Connect with us

Interviews

Ronen Slavin, CTO og medstifter, Cycode – Intervieuserie

mm
Published
Updated

Ronen Slavin, CTO og medstifter, Cycode, er en serieiværksætter og tidligere officer i Unit 8200 i Israels forsvar. Før han startede Cycode i 2019, var han medstifter af FileLock, som blev opkøbt af Reason Security i 2018, og fungerede som chef for forskning ved Reason Cybersecurity. Med dyb ekspertise i malware-opdækning, sårbarhedsforskning og udnyttelse har Slavin bygget en karriere, hvor avanceret sikkerhedsforskning og produktinnovation mødes.

Cycode er en AI-nativ applikationssikkerhedsplatform, der samler sikkerheds- og udviklingsteams med handlebare kontekster fra kode til runtime. Ved at konvergere AST, ASPM og softwareforsyningskædesikkerhed sikrer den både AI- og menneskeskabt kode. Drevet af sin Risk Intelligence Graph (RIG), proprietære scannere og integrationer giver Cycode øjeblikkelig risikodetektion, Change Impact Analysis (CIA) og AI-drevne rettelser – lukker synsåbningsgab, accelererer afhjælpning og reducerer omkostninger fra dag én.

Hvad motiverede dig til at starte Cycode, og hvilket nøgleproblem i software-sikkerhed var du rettet mod at løse fra starten?

Ideën til Cycode opstod fra noget, vi havde observeret gentagne gange; kildekoden blev stjålet eller utilsigtet lækket til forkerte hænder. Efter at have tilbragt år i cybersikkerhed og det offensive sikkerhedsrum, og ledet endpoint-beskyttelse hos Reason, kom vi til at realisere, hvor kritisk kildekoden er – ikke kun som kodelinjer, men som en af virksomhedens mest værdifulde aktiver. Det var ikke fået den sikkerhed, det fortjente.

Denne åbnebarnderealisation var det, der inspirerede mig til at starte Cycode. Fra starten var vores mission klar: Beskyt kildekoden på hver enkelt fase, fra det øjeblik den skrives til det øjeblik den sendes, alt uden at hæmme udviklernes drive og traktion. Vi satte os for at sikre, at sikkerhed og ingeniørarbejde kunne arbejde side om side, med sikkerhed integreret i den daglige arbejdsproces, snarere end at være en vejspærring.

Hvad der betød mest, var at give holdene den synlighed, ansvarlighed og samarbejde, de havde brug for. Udviklere skulle ikke nødtvungent ofre deres produktivitet for sikkerhed, og sikkerholdene skulle ikke nødtvungent operere uden kontekst eller kontrol. Cycode blev skabt for at gøre begge mulige.

Hvordan har din tidligere erfaring som cybersikkerhedsiværksætter og din tjeneste i Israels elite efterretningseenhed, Unit 8200, formet din tekniske tilgang hos Cycode?

Min tid i Israels cybersikkerhedsekosystem, især i elite tekniske miljøer, indpodede en holdning til præcision, tilpasningsevne og uophørlig nysgerrighed. Enten jeg var i Unit 8200 eller i mine tidlige startup-dage, lærte jeg at tænke som både en angriber og en forsvarer. Den dobbelte perspektiv har været grundlæggende for, hvordan vi byggede Cycode.

Som cybersikkerhedsiværksætter så jeg førstehånds, hvordan den fragmenterede og reaktive sikkerhedslandskab var blevet. Sikkerhedsværktøjer var ofte boltet på efterfølgende, efterladende udviklere til at navigere i en labyrint af varsler uden kontekst. Det var det, vi satte os for at ændre.

Hos Cycode har vi taget en systemsniveaudgang, hvor vi behandler kildekoden som en kritisk aktiver og bygger sikkerhed ind i softwareudviklingslivscyklussen fra bunden. Min baggrund har lært mig, at sikkerhed skal være proaktiv, kontekstuel og udviklervenlig. Derfor fokuserer vi så meget på automatisering, synlighed og brobygning mellem sikkerhed og softwareudvikling. Det handler ikke kun om at finde sårbarheder, men om at løse, hvad der betyder noget, hurtigt.

Cycode kombinerer flere lag af beskyttelse, herunder AST (Application Security Testing) og ASPM (Application Security Posture Management). For dem, der ikke er fortrolige, kan du forklare, hvordan disse elementer arbejder sammen – og hvad der gør Cycode’s tilgang unik?

Absolut. Hos Cycode kræver sikring af moderne software mere end blot at scanne kode; det kræver en holistisk forståelse af, hvordan koden er bygget, deployet og vedligeholdt. Nu som en AI-nativ applikationssikkerhedsplatform er vores tilgang en differentiator på grund af konvergeringen af Application Security Testing (AST), Application Security Posture Management (ASPM) og Software Supply Chain Security (SSCS).

AST-værktøjer som SAST, DAST og SCA er effektive til at identificere sårbarheder i kode, afhængigheder og infrastruktur. Men de opererer ofte i siloer, genererer varsler uden kontekst. Det er her, hvor ASPM kommer ind. ASPM forbinder punkterne på tværs af hele softwareudviklingslivscyklussen. Det giver synlighed i applikationssikkerhedsstillingen med risikoprioritering og handlebar afhjælpning, SSCS indkapsler platformen til at sikre CI/CD-pipelines.

Hvad der gør Cycode unik, er, hvordan vi samler disse lag og sætter en ny standard for virksomheder. I dag, i denne tidsalder af AI, skal sikkerhed blive smartere. Vi har bygget på vores grundlag med AST, ASPM og SSCS med AI-agenter til at hjælpe med at prioritere og løse, hvad der betyder noget, hurtigere, lukker sikkerhedsgabet, jeg nævnte tidligere.

Hvordan integrerer Cycode med moderne DevOps-pipelines som GitHub, GitLab eller Azure DevOps for at opdage risici tidligere i livscyklussen?

Cycode blev bygget med moderne DevOps i mente. Vi integrerer direkte i platforme som GitHub, GitLab og Azure DevOps for at indbygge sikkerhed i hvert trin af softwareudviklingslivscyklussen, uden at bremse holdene.

Vores platform forbinder sig til kildekontrol og CI/CD-systemer for at overvåge kode, konfigurationer og arbejdsprocesser kontinuerligt. Vi scannrer og trækforspørgsler i realtid, så udviklere får øjeblikkelig feedback på sårbarheder, før koden bliver sammenføjet. Vi analyserer også commit-historik og metadata for at tildele problemer til de rette ejere, reducerer friktion og accelererer afhjælpning.

I vores tilgang overflader vi ikke kun varsler; vi giver fuld kontekst. Dette inkluderer oprindelsen af problemet, dets potentielle impact og trinnene til at løse det. Og fordi vi integrerer med værktøjer som JIRA, kan vi automatisk oprette og spore billetter, holde sikkerhed og ingeniørarbejde i sync.

Ultimo, vores mål er at flytte sikkerhed til venstre i en kontrolleret, udviklervenlig måde, så risici identificeres tidligt, løses prompte og ikke bliver til blokerere senere i pipeline.

Kan du føre os igennem, hvordan Cycode’s Risk Intelligence Graph hjælper hold med at forbinde trusler på tværs af kode, containere, infrastruktur og runtime?

Ja, det er en funktion, vi er stolte af at tilbyde. Risk Intelligence Graph, hvad vi kalder RIG, er motoren bag Cycode’s evne til at korrelerer og kontekstualisere sikkerhedsdata på tværs af hele softwareforsyningskæden.

Tænk på RIG som en dynamisk kort, der forbinder alt fra kildekode og åbne afhængigheder til CI/CD-pipelines, artifact-registre og runtime-miljøer. Det samler ikke kun data; det forstår relationer. Så når en sårbarhed findes i en container, kan RIG spore det tilbage til den præcise kodelinje, udvikleren, der committede det, pipeline, der byggede det, og infrastrukturen, det kører på.

Denne niveau af synlighed er kritisk. Det giver sikkerholdene mulighed for at prioritere risici baseret på deres faktiske impact, snarere end kun alvorlighedsscore. Med AI bygget indeni giver det udviklere handlebare indsigt og fuld kontekst, så de kan løse problemer hurtigere og mere selvbevidst.

Det er vigtigt at bemærke, at RIG ikke kun er et dashboard; det er et beslutningsværktøj. Det hjælper hold med at flytte fra opdækning til løsning i DevOps-hastighed, forbinder punkterne på tværs af fragmenterede systemer og overfladerer de risici, der virkelig betyder noget.

Hvordan opdager og håndterer Cycode risici forbundet med AI-genereret kode og integrationer med tjenester som OpenAI eller Hugging Face?

AI-genereret kode introducerer et nyt lag af kompleksitet og risiko, især når det stammer fra eksterne tjenester som OpenAI eller Hugging Face. Hos Cycode har vi bygget kapaciteter specifikt til at håndtere denne udviklende trusselslandskab. For nylig vores AI-udnyttelsesagent og MCP-server til at sikre AI-udvikling og vibe-kodningsarbejdsprocesser.

For vores platform giver vi en central applikationsaktiver-inventar, der kortlægger alle komponenter i en software-økosystem, herunder AI-modeller, tredjeparts AI-biblioteker og integrationer med tjenester som OpenAI eller Hugging Face. Dette giver holdene fuld synlighed i, hvor AI bliver brugt, selv hvis det er dybt indlejret i stakken.

For det andet bruger vores proprietære kodeanalyseværktøjer langt mere end grundlæggende mønster-matching. Disse værktøjer analyserer mønstre, entropi og måden, strengen bruges på, hvilket giver os mulighed for at skelne mellem ægte hemmeligheder og lignende entiteter, såsom testdata eller placeholder-tekst.

Vi integrerer også med issuesporingsystemer og udviklerarbejdsprocesser for at holde alt forbundet. Når en sårbarhed eller hemmelighed bekræftes og løses, hjælper denne feedback med at gøre vores modeller smartere. Ved at tildele problemer baseret på kodeejerskab hjælper vi med at sikre, at problemerne bliver rettet til de rette personer uden unødvendig duplication.

Ultimo, vores mål er ligeforholdsmæssigt. Vi sigter mod at gøre sikkerhed til noget, holdene kan stole på: færre falske alarmer, mere præcise fund og hurtigere løsninger. På den måde kan holdene fokusere på at løse de rigtige problemer, der betyder mest.

Hvad er de største udfordringer i hemmelighedsdetektion på tværs af moderne SDLC-miljøer, og hvordan løser Cycode dem?

Hemmelighedsdetektion er en af de mest kritiske og oversete udfordringer i moderne softwareudvikling. Hemmeligheder, såsom API-nøgler, tokens og legitimationsoplysninger, bliver ofte hardcoded i kildekoden, CI/CD-pipelines og konfigurationsfiler. Og med opkomsten af distribuerede hold, åbne afhængigheder og hurtige udgivelsescykler kan disse hemmeligheder let lække ud i offentlige repositorier eller blive udnyttet af angribere.

Udfordringen er, at hemmeligheder ikke længere kun er i koden. De er overalt, i build-miljøer, artifact-registre og selv i tredjepartsværktøjer. Traditionelle scannere kan ofte overse dem eller generere for meget støj, hvilket gør det svært for holdene at tage handling.

Hos Cycode tager vi en holistisk tilgang til sikkerhed. Vores platform scannrer hele SDLC, fra kode-repositorier til CI/CD-pipelines og runtime-miljøer, for at opdage eksponerede hemmeligheder i realtid. Vi korrelerer fund med kontekst, så holdene ved, ikke kun hvad der blev eksponeret, men hvor, af hvem og hvor kritisk det er.

Vi tvinger også mindst-privilegeret adgang og sikrer pipeline-konfigurationer for at forhindre, at hemmeligheder bliver misbrugt. Og fordi vi integrerer med issuesporingsystemer og udviklerarbejdsprocesser, er afhjælpning hurtig og friktionsfri.

Ultimo, hemmelighedsdetektion handler ikke kun om at finde lækkagen, men om at sikre hele software-fabrikken. Det er, hvad Cycode’s platform er bygget til at gøre.

Hvordan sikrer du nøjagtighed og reducerer falske positiver, når du scannrer efter sårbarheder eller hemmeligheder?

At have falske positiver kan være utrolig frustrerende for udviklere. Når holdene konstant bombarderes med irrelevante varsler, er det let at starte med at ignorere dem, og det er præcis, når rigtige trusler kan glide igennem. Gennem vores SAST-motor hjælper vi holdene med at identificere kode-svagheder, opnå nøjagtighed og fokusere på sande positiver for at spare tid og accelerere softwarelevering. I OWASP-benchmark-testerne opnåede Cycode en falsk positiv rate på 2,1%, hvilket repræsenterer en >94% reduktion i forhold til alternative metoder.

Først fokuserer vi på kontekstuel korrelation. I stedet for blot at flagge et potentiel problem og gå videre, forbinder vores platform det med det større billede af en organisations softwareforsyningskæde. Derfor, hvis en hemmelighed opdages i en commit, associerer vi denne opdagelse med pipeline, der byggede det, miljøet, hvor det blev deployet, og udvikleren, der tilføjede det. Denne ekstra kontekst hjælper os med at bestemme, om noget udgør en reel risiko eller blot er harmløst.

Dernæst kan vores proprietære scanning-algoritmer meget mere end grundlæggende mønster-matching. Vores hemmelighedsdetektionsmotor analyserer mønstre, entropi og måden, strengen bruges på, hvilket giver os mulighed for at skelne mellem ægte hemmeligheder og lignende entiteter, såsom testdata eller placeholder-tekst.

Vi integrerer også med issuesporingsystemer og udviklerarbejdsprocesser for at holde alt forbundet. Når en sårbarhed eller hemmelighed bekræftes og løses, hjælper denne feedback med at gøre vores modeller smartere. Ved at tildele problemer baseret på kodeejerskab hjælper vi med at sikre, at problemerne bliver rettet til de rette personer uden unødvendig duplication.

Ultimo, vores mål er ligeforholdsmæssigt. Vi sigter mod at gøre sikkerhed til noget, holdene kan stole på: færre falske alarmer, mere præcise fund og hurtigere løsninger. På den måde kan holdene fokusere på at løse de rigtige problemer, der betyder mest.

Hvad er værdien af “udvikler-først” sikkerhedsværktøjer, og hvordan undgår Cycode at forstyrre arbejdsprocesser?

Hos Cycode handler udvikler-først sikkerhed om at gøre beskyttelse hurtig, relevant og kun så synlig, som det er nødvendigt. Det er, hvordan vi holder udvikling i gang, samtidig med at softwaren holdes sikker.

Hvis sikkerhedsværktøjer bremser udviklere eller overvælder dem med for mange varsler, risikerer disse værktøjer at blive ignoreret. Det er derfor, Cycode blev designet til at hjælpe udviklere, snarere end at hæmme dem.

Den virkelige værdi kommer fra at bringe sikkerhed direkte ind i udviklerens daglige arbejdsproces. Med Cycode sker sikkerhedschecks øjeblikkeligt, lige hvor udviklere skriver og gennemser kode, såsom i IDE eller under pull-anmodninger. Dette giver udviklere feedback, præcis når de har brug for det, og gør det let at fange problemer tidligt og bygge sikre kodningsvaner uden ekstra besvær.

Kontekst er også afgørende. I stedet for at sende ud vagt varsler, giver Cycode udviklere præcise detaljer: hvad sårbarheden er, hvor den stammer fra, hvem er ansvarlig, og hvordan den kan løses. Denne type information hjælper med at reducere forvirring og giver holdene mulighed for at løse problemer mere effektivt.

Ved at integrere med populære CI/CD-værktøjer og issuesporingsystemer som JIRA sikrer Cycode, at sikkerhed bliver en integreret del af softwareudviklingsprocessen, snarere end noget separat eller frakoblet. Udviklere kan blive på opgaven, og sikkerholdene får den oversigt, de har brug for.

Hvad for slags angreb eller sårbarheder forventer du at stige, når flere virksomheder adopterer AI i deres udviklingsarbejdsprocesser?

Da AI bliver en stadig mere integreret del af daglig udviklingsarbejde, er vi sandsynligvis på vej til at møde en ny sæt af sårbarheder. Disse vil ikke kun være tekniske udfordringer; nogle vil komme fra, hvordan mennesker og hold interagerer med disse værktøjer.

En af de mest betydningsfulde risici er, at udviklere kan blive for afhængige af AI-genereret kode. Mens AI kan hjælpe med at accelerere processen, er det ikke perfekt. Hvis udviklere antager, at hver AI-forslag er korrekt, kan de utilsigtet introducere skjulte fejl eller sikkerhedsproblemer. Da linjerne af ansvar kan blive uklare, når kode stammer fra en maskine, kan disse problemer glide igennem ubemærket.

Der er også en voksende bekymring om forsyningskædeangreb, der specifikt retter sig mod AI-modeller og -API’er. For eksempel, hvis betroede tjenester som OpenAI eller Hugging Face bliver kompromitteret, eller hvis nogen sniger en maliciøs model ind i en arbejdsproces, kan angribere ændre outputs eller stjæle følsomme oplysninger.

En anden opstående trussel er data-forgiftning. I denne situation ændrer angribere subtile, strategiske ændringer i træningsdata, der kan påvirke, hvordan AI-modellen opfører sig senere. Denne type angreb er særligt farlig i områder som svindel-detection eller adgangskontrol, hvor sikkerhed er afgørende.

Hos Cycode udvikler vi værktøjer, der hjælper hold med at identificere AI-specifikke risici, såsom adversarial sårbarheder, model-misbrug og usikre integrationer. Vi sikrer også, at udviklere forbliver ansvarlige for den kode, de leverer, uanset om den er skrevet af en person eller genereret autonomt.

Set fem år frem, hvordan ser du AI’s rolle udvikle sig i sikring af software-forsyningskæder?

AI er allerede i gang med at forandre, hvordan vi tilgår applikationssikkerhed, men dens fulde indflydelse på software-forsyningskæden er kun lige begyndt. Over de næste fem år tror jeg, at AI vil blive en integreret del af, hvordan vi identificerer, prioriterer og løser risici på tværs af hele udviklingsprocessen.

Til at starte med vil AI hjælpe med at bringe sikkerheds- og udviklingsteams tættere sammen. I øjeblikket er der ofte spænding, da sikkerhedsværktøjer kan afbryde arbejdsprocesser eller mangle essentiel kontekst. AI har potentialet til at glatte disse kanter ved at omdanne sikkerhedsfund til handlebare indsigt, anbefale løsninger automatisk og endda generere sikre kode-løsninger tilpasset hvert holds arbejdsproces.

AI vil også blive stadig mere vigtig i forståelsen af, hvad der sker i realtid. Det vil overvåge build-miljøer, containere og API’er, identificere usædvanlig aktivitet, mens det sker. Denne realtids-overvågning vil være afgørende, da forsyningskædeangreb bliver mere sofistikerede og sværere at opdage med traditionel scanning alene.

Derudover vil AI hjælpe virksomheder med at navigere i det voksende labyrint af regler. Da regeringer introducerer flere regler om, hvordan AI skal bruges, vil virksomhederne have brug for værktøjer, der kan forklare baggrunden for hver AI-beslutning, spore, hvor modeller kommer fra, og holde personer ansvarlige. Jeg ser AI træde ind for at skabe dokumentation, kortlægge afhængigheder og hjælpe med at gennemtvinge politikker på tværs af komplekse systemer.

Alligevel, med alle disse fremskridt, vil menneskelig oversigt blive kritisk. AI er ikke her for at erstatte mennesker, men snarere for at give dem magt. Udviklere og sikkerholdene vil altid have brug for at tage ansvar, især når AI-genereret kode kunne introducere nye risici. Det er en stor grund til, hvorfor vi er dedikeret til at bygge værktøjer, der gør AI så gennemsigtig, forståelig og ansvarlig som muligt.

Til sidst vil AI blive den forbinderende tråd, der gør software-forsyningskæder sikrere, men kun hvis vi bruger det omhyggeligt og holder mennesker involveret på hver enkelt skridt.

Tak for det gode interview, læsere, der ønsker at lære mere, skal besøge Cycode.

Related Topics:
mm

Antoine er en visionær leder og medstifter af Unite.AI, drevet af en urokkelig passion for at forme og fremme fremtiden for AI og robotteknologi. En serieiværksætter, han tror, at AI vil være lige så omvæltende for samfundet som elektricitet, og bliver ofte fanget i at tale begejstret om potentialet for omvæltende teknologier og AGI.

Som en futurist, er han dedikeret til at udforske, hvordan disse innovationer vil forme vores verden. Derudover er han grundlægger af Securities.io, en platform, der fokuserer på at investere i skærende teknologier, der gendefinerer fremtiden og omformer hele sektorer.