهجمات.
تسعى شركة r2c الآن إلى جعل تأمين البرامج تجربة أكثر سلاسة باستخدام أداة مفتوحة المصدر لتدقيق التعليمات البرمجية. بنفس الطريقة التي يجد بها Grammarly أخطاء نحوية أو فرصًا للتحسين في المقالات ورسائل البريد الإلكتروني ، تقوم أداة r2c ، المسماة Semgrep ، بتوزيع سطور من التعليمات البرمجية للتحقق من وجود آلاف الأخطاء المحتملة ونقاط الضعف.
في قلب Semgrep توجد قاعدة بيانات لأكثر من 1500 قاعدة مكتوبة مسبقًا يمكن لأخصائيي الأمن دمجها في عمليات مسح التعليمات البرمجية الخاصة بهم. إذا لم يروا أحدًا يريدونه ، فيمكنهم كتابة قواعدهم الخاصة باستخدام واجهة r2c البديهية وإضافتها إلى قاعدة البيانات للآخرين.
تعلم الاختراق
كطلاب جامعيين في معهد ماساتشوستس للتكنولوجيا ، عاش إيفانز وأومالي ودينيسون جنبًا إلى جنب في سيمونز هول. سرعان ما بدأ طلاب الهندسة الكهربائية وعلوم الكمبيوتر الثلاثة في الاختراق معًا في برامج الحرم الجامعي المختلفة والمشاريع الجانبية. خلال فترة الأنشطة المستقلة لعام 2011 ، حصلوا على عقد لمساعدة الأفراد العسكريين في الجيش على استخدام التطبيقات على هواتف Android بشكل أكثر أمانًا.
يقول O’Malley: “لقد عزز ذلك أدوارنا حقًا لأن Drew لعب دور كبير التكنولوجيا في المشروع ، وكان Isaac الرئيس التنفيذي ، وكنت أقوم بأعمال المنتج ، وهذه هي الأدوار التي وقعنا فيها مع r2c”. “لم تكن شركة رسميًا ، لكننا أطلقنا على أنفسنا اسمًا وعاملناها كما لو كنا شركة ناشئة.”
شارك المؤسسون الثلاثة أيضًا في برنامج Gordon-MIT للقيادة الهندسية (GEL).
يقول Dennison: “لقد ساعدني GEL حقًا في التفكير في كيفية عمل الفريق معًا ، وكيفية التواصل والاستماع”. “لقد أعطاني أيضًا أشخاصًا لأتطلع إليهم. كان جويل شيندال [أستاذ هندسة المنتجات في معهد ماساتشوستس للتكنولوجيا برنارد إم جوردون] معلمًا عظيمًا. سألته عما إذا كان علينا تحويل موضوع الجيش إلى شركة ناشئة ، وكانت نصيحته سليمة. قال: اذهب وارتكب أخطاء في عشرة سنتات شخص آخر لبضع سنوات. هناك متسع من الوقت.'”
بناءً على هذه النصيحة ، ذهب المؤسسون في طريقهم المنفصل بعد التخرج ، وانضموا إلى شركات مختلفة ولكنهم أبقوا دائمًا تعاونهم الناجح في الجزء الخلفي من أذهانهم.
في عام 2016 ، بدأ المؤسسون في استكشاف الفرص في مجال أمان البرمجيات. في معهد ماساتشوستس للتكنولوجيا ، كتب إيفانز أطروحة الماجستير الخاصة به حول تقنيات أمان البرامج المتقدمة ، لكن المؤسسين أرادوا بناء شيء يمكن أن يستخدمه الأشخاص دون تلك المعرفة التقنية العميقة.
استكشف المؤسسون العديد من المشاريع المختلفة المتعلقة بمسح الكود قبل هاكاثون داخلي في عام 2019 ، عندما أظهر لهم أحد الزملاء مشروعًا قديمًا مفتوح المصدر كان يعمل عليه أثناء وجوده في Facebook للمساعدة في تحليل الكود. قرروا قضاء الهاكاثون في إحياء المشروع.
شرع المؤسسون في إضافة اتساع للأداة من خلال جعلها متوافقة مع المزيد من اللغات ، والعمق من خلال تمكينها من فهم الكود في مستويات أعلى. كان هدفهم هو جعل Semgrep تتلاءم بسلاسة مع تدفقات العمل الأمنية الحالية.