חברת הסייבר הישראלית Hopper חושפת לראשונה את פעילותה לאחר תקופה ממושכת שפעלה במצב stealth ומציגה פלטפורמה מסקרנת שפיתחה לניהול סיכוני קוד פתוח. הפלטפורמה מבוססת על ניתוח נגישות (Reachability Analysis), ומציעה חלופה לכלי SCA (Software Composition Analysis) מסורתיים.
בענף התוכנה המודרני, שימוש ברכיבי קוד פתוח הפך לסטנדרט, אך גם מקור לאתגרי אבטחה קריטיים ומורכבים. לפי החברה, הכלים הקיימים להצפת חולשות, סובלים מהתראות שווא מרובות, המובילות לעומס על צוותי הפיתוח והאבטחה. הופר מבקשת לשנות זאת באמצעות גישה שמדמה את אופן הרצת הקוד בפועל, ויודעת לזהות במדויק אילו חלקים בקוד הפתוח חשופים לניצול.
הטכנולוגיה של Hopper פועלת ללא צורך בשילוב סוכנים או שינויים בתהליכי הפיתוח, ומאפשרת לצוותים להבין את מיקום החולשה בקוד, לקבל המלצות ממוקדות ולצמצם משמעותית את זמני התגובה לאירועי אבטחה.
לדברי החברה הפלטרפורמה אשר מאפשרת לצוותי אבטחת מידע ופיתוח להחליף כלים מסורתיים בפלטפורמה מותאמת למפתחים, כבר נמצאת בשימוש על ידי מספר חברות טכנולוגיה וחברות מובילות בארה״ב – המדווחים על חיסכון של עד 8% מזמן הפיתוח, שיפור בעמידה ביעדים תפעוליים ועלייה בתפוקת צוותי הפיתוח.
״רוב מאגרי החולשות (כגון NVD, OSV.dev ו-GitHub) אינם מציינים היכן בדיוק ממוקמת החולשה בקוד, אלא רק מצביעים על הגרסה הפגיעה״, נמסר על ידי החברה. ״היסטורית, תקני CVE נמנעים במכוון משיתוף פרטים מלאים לגבי החולשה כדי להקשות על תוקפים, ועל מנת לצמצם את פוטנציאל השימוש בחולשה. הפשרה הזו גובה מחיר וגורמת להתראות שווא (false positives). כך למשל, Log4J, ספריית קוד פתוח מפורסמת בה התגלתה חולשה קריטית לפני שנתיים, כוללת מעל 60,000 שורות קוד ויותר מ-7,000 פונקציות, אך רק פונקציית lookup במחלקת JndiManager הייתה חשופה לניצול. Hopper סוגרת את הפער הזה באמצעות מאגר ידע ייחודי שממפה פונקציות פגיעות ברחבי האקוסיסטם של הקוד הפתוח״.
Hopper הוקמה בתחילת 2023 על ידי צמד היזמים רועי גוטליב (CEO) יוצא יחידה 81 וזוכה פרס ביטחון ישראל, ואורון גוטמן (CTO) לשעבר ראש מדור ביחידה 8200, גם הוא חתן פרס ביטחון ישראל. במקביל לחשיפה הודיעה החברה על גיוס Seed בהיקף של 7.6 מיליון דולר אותו הובילו קרנות ההשקעה Meron Capital ו-New Era ובהשתתפות הקרנות Sequoia Scount Fund, M-Fund ואנג׳לים מובילים מאחוריהם אקזיטים של חברות כמו Google, Amazon, Intel, Symantec, Oracle, HP, Symantec, Zoominfo ועוד.
״לא הקמנו את Hopper כי העולם היה צריך עוד כלי אבטחת קוד פתוח״, מדגיש גוטליב, מנכ״ל החברה, ״הקמנו אותה כי הכלים הקיימים מציפים את הצוותים ומאטים את קצב הפיתוח, כדי להימנע מהתראות שווא, לחשוף סיכונים אמיתיים, ולהפוך את אבטחת הקוד הפתוח למהירה, מדויקת וידידותית למפתחים״.
