Haastattelut

Javed Hasan, Lineaje:n toimitusjohtaja ja perustaja – Haastattelu

mm
Julkaistu

Javed Hasan, Lineaje:n toimitusjohtaja ja perustaja, on veteraani tietoturva- ja yritysohjelmistoyritysten johtaja, jolla on vuosikymmenten johtokokemus yrityksistä kuten Oracle, Symantec, McAfee ja Trellix. Uransa aikana Hasan on johtanut laajamittaisia tuote-, insinööri- ja strategiatiimejä, jotka ovat keskittyneet päätepisteiden tietoturvaan, pilvirakenteisiin, SaaS-muunnokseen ja yritysten tietoturva-innovaatioihin. Lineaje:ssa hän keskittyy yhden alan nopeimmin kasvavien haasteiden ratkaisemiseen: modernin ohjelmistotoimitusketjun turvallisuuden parantamiseen antamalla organisaatioille näkyvyyden avoimen lähdekoodin ja kolmannen osapuolen komponenttien sisällä ohjelmistosovelluksissa.

Lineaje on tietoturva-alan yritys, joka erikoistuu ohjelmistotoimitusketjun tietoturvaan, auttaen organisaatioita tunnistamaan, turvallistamaan ja hallitsemaan piilotettuja riskejä modernissa ohjelmistoriippuvuuksissa. Sen alusta keskittyy voimakkaasti ohjelmistojen raaka-aineiden (SBOM) teknologiaan, joka toimii ohjelmistojen ainesosaluettelona, joka luo luettelon jokaisesta komponentista, kirjastosta ja riippuvuudesta, jotka käytetään sovelluksessa. Yritys tarjoaa työkaluja kontekstuaaliseen riskianalyysiin, automaattiseen haavoittuvuuden korjaamiseen, vaatimustenmukaisuuden hallintaan ja AI-vetoihin itsekorjaaviin ohjelmistotoimitusketjun työvirtoihin, jotka on suunniteltu havaitsemaan ja korjaamaan tietoturvariskit ennen käyttöönottoa. Lineaje:n teknologia on yhä merkittävämpää, kun yritykset ja hallitukset kohtaavat kasvavia uhkia, jotka liittyvät avoimen lähdekoodin haavoittuvuuksiin, ohjelmistotoimitusketjun hyökkäyksiin ja vaatimustenmukaisuusmääräyksiin SBOM:n avoimuudesta.

Olet toiminut johtavissa rooleissa yrityksissä kuten Oracle, McAfee, Symantec ja Trellix, ja olet auttanut muotoilemaan yritysten tietoturva-tuotteita vuosikymmenien ajan. Mitkä kokemukset näissä rooleissa lopulta johtivat siihen, että perustit Lineaje:n vuonna 2022, ja mikä oli ydinongelma, jonka halusit ratkaista yrityksellä?

Yli kolmen vuosikymmenen ajan tietoturva-alalla olen rakentanut ja laajentanut yli 50 yritysten tietoturva-tuotetta, mukaan lukien Symantecin siirtymisen pilveen Integrated Cyber Defense Manager (ICDM) -järjestelmän avulla ja yhden maailmanlaajuisen SaaS-päätepisteturvajärjestelmän käyttöönoton. Näiden kokemusten aikana Oraclella, McAfeellä, Symantecilla ja Trellixillä näin jatkuvan mallin: organisaatiot pyydettiin luottamaan ohjelmistoihin, joita he eivät täysin ymmärtäneet.

Teollisuus oli optimoitu nopeudelle, mutta ei näkyvyydelle. Avoimen lähdekoodin, kolmannen osapuolen komponenttien, automaation ja nyt AI-koodin generoinnin ansiosta ohjelmistojen kehitys on nopeutunut, mutta ne ovat myös hankalampia ymmärtää. Luottamus otettiin annettuna, sen sijaan että se olisi todistettu.

AI ei luonut ongelmaa; se kiihdytti ja paljasti ongelman, joka jo olemassa. Se johti meidät perustamaan Lineaje:n vuonna 2022: antamaan organisaatioille jatkuva, koko elinkaaren ymmärrys siitä, mitä on heidän ohjelmistoissaan ja nyt AI:ssa, mistä se tuli ja miten sitä voidaan hallita ennen kuin se muuttuu tietoturva- tai vaatimustenmukaisuusriskiksi.

Ohjelmistotoimitusketjun hyökkäykset ovat yksi nopeimmin kasvavista tietoturva-uhista, usein leviävät avoimen lähdekoodin riippuvuuksien ja kolmannen osapuolen koodin kautta. Miksi perinteiset tietoturva-työkalut kamppailevat näiden riskien tehokkaalla ratkaisemisella?

Perinteiset tietoturva-työkalut oli suunniteltu toimimaan eri toimintamallissa. Perinteinen tietoturva oli suunniteltu sovelluksille. Moderni riski elää ekosysteemeissä. Ne oli suunniteltu tarkkailemaan staattisia sovelluksia, reunojen tapahtumia tai tunnettuja haavoittuvuuksia eristyneisyydessä. Monet organisaatiot toimivat edelleen reagoiden, kun riski on jakautunut riippuvuuksiin, rakennusjärjestelmiin, pakkausvarastoihin, kontteihin, transitiivisiin avoimen lähdekoodin kirjastoihin ja kolmannen osapuolen komponentteihin, usein esiteltynä jo ennen tuotantovaihetta.

Useimmat perinteiset työkalut puuttuvat syvältä jäljityksestä, jatkuvaan näkyvyyteen ja kontekstuaaliseen ymmärrykseen, jotta voidaan määrittää, onko riskialtis komponentti todella hyökkäyksenalainen, miten se tuli ympäristöön ja mihin se liittyy eteenpäin. Tämä jättää organisaatiot reagoimaan maisemassa, joka edellyttää jatkuvaa, koko elinkaaren hallintaa.

Lineaje keskittyy koko elinkaaren ohjelmistotoimitusketjun tietoturvaan, auttaen organisaatioita ymmärtämään tarkalleen, mitkä komponentit ovat heidän sovelluksissaan ja miten haavoittuvaisia ne ovat. Miksi tämä tasoinen avoimuus on muodostunut niin kriittiseksi AI-generoivan ohjelmiston aikakaudella?

AI pakkaa ajan luomisen ja altistumisen välillä. Se kiihdyttää koodin luomista ilman, että se automaattisesti lisää todistettavuutta, jäljitettävyyttä tai luottamusta. Kun kehittäjät ja AI-apuvälineet voivat tuottaa koodia ja työvirtoja ennennäkemättömällä nopeudella, organisaatioiden on tiedettävä tarkalleen, mitkä mallit, kirjastot, agentit ja ulkoiset palvelut esitellään ympäristöön.

Ilman sitä näkyvyyttä et voi hallita sitä, mitä rakennetaan, validoida vaatimustenmukaisuutta ja toimittaa ohjelmistoa asiakkaille luottavaisesti. Nykyisessä AI-vetoinen maailmassa organisaatioiden on kyettävä jäljitämään jokaisen riippuvuuden ja mallin vuorovaikutuksen, mistä se tuli ja onko se turvallinen.

Lineaje esittelee UnifAI:n, autonomisen AI-poliittisen ohjaimen, joka on suunniteltu hallitsemaan ja turvallistamaan agenteille AI-sovelluksia kehitysvaiheessa. Mikä aukko nykyisessä AI-kehitys-ekosysteemissä tämä tuote pyrkii ratkaisemaan?

Yritykset siirtyvät AI-kokeilusta autonomisten agenttien käyttöönottoon todellisissa työvirroissa. Lyhykäisyydessä he tarvitsevat tietoturva- ja vaatimustenmukaisuuden hallintatason agenteille AI:lle. Kuitenkin useimmat eivät vielä omista keskitettyä hallintatasoa löytääksesi AI-varat, määrittääksesi johdonmukaisia käytäntöjä ja pakottaa tietoturva- ja vaatimustenmukaisuuden esteitä, kun nämä järjestelmät rakennetaan.

UnifAI suunniteltiin täyttämään tämä aukko. Se toimii autonomisena AI-poliittisena orkestraattorina, joka upottaa hallinnan suoraan kehitystyöhön. Lisäksi se jatkuvaan löytää AI-varat, luo AI-raaka-aineen, johdattaa käytäntöjä ja soveltaa esteitä ennen kuin sovellukset pääsevät tuotantoon.

Monet organisaatiot kilpailevat AI-agenttien ja AI-generoivien sovellusten käyttöönotossa, mutta tietoturva-tiimit ovat huolissaan riskeistä, kuten ohjelmointi-injektiosta, haavoittuvista avoimen lähdekoodin kirjastoista ja vaatimustenmukaisuusongelmista. Miten vakavia nämä riskit ovat tänään, ja missä yritykset ovat eniten alttiina?

Nämä riskit ovat hyvin todellisia ja vakavia tänään. Ehkä suurin haaste agenteille AI on, että hyökkäyspinta on laajempi ja vähemmän ennustettavissa kuin staattisessa ohjelmistossa. Sinulla on ohjelmointi-injektiot, tietovuodot, haavoittuvat avoimen lähdekoodin riippuvuudet ja heikko käytäntöjen noudattaminen, järjellisyysmanipulaatio, valtuutusviive ja näkymätön päätöksenteko matalan koodin ja ilman koodia -ympäristöissä.

Näkemykseni mukaan yritykset ovat eniten alttiina, koska nopeus on ohittanut hallinnan, erityisesti kun liiketoimintatiimit voivat koota voimakkaita AI-työvirtoja ilman yhtenäistä tietoturva-kehykstä tai kun organisaatiot eivät voi nähdä kaikkia malleja, agenteja, taitoja ja tietoyhteyksiä, jotka toimivat heidän ympäristössään. Järjestelmä ei välttämättä epäonnistu teknisesti; se voi toimia oikein, mutta päätyä turvattomaan lopputulokseen. Siinä piilevä riski kertyy nopeimmin.

Yksi yritysten haasteista on kehittäjien tuottavuuden ja tietoturva-hallinnan tasapainottaminen. Miten työkalut kuten UnifAI voivat upottaa tietoturva-ohjausjärjestelmät kehitystyöhön ilman, että se hidastaa innovaatiota?

Oikea lähestymistapa on tehdä hallinta operatiiviseksi siellä, missä kehittäjät jo työskentelevät. UnifAI on suunniteltu integroitumaan suoraan koodinavustajiin ja matalan koodin tai ilman koodin agenteille AI-alustoilla, jotta käytäntö voidaan soveltaa sovellusten luomisen aikana sen sijaan, että se tehtäisiin manuaalisesti tarkastelun kautta myöhemmin.

Se voi automaattisesti löytää varat, suositella tai johtaa käytäntöjä, kääntää sisäisiä hallintodokumentteja pakottaviksi ohjausjärjestelmiksi ja soveltaa esteitä itse työvirrassa. Tämä tarkoittaa, että käytäntö muuttuu koneellisesti pakottavaksi, sen sijaan että se olisi kerroksittain. Kun se tehdään hyvin, kehittäjät liikkuvat nopeammin, koska he eivät ole lopettamassa tulkkaamaan vaatimustenmukaisuutta alusta alkaen, ja tietoturva-tiimit saavat johdonmukaisuuden ilman, että heistä tulee pullonkaula.

Lineaje on kehittänyt AI-vetoisia työkaluja analysoimaan ohjelmistotoimitusketjuja ja automaattisesti korjaamaan haavoittuvuuksia. Miten AI muuttaa tapaa, jolla organisaatiot hallitsevat riskiä verrattuna perinteiseen staattiseen analyysiin tai manuaalisiin tietoturva-arviointeihin?

AI muuttaa riskin hallintaa jatkuvaksi, kontekstuaaliseksi ja yhä autonomiseksi. Perinteinen staattinen analyysi ja manuaalinen arviointi ovat edelleen arvokkaita, mutta ne ovat liian hitaita ja liian hajanaisia modernin ohjelmiston ja AI-kehityksen mittakaavalle ja nopeudelle. Tavoitteena ei ole enää vain ilmoitusten lisääminen. Tavoitteena on poistaa altistus ennen käyttöönottoa. AI voi jatkuvasti kartoittaa ympäristöjä, yhdistää riippuvuuksia, arvioida riskiä kontekstissa, suositella käytäntöjä ja useissa tapauksissa ajaa korjausta automaattisesti.

Sen sijaan, että ihminen odottaa ongelman löytymistä, sen käsittelyä ja päättelyä seuraavasta, organisaatiot voivat siirtyä järjestelmiin, jotka tunnistavat ongelmat aikaisemmin, ymmärtävät niiden todennäköisen vaikutuksen ja toteuttavat korjaavia toimia nopeammin. Se on tuloksen perustuvan AI-tietoturvan perusta: siirtymisestä havainnosta ehkäisemiseen ja lopulta poistamiseen.

Kun AI alkaa generoida suurempia osia sovelluskoodeista, miten organisaatioiden tulisi uudelleenarvioida lähestymistapaansa ohjelmistojen todistettavuuteen, jäljitettävyyteen ja luottamukseen siinä, mitä he toimittavat asiakkaille?

Organisaatioiden on käsiteltävä todistettavuutta ensisijaisena vaatimuksena. AI-vetoinen kehitysmallissa jäljitettävyys on levinnyt koko ketjun syötteisiin, mukaan lukien koodi, avoimen lähdekoodin riippuvuudet, mallit, agentit ja käytäntöjen soveltaminen kehityksen ja käyttöönoton aikana. Se edellyttää dynaamisia raaka-aineita, vahvempaa todistamista ja operatiivista mallia, jossa luottamus on jatkuvasti verifioidaan sen sijaan, että se otetaan annettuna.

Standardiksi on muodostunut: jos et voi jäljittää sitä, hallita sitä ja selittää sitä, et pitäisi toimittaa sitä.

Säädökset ja vaatimustenmukaisuusmääräykset muokkaavat yhä enemmän, miten yritykset turvallistavat ohjelmistoa ja AI-järjestelmiä. Miten näet globaalit sääntelykehykset vaikuttavan yritysten omaksumiseen AI-hallintateknologioita tulevina vuosina?

Sääntely tulee olemaan suuri kiihdyttäjä. Kun vaatimukset ohjelmistotakuusta ja AI-hallinnasta tulevat selvemmiksi, hallinta muuttuu operatiiviseksi infrastruktuuriksi eikä enää taustalla olevaksi vaatimustenmukaisuusharjoitukseksi. Yritysten on tarve järjestelmiä, jotka voivat operationalisoida käytäntöjä sen sijaan, että ne hallitsevat vaatimustenmukaisuutta taulukoilla ja pisteen aikaisilla tarkastuksilla.

Organisaatiot yrittävät jo sopeutua nouseviin kehyksiin, kuten EU:n AI-lakiin ja vakiintuneisiin ohjeisiin, kuten OWASP Top Ten for AI, mutta he tarvitsevat teknologiaa, joka voi kääntää nämä vaatimukset pakottaviksi ohjausjärjestelmiksi kehitys- ja käyttöympäristöissä.

Tulevina vuosina hallintajärjestelmät siirtyvät olemasta mukavuudesta tärkeäksi osaksi yritysten hallintokehykstä, koska sääntelijät, asiakkaat ja hallitukset odottavat osoitettavaa valvontaa. Osoitettava valvonta tulee pakolliseksi.

Edetessäsi, miltä näyttää AI-vetoinen sovelluksen hallinnan tulevaisuus? Odotatko, että autonomiset järjestelmät lopulta hallitsevat suuren osan ohjelmistotietoturvan elinkaaresta itse?

Kyllä, uskon, että autonomiset järjestelmät hallitsevat suuremman osan ohjelmistotietoturvan elinkaaresta, mutta ihmisten valvonnassa, joka keskittyy käytäntöihin, riskin sietokykyyn ja poikkeusten käsittelyyn. Tietoturva-tiimit eivät voi enää ajaa jokaista ongelmaa laajassa ohjelmisto- ja AI-ekosysteemissä. Hallinta on toimittava AI-nopeudella.

Tulevaisuus on malli, jossa ihmiset määrittävät aikomukset ja käytäntöjä, kun taas autonomiset järjestelmät suorittavat jatkuvasti. Älykkäät alustat tulevat jatkuvasti löytämään varat, ylläpitämään live-raaka-aineita, havaitsemaan uhkia, pakottamaan käytäntöjä ja korjaamaan ongelmia reaaliajassa. Ihmisten tiimit asettavat edelleen suunnan ja tekevät korkean vaikutuksen olevat päätökset, mutta jatkuva hallinta, autonomisen pakottaminen ja live-toiminnan luottamus tulevat perustaksi. Se on ainoa kestävä tapa hallita ohjelmistoa ja agenteille AI:ta nopeudella, jolla organisaatiot odottavat nyt rakentavansa.

Kiitos hienosta haastattelusta, lukijat, jotka haluavat oppia lisää, voivat vierailla Lineaje:ssa. 

mm

Antoine on visionäärisen johtajan ja Unite.AI:n perustajakumppani, joka on intohimoisesti omistautunut tulevaisuuden muotoiluun ja edistämiseen AI:n ja robotiikan alalla. Sarjayrittäjänä hän uskoo, että AI tulee olemaan yhtä mullistava yhteiskunnalle kuin sähkö, ja hänet saa usein ylistämään disruptiivisten teknologioiden ja AGI:n potentiaalia.

Hän on futuristi, joka on omistautunut tutkimiseen, miten nämä innovaatiot muokkaavat maailmaamme. Lisäksi hän on Securities.io:n perustaja, joka on keskittynyt sijoittamiseen ääriviivaisiin teknologioihin, jotka määrittelevät tulevaisuutta ja muokkaavat koko toimialoja.