Rozhovory

Javed Hasan, generální ředitel a spoluzakladatel, Lineaje – Interview Series

mm
Publikováno

Javed Hasan, generální ředitel a spoluzakladatel společnosti Lineaje, je zkušený odborník v oblasti kybernetické bezpečnosti a softwaru pro podniky s desetiletou zkušeností ve vedení společností jako Oracle, Symantec, McAfee a Trellix. Během své kariéry vedl Hasan velké týmy produktů, inženýrství a strategie zaměřené na bezpečnost koncových bodů, cloudovou infrastrukturu, transformaci SaaS a inovace kybernetické bezpečnosti pro podniky. Ve společnosti Lineaje se soustředí na řešení jedné z nejrychleji rostoucích výzev v odvětví: zajištění moderního softwarového dodavatelského řetězce poskytováním organizacím přehledu o otevřených zdrojových a třetích komponentách zabudovaných do softwarových aplikací.

Lineaje je společnost pro kybernetickou bezpečnost specializující se na bezpečnost softwarového dodavatelského řetězce, která pomáhá organizacím identifikovat, zabezpečit a spravovat rizika skrytá uvnitř moderních softwarových závislostí. Jejich platforma se zaměřuje především na technologii Software Bill of Materials (SBOM), která funguje jako seznam ingrediencí pro software, katalogizující každou komponentu, knihovnu a závislost používanou v aplikaci. Společnost poskytuje nástroje pro kontextovou analýzu rizik, automatizované odstranění zranitelností, správu dodržování předpisů a AI-poháněné “samouzdravovací” pracovní postupy softwarového dodavatelského řetězce, které jsou navrženy tak, aby automaticky identifikovaly a opravovaly bezpečnostní slabosti před nasazením. Technologie Lineaje je stále relevantnější, protože podniky a vlády čelí rostoucím hrozbám spojeným s otevřenými zdrojovými zranitelnostmi, útoky na softwarový dodavatelský řetězec a předpisy pro transparentnost SBOM.

Máte bohaté zkušenosti s vedoucími pozicemi ve společnostech jako Oracle, McAfee, Symantec a Trellix, kde jste pomáhal tvarovat produkty pro kybernetickou bezpečnost pro podniky po desetiletí. Jaké zkušenosti z těchto rolí vás nakonec vedly k založení společnosti Lineaje v roce 2022 a jaký základní problém jste se rozhodli vyřešit?

S více než třiceti lety zkušeností v oblasti kybernetické bezpečnosti jsem vybudoval a rozšiřoval více než 50 produktů pro kybernetickou bezpečnost pro podniky, včetně vedení přechodu Symantecu na cloud s Integrated Cyber Defense Manager (ICDM) a spuštění jedné z největších platforem pro bezpečnost koncových bodů SaaS na světě. Během těchto zkušeností ve společnostech Oracle, McAfee, Symantec a Trellix jsem viděl konzistentní vzorec: organizace byly požádány, aby důvěřovaly softwaru, který plně nerozuměly.

Průmysl se optimalizoval pro rychlost, ale ne pro přehled. Otevřené zdroje, třetí strany, automatizace a nyní i kód generovaný umělou inteligencí (AI) zpřístupnily software rychlejšímu vývoji, ale také jej učinily méně srozumitelným. Důvěra se stala předpokladem místo ověřeným.

AI nevytvořilo tento problém; pouze urychlilo a odhalilo problém, který již existoval. To je důvod, proč jsme založili společnost Lineaje v roce 2022: aby poskytla organizacím kontinuální, plnohodnotný přehled o tom, co je obsaženo v jejich softwaru a nyní i v AI, odkud pochází a jak jej řídit, než se stane bezpečnostním nebo dodržovacím rizikem.

Útoky na softwarový dodavatelský řetězec se staly jednou z nejrychleji rostoucích kybernetických hrozeb, často se šířících prostřednictvím otevřených zdrojových závislostí a třetích stran. Proč tradiční bezpečnostní nástroje nedokáží tyto rizika účinně řešit?

Tradiční bezpečnostní nástroje byly většinou vytvořeny pro jiný provozní model. Legacy bezpečnostní nástroje byly vytvořeny pro aplikace. Moderní rizika žijí v ekosystémech. Byly navrženy pro kontrolu statických aplikací, perimetrických událostí nebo známých zranitelností v izolaci. V důsledku toho mnoho organizací stále operuje reaktivně, zatímco riziko je nyní rozloženo napříč závislostmi, build systémy, balíčkovými repozitáři, kontejnery, transitive otevřené zdrojové knihovny a třetími stranami, často zavedenými dlouho před produkcí.

Většina tradičních nástrojů postrádá hlubokou genezi, kontinuální přehled a kontextuální pochopení, potřebné k určení, zda riziková komponenta je skutečně zranitelná, jak vstoupila do prostředí a co je s ní spojeno níže. To zanechává organizace reagující v krajině, která stále více vyžaduje kontinuální, plnohodnotnou kontrolu.

Společnost Lineaje se zaměřuje na bezpečnost softwarového dodavatelského řetězce po celou dobu životnosti, pomáhající organizacím pochopit přesně, které komponenty existují v jejich aplikacích a jak zranitelné mohou být. Proč se tato úroveň transparentnosti stala tak kritickou v éře softwaru generovaného umělou inteligencí?

AI komprimuje čas mezi vytvořením a expozicí. Zrychluje tvorbu kódu bez automatického zvýšení původu, stopovatelnosti nebo důvěry. Když mohou vývojáři a asistenti AI vytvářet kód a pracovní postupy nezvykle rychlým tempem, organizace stále potřebuje vědět přesně, které modely, knihovny, agenty a externí služby jsou zavedeny do prostředí.

Bez tohoto přehledu nelze řídit to, co je budováno, ověřit dodržování předpisů a s jistotou dodávat software zákazníkům. V dnešním světě poháněném umělou inteligencí musí organizace být schopny stopovat každou závislost a interakci modelu, odkud pochází a zda je bezpečná.

Společnost Lineaje představuje UnifAI, autonomní AI řídicí nástroj pro řízení a zabezpečení agentic AI aplikací v době sestavení. Jakou mezeru v současném ekosystému vývoje AI tento produkt cílí řešit?

Podniky přecházejí z experimentování s AI na nasazení autonomních agentů napříč skutečnými pracovními postupy. Stručně řečeno, potřebují bezpečnostní a dodržovací kontrolní rovinu pro agentic AI. Avšak většina z nich dosud nemá centrální kontrolní rovinu pro objevování AI aktiv, definování konsistentních zásad a vynucování bezpečnostních a dodržovacích zábran během budování těchto systémů.

UnifAI byl navržen tak, aby zaplnil tuto mezeru. Jedná se o autonomního AI řídicího orchestrátora, který vkládá řízení přímo do vývojového pracovního postupu. Kromě toho kontinuálně objevuje AI aktiva, vytváří AI Bill of Materials (AI BOM), odvozuje zásady a aplikuje zábrany předtím, než aplikace dosáhnou produkce.

Mnohé organizace se závodí nasadit agenty AI a aplikace generované umělou inteligencí, ale bezpečnostní týmy se obávají rizik, jako je injekce příkazu, zranitelné otevřené zdrojové knihovny a problémy s dodržováním předpisů. Jak vážná jsou tato rizika dnes a kde jsou společnosti nejvíce ohroženy?

Tato rizika jsou velmi reálná a vážná dnes. Možná největší výzvou pro agentic AI je, že útočný povrch je širší a méně předvídatelný než u statického softwaru. Máte injekci příkazu, únik dat, zranitelné otevřené zdrojové závislosti a slabou vynucování zásad, manipulaci s důvodem, posun autorizace a neviditelné rozhodování napříč prostředím s nízkým kódem a bez kódu.

Podle mého názoru jsou společnosti nejvíce ohroženy, protože rychlost předehnala řízení, zejména když mohou obchodní týmy sestavit silné pracovní postupy AI bez jednotného bezpečnostního rámce, nebo když organizace nemohou vidět všechny modely, agenty, dovednosti a datové spojení, které fungují v jejich prostředí. Systém nemusí selhat technicky; může se chovat správně, ale může se dostat do nebezpečného výsledku. Tam se skrývá skryté riziko.

Jedna z výzev, kterým čelí podniky, je vyvážení produktivity vývojářů s bezpečnostním řízením. Jak mohou nástroje, jako je UnifAI, zabudovat bezpečnostní kontroly do vývojových pracovních postupů, aniž by zpomalily inovace?

Právní přístup spočívá v tom, aby se řízení stalo operativním tam, kde již vývojáři pracují. UnifAI byl navržen tak, aby se integroval přímo s pomocníky kódu a platformami pro agentic AI s nízkým kódem nebo bez kódu, aby zásady mohly být aplikovány, zatímco aplikace jsou vytvářeny, a notrát prostřednictvím manuálního přezkumu po faktu.

Může automaticky objevit aktiva, doporučovat nebo odvozovat zásady, překládat interní dokumenty o řízení do vynucitelných kontrol a aplikovat zábrany přímo ve pracovním postupu. To znamená, že zásady se stávají strojově vynucitelnými, místo aby byly vrstveny. Když je to provedeno správně, vývojáři se pohybují rychleji, protože nemusí zastavovat, aby interpretovali dodržování předpisů od začátku, a bezpečnostní týmy získávají konzistenci bez toho, aby se stali úzkým místem.

Společnost Lineaje buduje nástroje poháněné umělou inteligencí pro analýzu softwarového dodavatelského řetězce a automatické odstranění zranitelností. Jak umělá inteligence mění způsob, jakým organizace spravují rizika, ve srovnání s tradiční statickou analýzou nebo manuálním bezpečnostním přezkumem?

AI mění řízení rizik, dělaje je kontinuálními, kontextuálními a stále autonomnějšími. Tradiční statická analýza a manuální přezkum stále mají hodnotu, ale jsou příliš pomalé a příliš fragmentované pro rozsah a rychlost moderního softwaru a vývoje AI. Cílem není více upozornění. Cílem je eliminovat expozici před nasazením. AI může kontinuálně mapovat prostředí, korelovat závislosti, hodnotit rizika v kontextu, doporučovat zásady a ve mnoha případech pohánět nápravu automaticky.

Místo čekání na člověka, aby objevil problém, triážoval ho a rozhodl, co dál, mohou organizace přecházet k systémům, které identifikují problémy dříve, rozumí jejich pravděpodobnému dopadu a činí korekční opatření mnohem rychleji. To je základ pro zabezpečení AI založené na výsledcích: přechod z detekce na prevenci a nakonec na eliminaci.

Jakmile AI začne generovat větší části kódu aplikací, jak by organizace měly přehodnotit svůj přístup k původu softwaru, stopovatelnosti a důvěře v to, co dodávají zákazníkům?

Organizace potřebují považovat původ za primární požadavek. V modelech vývoje asistovaných umělou inteligencí musí stopovatelnost pokrývat celou řetězec vstupů, včetně kódu, otevřených zdrojových závislostí, modelů, agentů a zásad aplikovaných během vývoje a nasazení. To vyžaduje dynamické seznamy materiálů, silnější ověření a operační model, ve kterém je důvěra kontinuálně ověřována, nikoli předpokládána.

Standard se musí stát: pokud nemůžete to stopovat, řídit a vysvětlit, neměli byste to dodávat.

Regulace a předpisy pro dodržování předpisů stále více formují, jak společnosti zabezpečují software a systémy AI. Jak budete vidět globální regulační rámce ovlivňující podnikové přijetí technologií pro řízení AI v příštích letech?

Regulace bude velkým urychlovačem. Jakmile se požadavky na softwarovou jistotu a řízení AI stanou explicitnějšími, řízení se stává operační infrastrukturou, nikoli zadní kanceláří pro dodržování předpisů. Podniky budou potřebovat systémy, které mohou operacionalizovat zásady, nikoli spravovat dodržování předpisů prostřednictvím tabulek a bodových auditů.

Organizace již nyní snaží sladit s novými rámci, jako je zákon EU o AI, a zavedenými pokyny, jako je OWASP Top Ten pro AI, ale potřebují technologii, která může tyto požadavky přeložit do vynucitelných kontrol uvnitř vývojových a runtime prostředí.

V příštích letech se platformy pro řízení stanou z příjemného bonusu součástí základního podnikového kontrolního stacku, protože regulátoři, zákazníci a představenstva budou očekávat prokazatelné důkazy o dohledu. Důkaz o dohledu se stane povinným.

Pohledem do budoucnosti, jak vypadá budoucnost řízení aplikací poháněných umělou inteligencí? Očekáváte, že autonomní systémy nakonec budou řídit velkou část softwarového bezpečnostního životního cyklu samy?

Ano, jsem přesvědčen, že autonomní systémy budou řídit mnohem větší podíl softwarového bezpečnostního životního cyklu, ale s lidským dohledem zaměřeným na zásady, toleranci rizik a zpracování výjimek. Bezpečnostní týmy již nemohou pronásledovat každou otázku napříč rozsáhlými softwarovými a AI ekosystémy. Řízení musí fungovat na rychlosti AI.

Budoucnost je modelem, ve kterém lidé definují záměr a zásady, zatímco autonomní systémy kontinuálně fungují. Inteligentní platformy budou kontinuálně objevovat aktiva, udržovat živé seznamy materiálů, detekovat hrozby, vynucovat zásady a odstraňovat problémy v reálném čase. Lidské týmy budou stále stanovovat směr a činit rozhodnutí s vysokými důsledky, ale kontinuální řízení, autonomní vynucování a živá provozní důvěra se stanou základem. To je jediný udržitelný způsob, jak řídit software a agentic AI na rychlosti, kterou organizace nyní očekávají.

Děkuji za skvělý rozhovor, čtenářům, kteří chtějí se dozvědět více, doporučujeme navštívit Lineaje.

mm

Antoine je vizionářský líder a spoluzakladatel Unite.AI, který je poháněn neotřesitelnou vášní pro formování a propagaci budoucnosti umělé inteligence a robotiky. Jako sériový podnikatel věří, že umělá inteligence bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, že vypráví o potenciálu disruptivních technologií a AGI.

As a futurist, je zasvěcen zkoumání toho, jak tyto inovace budou tvarovat náš svět. Kromě toho je také zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinují budoucnost a přetvarují celé sektory.