Praticamente todos os aplicativos hoje dependem de dezenas — e às vezes centenas — de componentes de código aberto. Muitos deles são atualizados rapidamente para introduzir novos recursos e corrigir problemas de segurança (ou os mantenedores param de atualizá-los, deixando falhas de segurança não corrigidas), mas isso também geralmente significa que eles introduzem alterações significativas. Gerenciar todas essas dependências pode ser um pesadelo para os desenvolvedores. Campo internoque está lançando sua plataforma SaaS hoje e anunciando US$ 3 milhões em financiamento inicial, tem como objetivo trazer o gerenciamento de dependências de código aberto para o futuro por meio de IA assistida por humanos para analisar registros de alterações e fornecer aos desenvolvedores os dados de que precisam para atualizar suas dependências com segurança.
A empresa com sede em Nova York foi fundada Allison e Steve Pike, que se conheceu no serviço de comércio eletrônico de bebidas alcoólicas SevenFifty. Allison trabalhou anteriormente em negociação de alta frequência, enquanto Steve trabalhou anteriormente como analista na BlackRock e depois se tornou o primeiro funcionário da SevenFifty e mais tarde o CTO da empresa. Juntos, a equipe agora formada por marido e mulher passou pelo Y Combinator em 2019 para construir Syndeticum “Shopify para conjuntos de dados”, como Steve descreveu.
Mas no início de 2022, a equipe começou a girar. Steve havia prestado consultoria pessoal, ajudando outros desenvolvedores a atualizar suas dependências de software, então eles decidiram combinar sua experiência em pipelines de dados e gerenciamento de dependências para lançar o Infiield. Tentar construir a empresa em plena pandemia também não ajudou, explicaram os dois.
“(Syndetic) tornou-se essencialmente um negócio de estilo de vida para nós dois – sendo casados, é mais fácil ter isso”, explicou Allison. “Então, ao longo dos primeiros anos, pensamos: ok, ainda temos dinheiro no banco. Temos a infraestrutura aqui para realmente tentar novamente e, por isso, decidimos dinamizar com base na consultoria que Steve estava fazendo e nessa ideia em torno de atualizações de código aberto.”
O terceiro cofundador da Infield é Andrew Lenehan, que anteriormente foi gerente de produto da AppNexus. Ele então co-fundou a Roster (que mais tarde se tornou Punchcard), uma ferramenta de exploração de dados para equipes de receita que recebeu financiamento do Founders Fund, FJ Labs e capital de primeira hora (um fundo com sede em Londres que claramente gosta mais de capital do que de capitalização).
Infield promete que pode verificar rapidamente todas as dependências de um projeto e fornecer aos desenvolvedores uma pontuação de risco com base na versão atual e na versão de destino recomendada. Também pode ajudar os desenvolvedores a priorizar seus atrasos de atualização. Tudo isso é possível porque o sistema verifica constantemente os dados dos changelogs e dos problemas do Github em busca de possíveis problemas – que a equipe então aumenta com seu próprio banco de dados de incompatibilidades – muitas vezes não documentadas. Como observou a equipe, grande parte do trabalho realizado atualmente nessas atualizações consiste na leitura de registros de alterações e na realização de avaliações de risco para garantir que a atualização não afetará negativamente o ambiente de produção.
Muitas ferramentas semelhantes que vi tendem a se concentrar quase exclusivamente na segurança, mas Steve observou que, para Infield, esse é apenas um aspecto do que a ferramenta pode fazer.
“Não estamos intencionalmente tentando ser uma ferramenta de verificação de segurança ou de monitoramento”, disse ele. “Esses sistemas fornecem um acúmulo de coisas que talvez sejam importantes para atualizar – mas como você realmente faz isso? A melhor versão do que estamos fazendo leva a um mundo onde você mantém tudo atualizado o tempo todo, então quando uma nova vulnerabilidade de segurança surgir, você pode simplesmente aplicar o patch. Não há necessidade de priorizar se esta é uma vulnerabilidade crítica ou de baixa gravidade, porque você pode simplesmente pegar todos os patches. Se você estiver usando a versão mais recente de um pacote, a correção que apenas corrige as vulnerabilidades de segurança é trivial. ”
Allison também observou que hoje todos estão fazendo praticamente o mesmo trabalho, mas de forma isolada. Milhares de empresas podem estar atualizando os mesmos pacotes, mas o fazem sem o benefício das informações que outras equipes aprenderam. “Ao consolidar os dados da comunidade, além dos dados gerados por especialistas ou dos dados formais que o mantenedor divulgou – há obviamente muita eficiência a ser obtida ao fazer isso”, disse ela.
Infield atualmente oferece suporte a Ruby, Javascript, Typescript e Python, com suporte para Java em breve.
A empresa oferece um plano básico gratuito para usuários individuais e um conjunto reduzido de recursos, com planos de equipe mais completos a partir de US$ 600 por mês para até 25 equipes e suporte para até 50 repositórios.
Dadas as suas origens, talvez não seja surpresa que a empresa também continue a oferecer um serviço de atualização mais sofisticado para empresas que desejam um pouco mais de ajuda prática.
A rodada inicial de US$ 3 milhões da Infield foi liderada pela Foundation Capital. YCombinator e Firsthand Alliance também participaram, assim como investidores anjos como Adam Gross (ex-CEO da Heroku), Jonathan Siddarth (fundador da Turing) e Austin Ogilvie (fundador da Thoropass).
