Varun Badhwar, grundlægger og administrerende direktør for Endor Labs – Interviewserie

Varun Badhwar, grundlægger og administrerende direktør for Endor Labs, er en cybersecurity-iværksætter, der er anerkendt for at opbygge og lede virksomheder i fremhjørnet af cloud- og applikations sikkerhed. Siden 2021 har han ledet Endor Labs, som fokuserer på at sikre AI-drevet softwareudvikling. Tidligere var han SVP & GM of Prisma Cloud at Palo Alto Networks og grundlægger af RedLock, en cloud-sikkerhedsstartup, der er opkøbt af Palo Alto Networks.

Endor Labs er en applikations-sikkerhedsplatform bygget til AI-æraen, designet til at hjælpe ingeniør- og sikkerhedshold med at balancere hastighed og sikkerhed i softwareudvikling. Platformen integrerer funktioner som reachability-baseret software-sammensætningsanalyse, SAST, container-scanning, hemmelighedsdetektion og CI/CD-pipeline-beskyttelse i en samlet visning, der hjælper hold med at identificere, hvilke sårbarheder, der virkelig betyder noget, og prioritere rettelser. Den inkluderer også AI-agenter, der analyserer pull-requests for arkitekturændringer og opdager risici i AI-genereret kode tidligt i udviklingslivscyklussen.

Du byggede og skalaerede tidligere store sikkerhedsiværksætter — hvordan førte disse erfaringer til grundlæggelsen af Endor Labs, og hvilket problem var du mest fast besluttet på at løse fra starten?

Tilbage i 2021 var jeg hos Palo Alto Networks, da SolarWinds-breachet ramte. Det var massivt. Hver eneste kunde, der brugte deres software, var berørt, og vi var ingen undtagelse. Da jeg gik i dybden af, hvordan vi selv styrede vores egen software, indså jeg, at vi havde 450 ingeniører og 68.000 sikkerheds-sårbarheder, men ingeniørerne ignorerede dem stort set. Årsagen? En overvældende 80-90% af alertene var falske positiver, og traditionelle værktøjer forstod ikke, hvordan udviklere faktisk arbejdede.

Det var da, det gik op for mig: moderne softwareudvikling ligner mere en samling end en skabelse. Vi leverer kode, der primært består af tredjeparts-biblioteker, uden nogen garanti for kvalitet eller sikkerhed. Jeg så afkoblingen mellem sikkerheds-hold og ingeniører, de modstridende dynamikker og den politiske friktion. Jeg vidste, vi måtte tænke application-sikkerhed om fra bunden, hvilket førte til grundlæggelsen af Endor Labs.

Endor Labs beskytter nu millioner af applikationer for organisationer, der spænder fra fintech til SaaS-platforme. Hvilke typer af use cases ser du oftest, og hvorfor vælger kunderne dig?

Vore kunder kommer til os for at sikre deres software-forsyningskæder og udvikler-pipelines. De vil verificere åbne kildeafhængigheder, før de går i produktion, automatisk flagge høj-risiko AI-genereret kode og til sidst integrere sikkerhed direkte i udvikler-arbejdsgange.

De fleste scannere kaster blot sårbarheder ud til udviklere og går væk, hvilket skaber støj, som ingeniørerne uundgåeligt ignorerer. Og med vibe-coding, der nu er mainstream, fungerer denne tilgang simpelthen ikke. Hos Endor giver vi kontekst-bevidst analyse og handlebare indsigt, så sikkerheds- og ingeniørhold kan faktisk stole på hinanden igen.

Udviklere står ofte over for spændingen mellem at gå hurtigt og blive sikre. Hvordan hjælper din platform med at afklare denne udfordring?

Hastighed versus sikkerhed er den ældste dilemma i softwareudvikling. Vibe-coding har kun gjort dette kompromis mere udtalt. Fyrre procent af udviklere bruger AI-assistenter dagligt, hvilket accelererer hastighed, men også introducerer usikker kode.

Hos Endor Labs integrerer vi sikkerhed direkte i udvikler-arbejdsgange. Tænk IDE’er, pull-requests, Git-pipelines. Vores filosofi er simpel: sikkerhed er bare en anden type bug. Behandle den som en hvilken som helst anden software-bug, og den bliver en del af den naturlige udviklingsproces i stedet for en eftertanke. Ved at reducere støj og give klare retningslinjer, giver vi udviklere mulighed for at gå hurtigt, samtidig med at de sikrer, at softwaren de leverer, er sikker.

Falske positiver er en af de største smertepunkter i sikkerhed. Hvordan tilgår du dette problem på en anden måde?

Falske positiver er enorme. Jeg har set ingeniører ignorere betydelige mængder af alerts, fordi de er meningsløse. Det er farligt i en verden, hvor tredjeparts-angreb vokser i dobbelt cifre, og modstandere udnytter side-døre i udvikler-pipelines.

Vores tilgang er at prioritere kontekst. I stedet for at matche hver eneste Common Vulnerability and Exposure (CVE) med en afhængighed, analyserer vi kode-stien, forretningslogikken og selv AI-genererede designændringer. Vi har også udviklet Endor Labs Model Context Protocol (MCP) Server, der giver AI-agenter mulighed for at ringe ind til backend-værktøjer for præcise rettelser i stedet for hallucinerede. Andre værktøjer kan ikke tilbyde denne niveau af præcision, fordi de mangler applikationskonteksten. De ved ikke, hvad din kode gør, hvordan dine tjenester taler sammen, eller hvad en sikker rettelse ligner. Resultatet er færre meningsløse alerts og mere pragmatisk vejledning, som udviklere faktisk kan handle på.

Software-forsyningskæden ses nu som en af de mest kritiske risici for virksomheder. Hvorfor er dette spørgsmål så kritisk i dag?

Open source dominerer nu enterprise-software, og softwareudvikling er forvandlet til software-samling. Omtrent 90% af komponenterne i moderne applikationer er eksterne, og AI-kode-assistenter introducerer endnu flere afhængigheder automatisk. Det betyder, at en enkelt sårbarhed kan rulle over millioner af applikationer.

Stakken er høj: regulatører rammer nu open source som et nationalt sikkerhedsproblem. Og angreb som det seneste Shai-Hulud npm-udnyttelse viser, hvordan modstandere aktivt målretter disse svage punkter. Uden de rette sikkerhedsforanstaltninger er virksomhederne udsat i en enorm skala.

AI er med til at forandre, hvordan software bliver bygget. Hvilke nye risici skaber dette for applikations-sikkerhed?

AI-assistenter er som at hyre tusindvis af praktikanter på én gang — de kan øge produktiviteten, men også introducere kaos, hvis de ikke styres. Studier viser 62% af AI-genereret kode har sikkerheds-, kvalitets- eller arkitektur-problemer. Ud over kendte CVE’er inkluderer disse logik-fejl, nye API-endpoints eller kryptografiske fejl, som legacy-værktøjer aldrig var designet til at fange.

Den nye udfordring er at skala sikker kode-gennemgang. At afhænge af overbelastede senior-ingeniører til at manuelt kontrollere hver eneste pull-request virker ikke. Du har brug for automatiserede systemer, der kan gennemse, prioritere og vejlede udviklere i samme hastighed, som AI genererer kode.

Nogle mener, AI introducerer flere sårbarheder, end det forhindrer. Ser du det som en netto-risiko eller en netto-fordele på dette stadium?

Det kan være begge dele. AI er fantastisk til prototyper og eksperimenter, men uerfarne udviklere, der afhænger af AI, kan skabe en blind, der leder den blinde-scenario. Måden at vende denne ligning på er ved at parre AI med sikkerheds-foranstaltninger. Med de rette gennemgangssystemer og MCP-drevne rettelser på plads kan du omdanne AI fra en netto-risiko til en netto-fordele. Uden dem overvælder risikerne gevinsten.

Med AI-genereret kode, der bliver mere almindelig, hvilke sikkerhedsforanstaltninger bør organisationer implementere for at sikre tillid til, hvad de udleverer?

Behandle AI-genereret kode som en hvilken som helst anden tredjeparts-afhængighed. Det betyder kontinuerlig overvågning, automatiseret verificering og sikkerhedsforanstaltninger på hver eneste etape af pipeline’en. Du har også brug for at sikre, at dine AI-gennemgangsværktøjer er trænet på højkvalitets-, sikker kode — ikke bare tilfældige GitHub-repositorier.

Og så gå ud over detektion. Når en risikabel afhængighed bliver markeret, skal dine værktøjer anbefale opgraderingsstien, der undgår at bryde din app. Det er forskellen mellem kaos og kontrol. Jeg kan lide at tænke på det som bumper-baner i bowling: kuglen bevæger sig stadig hurtigt, men den holder sig på sporet.

Gennemsigtighed er central for din ledelsesstil. Hvordan påvirker deling af både sejre og tilbageslag kulturen og præstationen?

Vi sigter mod radikal gennemsigtighed hos Endor Labs. Det betyder at dele både det gode og det dårlige — og ikke kun virksomhedspræstation, men også ting som aktieplaner og strategiske risici. Medarbejdere er voksne. Vores team kan klare virkeligheden. At være åben bygger tillid, engagement og ejerskab, og det hjælper mennesker med at træffe bedre beslutninger.

Du giver ofte stigende ledere tidligt i deres karriere. Hvilken vejledning giver du til første-gangs-chefer, der påtager sig store ansvar?

Jeg kan lide at give lovende teammedlemmer store roller tidligt og stole på, at de vil vokse ind i stillingen. Med vejledning og støtte lærer de hurtigt. Min råd: omfavne ansvar, lære af fejl, og bygge troværdighed gennem handling. Mennesker overrasker ofte med, hvad de kan opnå, når du giver dem pladsen.

At se fremad i fem år, hvad ser du som de største muligheder og udfordringer i at sikre software-forsyningskæden?

Med AI-kode-assistenter og citizen-udviklere, der omformulerer arbejdsgange, har vi brug for systemer, der fungerer som en “sikkerheds-pair-programmer”, der gennemser hver eneste pull-request i realtid, skalerer sikker kode-gennemgang og giver udviklere kontekst, de kan stole på. Det er derfor, vi hos Endor Labs byggede vores MCP-server og multi-agent-arkitektur, der allerede hjælper kunder med at holde trit med AI-naturlig udvikling.

Udfordringen er, at forsyningskæden selv bliver mere kompleks. I dag består kode primært af eksterne komponenter, og hver ny AI-værktøj introducerer endnu et lag af afhængighed. Virksomheder, der ikke omformulerer deres modeller, vil finde sig selv udsat.

Vi ser denne nødvendighed udfolde sig i realtid — Endor Labs beskytter nu over 7 millioner applikationer, scanninger 1,6 millioner pull-requests om måneden og reducerer støj med over 90% for ingeniør-hold. Om fem år er de organisationer, der kommer ud på toppen, dem, der behandler sikker kodning som en kerne-del af udvikler-produktivitet.

Tak for det gode interview, læsere, der ønsker at lære mere, skal besøge Endor Labs.