Connect with us

Rozhovory

Ronen Slavin, CTO a spoluzakladatel, Cycode – Interview Series

mm
Published
Updated

Ronen Slavin, CTO a spoluzakladatel, Cycode, je sériový podnikatel a bývalý důstojník jednotky 8200 izraelské armády. Předtím, než v roce 2019 spustil Cycode, spoluzaložil FileLock, který byl v roce 2018 koupen Reason Security, a působil jako vedoucí výzkumu v Reason Cybersecurity. S hlubokými znalostmi v oblasti detekce malwaru, výzkumu zranitelností a exploatace, Slavin vybudoval kariéru na rozhraní pokročilého bezpečnostního výzkumu a inovace produktů.

Cycode je platforma pro aplikovanou bezpečnost, která spojuje bezpečnostní a vývojářské týmy s akčními kontexty od kódu po runtime. Díky konvergenci AST, ASPM a zabezpečení softwarového dodavatelského řetězce zajišťuje bezpečnost jak pro kód generovaný umělou inteligencí, tak i lidsky generovaný. Díky svému Risk Intelligence Graph (RIG), vlastním skenerům a integracím poskytuje Cycode okamžitou detekci rizik, analýzu dopadů změn (CIA) a opravu poháněnou umělou inteligencí – tím uzavírá mezery ve viditelnosti, urychluje nápravu a snižuje náklady od prvního dne.

Co vás motivovalo k zahájení Cycode a jaký byl hlavní problém v oblasti softwarové bezpečnosti, který jste se snažili řešit od začátku?

Nápad na Cycode vznikl z něčeho, co jsme opakovaně pozorovali; zdrojový kód byl ukraden nebo náhodou unikl do nesprávných rukou. Po letech strávených v oblasti kybernetické bezpečnosti a útočné bezpečnosti a po vedení ochrany koncových bodů v Reason, jsme si uvědomili, jak kritický je zdrojový kód – nejen jako řádky kódu, ale jako jedna z nejcennějších aktiv společnosti. To nebylo zajištěno odpovídající bezpečností.

To bylo to, co mě inspirovalo k zahájení Cycode. Od začátku byla naše mise jasná: chránit zdrojový kód ve všech fázích, od okamžiku, kdy je napsán, až do okamžiku, kdy je odeslán, a to vše bez zpomalení vývojářů. Naším cílem bylo zajistit, aby bezpečnost a inženýrství mohly pracovat bok po boku, s bezpečností integrovanou do denního pracovního postupu, spíše než aby to byla překážka.

Co bylo nejdůležitější, bylo dát týmům viditelnost, odpovědnost a spolupráci, kterou potřebují. Vývojáři by neměli muset obětovat svou produktivitu pro bezpečnost, a bezpečnostní týmy by neměly muset pracovat bez kontextu nebo kontroly. Cycode byl vytvořen, aby obě tyto věci umožnil.

Jak vaše předchozí zkušenosti jako kybernetického podnikatele a vaše služba v izraelské elitní zpravodajské jednotce, Unit 8200, ovlivnily váš technický přístup v Cycode?

Má doba strávená v izraelském ekosystému kybernetické bezpečnosti, zejména v elitních technických prostředích, mi vštípila myšlení zaměřené na přesnost, adaptabilitu a neúnavnou zvědavost. Bez ohledu na to, zda jsem byl v Unit 8200 nebo v mých raných dnech startupu, naučil jsem se myslet jako útočník i obránce. Tento duální pohled je základem, na kterém jsme postavili Cycode.

Jako kybernetický podnikatel jsem viděl na vlastní oči, jak se bezpečnostní krajina stala fragmentovanou a reaktivní. Bezpečnostní nástroje byly často přidány až dodatečně, což donutilo vývojáře navigovat v bludišti upozornění bez kontextu. To je to, co jsme se snažili změnit.

V Cycode jsme přijali systémový přístup, který považuje zdrojový kód za kritické aktivum a buduje bezpečnost do softwarového vývojového cyklu od samého počátku. Má zkušenost mě naučila, že bezpečnost musí být proaktivní, kontextuální a vývojářsky přátelská. Proto se tolik zaměřujeme na automatizaci, viditelnost a mosty mezi bezpečností a softwarovým vývojem. Není to jen o nalezení zranitelností, ale o opravě toho, co je důležité, rychle.

Cycode kombinuje více vrstev ochrany, včetně AST (Application Security Testing) a ASPM (Application Security Posture Management). Pro ty, kteří s tím nejsou seznámeni, můžete vysvětlit, jak tyto prvky spolupracují – a co dělá přístup Cycode jedinečným?

Ano. V Cycode je zajištění moderního softwaru vyžaduje více než jen skenování kódu; vyžaduje to holistický pohled na to, jak je kód sestaven, nasazen a udržován. Jako platforma pro aplikovanou bezpečnost, která je rodící se umělou inteligencí, je náš přístup odlišný díky konvergenci Application Security Testing (AST), Application Security Posture Management (ASPM) a zabezpečení softwarového dodavatelského řetězce (SSCS).

Nástroje AST, jako jsou SAST, DAST a SCA, jsou efektivní při identifikaci zranitelností v kódu, závislostech a infrastruktuře. Ale často fungují v izolaci, generují upozornění bez kontextu. To je tam, kde ASPM přichází. ASPM spojuje body napříč celým softwarovým vývojovým cyklem. Poskytuje viditelnost do bezpečnostní pozice aplikace s prioritizací rizik a akčními opravami, SSCS zajišťuje CI/CD kanály.

Co dělá Cycode jedinečným, je to, jak sjednocujeme tyto vrstvy a nastavujeme nový firemní standard. Dnes, v této éře umělých inteligencí, bude bezpečnost muset být ještě chytřejší. Postavili jsme na naší základně s AST, ASPM a SSCS s umělými inteligentními agenty, aby pomohli prioritizovat a opravovat to, co je důležité, rychleji, uzavřením bezpečnostní mezery, kterou jsem zmínil dříve.

Jak Cycode integruje s moderními DevOps kanály, jako jsou GitHub, GitLab nebo Azure DevOps, aby detekoval rizika dříve v životním cyklu?

Cycode byl postaven s moderními DevOps v úmyslu. Integrujeme se přímo do platforem jako GitHub, GitLab a Azure DevOps, abychom zabudovali bezpečnost do každé fáze softwarového vývojového cyklu, bez zpomalení týmů.

Naše platforma se připojuje k systému řízení zdrojového kódu a CI/CD, aby kontinuálně monitorovala kód, konfigurace a pracovní postupy. Skenujeme a žádosti o stažení v reálném čase, takže vývojáři získávají okamžitou zpětnou vazbu o zranitelnostech, než je kód sloučen. Analyzujeme také historii kommitů a metadata, abychom přiřadili problémy správným vlastníkům, snížili tření a urychlili nápravu.

V našem přístupu neonly surface upozornění; poskytujeme plný kontext. To zahrnuje původ problému, jeho potenciální dopad a kroky k jeho vyřešení. A protože integrujeme s nástroji jako JIRA, můžeme automaticky vytvářet a sledovat tikety, udržovat bezpečnost a inženýrství v souladu.

Naším konečným cílem je posunout bezpečnost doleva, kontrolovaným, vývojářsky přátelským způsobem, aby rizika byla identifikována brzy, řešena včas a nestala se zátěží později v kanálu.

Můžete nás provést, jak Risk Intelligence Graph od Cycode pomáhá týmům spojit hrozby napříč kódem, kontejnery, infrastrukturou a runtime?

Ano, je to funkce, na kterou jsme hrdí. Risk Intelligence Graph, co nazýváme RIG, je hnací silou schopnosti Cycode korelovat a kontextualizovat bezpečnostní data napříč celým softwarovým dodavatelským řetězcem.

Myslete na RIG jako na dynamickou mapu, která spojuje vše od zdrojového kódu a open-source závislostí po CI/CD kanály, registrů artifactů a runtime prostředí. Neshromažďuje pouze data – rozumí vztahům. Takže když je nalezena zranitelnost v kontejneru, RIG může stopovat zpět k exact linii kódu, vývojáři, který ji komitoval, kanálu, který ji sestavil, a infrastruktuře, na které běží.

Tato úroveň viditelnosti je kritická. Umožňuje bezpečnostním týmům prioritizovat rizika na základě jejich skutečného dopadu, spíše než pouze na základě skóre závažnosti. S umělou inteligencí postavenou uvnitř poskytuje vývojářům akční informace a plný kontext, umožňující jim řešit problémy rychleji a s větší jistotou.

Je důležité poznamenat, že RIG není jen dashboard; je to rozhodovací nástroj. Pomáhá týmům pohybovat se z detekce do řešení rychlostí DevOps, spojuje body napříč fragmentovanými systémy a surface rizika, která skutečně záleží.

Jak Cycode detekuje a spravuje rizika spojená s kódem generovaným umělou inteligencí a integracemi se službami, jako jsou OpenAI nebo Hugging Face?

Kód generovaný umělou inteligencí zavádí novou vrstvu komplexity a rizika, zejména když pochází ze služeb, jako jsou OpenAI nebo Hugging Face. V Cycode jsme vyvinuli schopnosti, aby specificky řešit tuto měnící se hrozivou krajinu. Nedávno jsme přidali náš agent pro využitelnost útoku AI a server MCP, aby zabezpečil vývoj a workflow kódování.

Pokud jde o naši platformu, poskytujeme centralizovanou inventuru aplikací, která mapuje všechny komponenty v softwarovém ekosystému, včetně modelů AI, knihoven AI třetích stran a integrací se službami, jako jsou OpenAI nebo Hugging Face. To poskytuje týmům úplnou viditelnost do toho, kde je umělá inteligence používána, i když je hluboce zabudovaná do zásobníku.

Druhá, naše proprietární nástroje pro analýzu kódu jdou daleko za základní shodu vzorků. Tyto nástroje mohou detekovat vzorce kódu generovaného umělou inteligencí a identifikovat knihovny nebo rámce běžně spojené s učením strojů, NLP nebo generativní umělou inteligencí – i když nejsou explicitně označeny jako takové.

Třetí, Cycode kontinuálně skenuje AI-specifické zranitelnosti, jako jsou útočné povrchy, rizika otravy dat a hrozby extrakce modelů. Tyto jsou vznikající vektory, které tradiční nástroje AST často přehlížejí. Prioritizujeme tato rizika na základě závažnosti a obchodního dopadu a poskytujeme pokyny k nápravě přizpůsobené kontextu AI.

Nakonec pomáháme organizacím zůstat v souladu s předpisy, jako je EU AI Act, automatizací dokumentace a poskytováním transparentnosti o tom, jak je umělá inteligence používána napříč aplikací. To zahrnuje generování zpráv o komponentech AI, jejich účelu a potenciálním dopadu, což je kritické pro vnitřní správu a externí audity.

Stručně řečeno, Cycode nedetekuje pouze AI-související rizika; pomáhá je spravovat s úplným kontextem, odpovědností a souladem.

Jaké jsou největší výzvy při detekci tajemství napříč moderními SDLC prostředími a jak Cycode řeší tyto problémy?

Detekce tajemství je jednou z nejkritičtějších a přehlížených výzev v moderním softwarovém vývoji. Tajemství, jako jsou klíče API, tokeny a přihlašovací údaje, jsou často hardkódovány do zdrojového kódu, CI/CD kanálů a konfiguračních souborů. A s rostoucími distribuovanými týmy, open-source závislostmi a rychlými cykly vydání, tato tajemství mohou snadno uniknout do veřejných repozitářů nebo být využita útočníky.

Výzvou je, že tajemství již nejsou pouze v kódu. Jsou všude, ve vývojovém prostředí, kontejnerech a infrastruktuře. Tradiční skenery často přehlížejí nebo generují nadměrný hluk, což činí obtížným pro týmy podniknout akci.

V Cycode přijímáme holistický přístup k bezpečnosti. Naše platforma skenuje celý SDLC, od repozitářů kódu po CI/CD kanály a runtime prostředí, aby detekovala vystavená tajemství v reálném čase. Korelujeme nálezy s kontextem, takže týmy ví, nejen co bylo vystaveno, ale kde, kým a jak kritické to je.

Také vynucujeme přístup s minimálními právy a zabezpečujeme konfigurace kanálů, aby zabránily zneužití tajemství. A protože integrujeme s systémy pro sledování problémů a vývojářskými pracovními postupy, náprava je rychlá a bez tření.

Konečně, detekce tajemství není jen o nalezení úniku, ale o zabezpečení celého softwarového továrny. To je to, co je platforma Cycode postavena na.

Jak zajišťujete přesnost a snižujete falešně pozitivní výsledky při skenování zranitelností nebo tajemství?

Zabývání se falešně pozitivními výsledky může být pro vývojáře非常 frustrující. Když týmy jsou neustále bombardovány irelevantními upozorněními, je snadné začít je ignorovat, a přesně tehdy, kdy skutečné hrozby mohou projít nezjištěné.

První, soustředíme se na kontextovou korelaci. Místo toho, aby pouze označily potenciální problém a pokračovaly, naše platforma mapuje ho do většího obrazu softwarového dodavatelského řetězce organizace. Proto, pokud je nalezeno tajemství v kommitu, spojujeme tuto informaci s kanálem, který jej sestavil, prostředím, ve kterém byl nasazen, a vývojářem, který jej přidal. Tento dodatečný kontext nám pomáhá určit, zda něco představuje skutečné riziko nebo je pouze neškodné.

Druhá, naše proprietární algoritmy pro skenování jdou daleko za základní shodu vzorků. Naše detekce tajemství analyzuje vzorce, entropii a způsob, jakým je řetězec použit, což nám umožňuje rozlišit skutečná tajemství od podobně vypadajících entit, jako jsou testovací data nebo placeholder text.

Integrujeme s systémy pro sledování problémů a vývojářskými pracovními postupy, abychom udrželi vše propojené. Když je zranitelnost nebo tajemství potvrzeno a opraveno, tato zpětná vazba pomáhá našim modelům stát se chytřejšími. Přiřazením problémů na základě vlastnictví kódu pomáháme zajistit, aby problémy byly směrovány na správné lidi bez zbytečné duplicity.

Naším konečným cílem je jednoduché. Cílíme na to, aby bezpečnost byla něčím, na co se týmy mohou spolehnout: méně falešných poplachů, více přesných nálezů a rychlejší nápravy. To umožňuje týmům soustředit se na řešení skutečných problémů, které záleží nejvíce.

Jaká je hodnota “vývojářsky první” bezpečnostních nástrojů a jak Cycode brání narušování pracovních postupů?

V jádru je vývojářsky první bezpečnost o tom, aby ochrana byla rychlá, relevantní a pouze tak viditelná, jak je nezbytné. To je to, jak udržujeme vývoj v pohybu, zatímco zachováváme softwarovou bezpečnost.

Pokud bezpečnostní nástroje zpomalují vývojáře nebo je zahlcují příliš mnoha upozorněními, tyto nástroje riskují, že budou ignorovány. To je důvod, proč byl Cycode navržen tak, aby pomáhal vývojářům, spíše než jim bránit.

Skutečná hodnota přichází z toho, že bezpečnostní nástroje přinášejí přímo do denního pracovního postupu vývojářů. S Cycode se bezpečnostní kontroly provádějí okamžitě, přesně tam, kde vývojáři píší a recenzují kód, jako je v IDE nebo během žádostí o stažení. To znamená, že vývojáři získávají zpětnou vazbu v okamžiku, kdy ji potřebují, což usnadňuje odchycení problémů brzy a budování bezpečných programovacích návyků bez extra potíží.

Kontext je také klíčový. Místo toho, aby posílaly vágní upozornění, Cycode poskytuje vývojářům přesné detaily: co je zranitelnost, odkud pochází, kdo je zodpovědný a jak ji vyřešit. Tento typ informací pomáhá snižovat zmatek a umožňuje týmům řešit problémy efektivněji.

Integrující s populárními CI/CD nástroji a systémy pro sledování problémů, jako je JIRA, Cycode zajišťuje, aby bezpečnost se stala integrovanou součástí softwarového vývojového procesu, spíše než něčím odděleným nebo disjunktním. Vývojáři mohou zůstat na úkolu a bezpečnostní týmy získají dohled, který potřebují.

Jaké typy útoků nebo zranitelností očekáváte, že se zvýší, když více společností začne přijímat umělou inteligenci ve svých vývojových pracovních postupech?

Když se umělá inteligence stává stále integrovanější součástí denního vývojářského práce, pravděpodobně budeme svědky nové sady zranitelností. Tyto nebudou pouze technické výzvy – některé budou pocházet z toho, jak lidé a týmy interagují s těmito nástroji.

Jednou z největších rizik je, že vývojáři se mohou stát příliš závislými na kódu generovaném umělou inteligencí. Zatímco umělá inteligence může pomoci urychlit proces, není dokonalá. Pokud vývojáři předpokládají, že každé doporučení AI je správné, mohou neúmyslně zavést skryté chyby nebo bezpečnostní problémy. Protože hranice odpovědnosti mohou být rozmazané, když kód pochází z strojů, tyto problémy mohou projít nezjištěné.

Existuje také rostoucí obava z útoků na dodavatelský řetězec, které specificky cílí na modely AI a API. Například, pokud jsou důvěryhodné služby, jako OpenAI nebo Hugging Face, kompromitovány, nebo pokud někdo vloží škodlivý model do pracovního postupu, útočníci by mohli změnit výstupy nebo ukrást citlivé informace.

Další vznikající hrozbou je otrava dat. V tomto scénáři útočníci dělají jemné, strategické úpravy trénovacích dat, které mohou později ovlivnit, jak se model AI chová. Tento typ útoku je zvláště nebezpečný v oblastech, jako je detekce podvodů nebo kontrola přístupu, kde je bezpečnost kritická.

Na Cycode rozvíjíme nástroje, které pomáhají týmům identifikovat AI-specifická rizika, jako jsou útočné zranitelnosti, zneužití modelů a nezabezpečené integrace. Chceme také zajistit, aby vývojáři zůstali odpovědní za kód, který dodávají, ať už je napsán člověkem nebo generován autonomně.

Pohledem pět let dopředu, jak vidíte roli umělé inteligence v zajišťování softwarových dodavatelských řetězců?

Umělá inteligence již transformuje, jak přistupujeme k aplikované bezpečnosti, ale její plný vliv na softwarový dodavatelský řetězec teprve začíná. Během příštích pěti let věřím, že umělá inteligence se stane integrovanou součástí toho, jak identifikujeme, prioritizujeme a řešíme rizika po celém vývojovém procesu.

Začněme tím, že umělá inteligence pomůže přibližovat bezpečnostní a vývojářské týmy. V současnosti existuje často napětí, protože bezpečnostní nástroje mohou narušit pracovní postupy nebo postrádají základní kontext. Umělá inteligence má potenciál vyhladit tyto hrany tím, že transformuje bezpečnostní nálezy na akční informace, doporučuje opravy automaticky a dokonce generuje bezpečné řešení kódu přizpůsobené každému týmovému pracovnímu postupu.

Umělá inteligence se také stane stále důležitější pro pochopení toho, co se děje v reálném čase. Monitoruje build prostředí, kontejnery a API, identifikuje neobvyklou aktivitu, jakmile k ní dojde. Tento monitoring v reálném čase bude zásadní, protože útoky na dodavatelský řetězec se stanou stále sofistikovanějšími a obtížněji detekovatelnými tradičním skenováním.

Navíc bude umělá inteligence pomáhat společnostem navigovat rostoucí labyrint předpisů. Jak vlády zavádějí více pravidel o tom, jak by měla být umělá inteligence používána, organizace budou potřebovat nástroje, které mohou vysvětlit důvod AI rozhodnutí, sledovat, odkud modely pocházejí, a vynucovat politiky napříč komplexními systémy. Vidím umělou inteligenci, která vstupuje do vytváření dokumentace, mapování závislostí a pomoci při vynucování politik.

Přesto, s všemi těmito pokroky, lidský dohled zůstane kritický. Umělá inteligence není zde, aby nahradila lidi, ale spíše aby je osvobodila. Vývojáři a bezpečnostní týmy budou vždy muset nést odpovědnost, zejména když kód generovaný umělou inteligencí může zavést nová rizika. To je velký důvod, proč jsme oddáni budování nástrojů, které činí umělou inteligenci co nejtransparentnější, srozumitelnější a odpovědnou.

Nakonec se umělá inteligence stane spojujícím vláknem, které činí softwarové dodavatelské řetězce bezpečnějšími, ale pouze pokud ji použijeme uvážlivě a udržíme lidi zapojené na každém kroku.

Děkujeme za skvělý rozhovor, čtenáři, kteří chtějí dozvědět se více, by měli navštívit Cycode.

Related Topics:
mm

Antoine je vizionářský líder a zakládající partner Unite.AI, poháněný neotřesitelnou vášní pro formování a propagaci budoucnosti AI a robotiky. Jako sériový podnikatel věří, že AI bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, jak hovoří o potenciálu disruptivních technologií a AGI. Jako futurist, je zasvěcen prozkoumání toho, jak tyto inovace budou formovat náš svět. Kromě toho je zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinovávají budoucnost a mění celé sektory.