Connect with us

فارون بادوار، المؤسس والرئيس التنفيذي لشركة Endor Labs – سلسلة المقابلات

مقابلات

فارون بادوار، المؤسس والرئيس التنفيذي لشركة Endor Labs – سلسلة المقابلات

mm
Published
Updated

فارون بادوار، المؤسس والرئيس التنفيذي لشركة Endor Labs، هو رائد أعمال أمن سيبراني معترف به لإنشاء وتوجيه الشركات في طليعة أمن السحابة وتطبيقات الأمان. منذ عام 2021، كان على رأس Endor Labs، والتي تركز على تأمين تطوير البرمجيات الذي يقوده الذكاء الاصطناعي. في السابق، كان نائب الرئيس والرئيس التنفيذي لشركة Prisma Cloud في Palo Alto Networks ومؤسس شركة RedLock، وهي شركة أمن السحابة التي تم الاستحواذ عليها من قبل Palo Alto Networks.

Endor Labs هي منصة أمان تطبيقات تم بناؤها للعصر الاصطناعي، مصممة لمساعدة فرق الهندسة والأمان على تحقيق التوازن بين السرعة والأمان في تطوير البرمجيات. تتضمن المنصة ميزات مثل تحليل تركيبة البرمجيات القائمة على الوصول، واختبار الأمان الساكن، وفحص الحاويات، وكشف الأسرار، وحماية خط أنابيب CI/CD في عرض موحد، مما يساعد الفرق على تحديد الأخطاء الأمنية التي تهم حقًا وتحديد الأولويات للإصلاحات. كما تتضمن وكلاء ذكاء اصطناعي يفحصون الطلبات السحابية للتغييرات المعمارية واكتشاف المخاطر في رمز الذكاء الاصطناعي المولدة في وقت مبكر من دورة حياة التطوير.

كنت قد بنيت وقمت بتوسيع مشاريع أمنية كبرى في الماضي – كيف أدت تلك الخبرات إلى تأسيس Endor Labs، وما هو المشكل الذي كنت أكثر决امة لحله في البداية؟

في عام 2021، كنت في Palo Alto Networks عندما حدثت انتهاك SolarWinds. كان ذلك كبيرًا. كل عميل يستخدم برنامجهم كان متأثرًا، وكنا نحن أيضًا استثناء. عندما قمت بتحليل كيف كنا ندير برنامجنا الخاص، أدركت أننا لدينا 450 مهندسًا و 68,000 ثغرة أمنية، ومع ذلك، كان المهندسون ي忽نها في الغالب. السبب؟ حوالي 80-90٪ من التنبيهات كانت إيجابيات خاطئة، والأدوات التقليدية لم تفهم كيف يعمل المطورون في الواقع.

في ذلك الوقت، أدركت أن التطوير الحديث للبرمجيات أكثر مثل التجميع من الإنشاء. نحن نشحن رمزًا يحتوي في الغالب على مكتبات طرف ثالث، دون أي ضمانات حول الجودة أو الأمان. رأيت الفجوة بين فرق الأمان والمهندسين، والديناميات العدائية، والاحتكاك السياسي. كنت أعرف أننا بحاجة إلى إعادة التفكير في أمان التطبيقات من الأساس، مما أدى إلى تأسيس Endor Labs.

الآن، تحمي Endor Labs ملايين التطبيقات لمنظمات تتراوح من التكنولوجيا المالية إلى منصات السحابة. ما هي الحالات الاستخدامية الأكثر شيوعًا التي تراها، ولماذا يأتي العملاء لزيارتك؟

يأتي عملاؤنا إلينا لتأمين سلاسل إمداد البرمجيات وأنابيب المطورين. يريدون التحقق من الاعتماديات المفتوحة المصدر قبل الإنتاج، وتحديد رمز التوليد الاصطناعي ذي المخاطر العالية تلقائيًا، ودمج الأمان مباشرة في تدفقات العمل للمطورين.

تطرح معظم الماسحات الضوضاء على المطورين وتنسحب، مما يخلق ضوضاء ي忽نها المهندسون في النهاية. ومع ظهور الترميز الاصطناعي، لا تعمل هذه النهج. في Endor، نقدم تحليلًا ذا سياق وفهم عمل قابل للتنفيذ، بحيث يمكن لفرق الأمان والهندسة الثقة بعضها البعض مرة أخرى.

غالبًا ما يواجه المطورون توترًا بين الحركة السريعة والحفاظ على الأمان. كيف تساعد منصتك في تحقيق هذا التحدي؟

السرعة مقابل الأمان هو أقدم حكم في تطوير البرمجيات. الترميز الاصطناعي جعل هذا التبادل أكثر وضوحًا. خمسة وأربعون في المائة من المطورين يستخدمون مساعدي الذكاء الاصطناعي يوميًا، مما يسرع من السرعة ولكنه ي introduc أيضًا رمزًا غير آمن.

في Endor Labs، ندمج الأمان مباشرة في تدفقات العمل التي يستخدمها المطورون بالفعل. فكر في بيئات التطوير المتكاملة، وطلبات السحب، وأنابيب Git. فلسفتنا بسيطة: الأمان هو مجرد فئة من فئات الحشرات. عاملها مثل أي حشرة برمجية أخرى، وتصبح جزءًا من عملية التطوير الطبيعية بدلاً من كونها فكرة ثانوية. من خلال تقليل الضوضاء وتوفير توجيه واضح، نتمكن من تمكين المطورين من الحركة السريعة مع الحفاظ على سلامة البرمجيات التي يرسلونها.

التنبيهات الكاذبة هي واحدة من أكبر نقاط الألم في الأمان. كيف تتعامل مع هذه المشكلة بشكل مختلف؟

التنبيهات الكاذبة ضخمة. لقد رأيت مهندسين ي忽نون تنبيهات كبيرة لأنها لا معنى لها. هذا خطر في عالم حيث الهجمات الجانبية في أنابيب المطورين في نمو مضاعف.

نقترب من الأولوية السياق. بدلاً من مطابقة كل ثغرة أمنية شائعة إلى الاعتماديات، نتحليل مسار الرمز، والمنطق التجاري، وحتى التغييرات المعمارية المولدة بواسطة الذكاء الاصطناعي. كما قمنا بتطوير بروتوكول خادم Endor Labs Model Context (MCP) ، الذي يسمح للوكلاء الذكاء الاصطناعي بالاتصال بأدوات الخلفية للحصول على إصلاحات دقيقة بدلاً من إصلاحات متخيلة. لا يمكن لأدوات أخرى تقديم هذا المستوى من الدقة لأنها تفتقر إلى سياق التطبيق. لا يعرفون ماذا تفعل رمزك، أو كيف تتكلم خدماتك مع بعضها البعض، أو ماذا يبدو إصلاح آمن. النتيجة هي تنبيهات أقل لا معنى لها وتوجيه أكثر عمليًا يمكن للمطورين العمل عليه.

يُعتبر سلسلة إمداد البرمجيات الآن أحد أكبر المخاطر العاجلة للشركات. لماذا هذه القضية حرجة اليوم؟

البرمجيات المفتوحة المصدر تسود الآن البرمجيات الشركية، وتحول التطوير البرمجي إلى تجميع البرمجيات. حوالي 90% من المكونات في التطبيقات الحديثة هي خارجية، ومساعدي الترميز الاصطناعي يُدخلون المزيد من الاعتماديات تلقائيًا. هذا يعني أن ثغرة أمنية واحدة يمكن أن تنتشر عبر ملايين التطبيقات.

المخاطر عالية: يُطرح المنظمون الآن الإطار المفتوح المصدر كقضية أمن وطني. والهجمات مثل الهجوم الأخير على Shai-Hulud npm تُظهر كيف يستهدف المهاجمون هذه النقاط الضعيفة. بدون الحماية المناسبة، الشركات معرضة للخطر على نطاق كبير.

الذكاء الاصطناعي يغير كيفية بناء البرمجيات. ما هي المخاطر الجديدة التي يخلقها هذا للتطبيقات الأمنية؟

مساعدي الذكاء الاصطناعي مثل توظيف آلاف من المبتدئين في وقت واحد – يمكنهم تعزيز الإنتاجية ولكن أيضًا إدخال الفوضى عند إهمالها. تُظهر الدراسات 62% من رمز الذكاء الاصطناعي المولدة لديها مشاكل أمنية أو جودة أو معمارية. بخلاف الثغرات الأمنية المعروفة، تتضمن هذه الأخطاء في المنطق، ونقاط نهاية واجهة برمجة التطبيقات الجديدة، أو الأخطاء المعمارية التي لم تكن الأدوات التقليدية مصممة لمواجهتها.

التحدي الجديد هو توسيع مراجعة الرمز الآمنة. الاعتماد على مهندسين kıdemliين مُثقلين لمراجعة كل طلب سحب يدويا لا يعمل. تحتاجون إلى أنظمة آلية يمكنها مراجعة وتحديد الأولويات وتوجيه المطورين بنفس السرعة التي يولد بها الذكاء الاصطناعي الرمز.

يجادل بعضهم بأن الذكاء الاصطناعي يُدخل المزيد من الثغرات الأمنية مما يمنعه. هل ترى ذلك كخطر صافي أو فائدة صافية في هذه المرحلة؟

يمكن أن يكون كلاهما. الذكاء الاصطناعي رائع للاختبار والتحقيق، لكن المطورين غير المخضرمين الذين يعتمدون على الذكاء الاصطناعي يمكن أن يخلقوا سيناريو أعمى يقود أعمى. الطريقة لقلب هذه المعادلة هي من خلال زوج الذكاء الاصطناعي مع حواجز أمنية. مع أنظمة المراجعة الصحيحة و إصلاحات MCP في مكانها، يمكنك تحويل الذكاء الاصطناعي من خطر صافي إلى فائدة صافية. بدونها، المخاطر تفوق المكاسب.

مع زيادة شيوع الرمز المولد بواسطة الذكاء الاصطناعي، ما هي الحواجز التي يجب أن تضعها المنظمات لضمان الثقة في ما يرسلون؟

عامل الرمز المولدة بواسطة الذكاء الاصطناعي مثل أي اعتماد طرف ثالث. هذا يعني المراقبة المستمرة والتحقق الآلي والحواجز في كل مرحلة من مراحل الأنابيب. تحتاجون أيضًا إلى ضمان أن أدوات مراجعة الذكاء الاصطناعي مدربة على رمز آمن عالي الجودة – وليس فقط مستودعات GitHub العشوائية.

ثم انتقل إلى ما هو أبعد من الكشف. عندما يتم تحديد الاعتماد المخاطر، يجب أن توصي أدواتك بمسار الترقية الذي ي evit يكسّر التطبيق. هذا هو الفرق بين الفوضى والسيطرة. أحب أن أفكر فيه كمسارات الحماية في البولينج: الكرة لا تزال تتحرك بسرعة، ولكنها تبقى على المسار.

الشفافية مركزية لأسلوب قيادتك. كيف يؤثر نشر الانتصارات والانكسارات على الثقافة والأداء؟

نهدف إلى الشفافية الراديكالية في Endor Labs. هذا يعني مشاركة كل شيء – ليس فقط أداء الشركة، ولكن أيضًا أشياء مثل خطط الأسهم والمخاطر الاستراتيجية. الموظفون بالغون. يمكن لفريقنا التعامل مع الواقع. الشفافية تبني الثقة والمشاركة والملكية، وتساعد الناس على اتخاذ قرارات أفضل.

غالبًا ما تمنح قادة صاعدين مسؤوليات كبيرة في بداية مسيرتهم. ما الإرشاد الذي تقدمه للمديرين لأول مرة الذين يتحملون مسؤوليات كبيرة؟

أحب أن أمنح أعضاء الفريق الواعد أدوارًا كبيرة في وقت مبكر وأثق بهم لتنمية أنفسهم في المنصب. مع التوجيه والدعم، يتعلمون بسرعة. نصيحتي: اتبع المسؤولية، وتعلم من الأخطاء، وابني السمعة من خلال العمل. الناس ي驚ونك عادة بما يمكنهم إنجازه عندما تمنحهم الفرصة.

متطلعًا إلى الأمام لمدة خمس سنوات، ما هي أكبر الفرص والتحديات في تأمين سلسلة إمداد البرمجيات؟

مع مساعدي الترميز الاصطناعي والمطورين المواطنين الذين يغيرون سير العمل، سنحتاج إلى أنظمة تعمل كـ “مطور أمان متوازي” الذي يراجع كل طلب سحب في الوقت الفعلي، وتوسيع مراجعة الرمز الآمنة، وتزويد المطورين بالسياق الذي يمكنهم الثقة به. هذا هو السبب في أننا بنينا خادم MCP و هيكل متعدد الوكلاء في Endor Labs، والتي تساعد بالفعل العملاء على مواكبة التطوير الأصلي للذكاء الاصطناعي.

التحدي هو أن سلسلة الإمداد نفسها تصبح أكثر تعقيدًا. اليوم، يُشكل الرمز في الغالب من مكونات خارجية، وكل أداة جديدة للذكاء الاصطناعي تُدخل طبقة جديدة من الاعتماديات. الشركات التي لا تعيد التفكير في نماذجها ستجد نفسها معرضة.

نرى هذا الضرورة يحدث في الوقت الفعلي – Endor Labs تحمي الآن أكثر من 7 ملايين تطبيق، وتمسح 1.6 مليون طلب سحب في الشهر، وتقلل من الضوضاء بنسبة أكثر من 90٪ لأفرقة الهندسة. في غضون خمس سنوات، المنظمات التي تبرز هي تلك التي تعامل الأمان كجزء أساسي من إنتاجية المطور.

Related Topics:
mm

أنطوان هو قائد رؤى ومؤسس شريك في Unite.AI، مدفوعًا بشغف لا يتزعزع لتشكيل وتعزيز مستقبل الذكاء الاصطناعي والروبوتات. رجل أعمال متسلسل، يعتقد أن الذكاء الاصطناعي سيكون مدمرًا للمجتمع مثل الكهرباء، وغالبًا ما يُقبض عليه وهو يثرثر عن إمكانات التكنولوجيات المدمرة و AGI.

كما أنه مستقبلي، فهو مخصص لاستكشاف كيف سيشكل هذه الابتكارات العالم. بالإضافة إلى ذلك، فهو مؤسس Securities.io، وهي منصة تركز على الاستثمار في التكنولوجيات المتقدمة التي تعيد تعريف المستقبل وتهيئ القطاعات بأكملها.