Connect with us

Varun Badhwar, Endor Labsin perustaja ja toimitusjohtaja – Haastattelusarja

Haastattelut

Varun Badhwar, Endor Labsin perustaja ja toimitusjohtaja – Haastattelusarja

mm
Published
Updated

Varun Badhwar, Endor Labsin perustaja ja toimitusjohtaja, on kyberturvatyönharjoittaja, joka on tunnettu yritysten rakentamisesta ja johtamisesta pilvi- ja sovellusturvallisuuden alalla. Vuodesta 2021 lähtien hän on johtanut Endor Labsia, joka keskittyy AI-vetoinen ohjelmistokehityksen turvallisuuteen. Aikaisemmin hän toimi Prisma Cloudin SVP:na ja GM:na Palo Alto Networksissa ja perusti pilviturvallisuusstart-upin RedLockin, jonka Palo Alto Networks hankki.

Endor Labs on sovellusturvallisuusalusta, joka on suunniteltu AI-aikakaudeksi, ja sen tarkoituksena on auttaa insinööri- ja turvallisuustiimejä tasapainottamaan nopeuden ja turvallisuuden ohjelmistokehityksessä. Alusta yhdistää ominaisuuksia, kuten reachability-pohjaisen ohjelmistokoosteen analyysin, SAST:n, konttiskannauksen, salaisuuden havaitsemisen ja CI/CD-putkien suojelun yhtenäiseen näkymään, jotta tiimit voivat tunnistaa, mitkä haavoittuvuudet ovat todella tärkeitä ja priorisoida korjauksia. Se sisältää myös AI-agenteja, jotka analysoivat pull-pyyntöjä arkkitehtonisten muutosten ja AI-luotujen koodien riskien havaitsemiseksi kehityksen elinkaaren alussa.

Olit aikaisemmin rakentanut ja laajentanut suuria turvallisuusventuureja — miten nämä kokemukset johtivat Endor Labsin perustamiseen, ja mikä ongelma halusit ratkaista aluksi?

Vuonna 2021, kun olin Palo Alto Networksissa, tapahtui SolarWinds-hyökkäys. Se oli massiivinen. Jokainen asiakas, joka käytti heidän ohjelmistoaan, oli vaikuttunut, ja meidänkin oli. Kun tutkin, miten hallitsimme omaa ohjelmistoa, tajusin, että meillä oli 450 insinööriä ja 68 000 turvallisuushaavoittuvuutta, mutta insinöörit olivat pääasiassa ignoroinneet ne. Syy? Valtaosa, 80–90 % hälytyksistä, oli vääräpositiivisia, ja perinteiset työkalut eivät ymmärtäneet, miten kehittäjät tosiasiassa työskentelevät.

Silloin se klikkesi: moderni ohjelmistokehitys on enemmän kokoamista kuin luomista. Toimitamme koodia, joka on pääasiassa kolmannen osapuolen kirjastoja, joista ei ole takeita laadusta tai turvallisuudesta. Näin eron turvallisuustiimien ja insinöörien välillä, vastakkaiset dynamiikat ja poliittisen kitkan. Tiesin, että meidän on uudelleenarvioitava sovellusturvallisuutta alusta alkaen, mikä johti Endor Labsin perustamiseen.

Endor Labs suojaa nyt miljoonia sovelluksia organisaatioille, jotka vaihtelevat fintechista SaaS-alustoihin. Mitä tyypillisiä käyttötapoja näet useimmin, ja miksi asiakkaat kääntyvät sinun puoleesi?

Asiakkaamme tulevat meidän luo suojelemaan ohjelmistotoimittajaketjujaan ja kehittäjien putkia. He haluavat vahvistaa avoimen lähdekoodin riippuvuudet ennen tuotantoa, automaattisesti merkitä korkean riskin AI-luotua koodia ja lopulta integroida turvallisuuden suoraan kehittäjien työvirtoihin.

Useimmat skannausohjelmat heittävät vain haavoittuvuuksia kehittäjille ja poistuvat, luoden melua, jota insinöörit lopulta ignoroi. Ja kun vibe-koodaus on nyt valtavirtaa, tämä lähestymistapa ei toimi. Endorissa tarjoamme kontekstia tietoista analyysiä ja toimivaan näkemyksiä, jotta turvallisuus- ja insinööritiimit voivat todella luottaa toisiinsa.

Kehittäjät kohtaavat usein jännitteen nopeuden ja turvallisuuden välillä. Miten alustasi auttaa sovittamaan tämän haasteen?.

Nopeus vastaan turvallisuus on vanhin dilemma ohjelmistokehityksessä. Vibe-koodaus on vain korostanut tätä vaihtoehtoa. 45 prosenttia kehittäjistä käyttää AI-apuvälineitä päivittäin, mikä kiihdyttää nopeutta, mutta myös esittelee epäturvallista koodia.

Endor Labsissa upotamme turvallisuuden suoraan kehittäjien käyttämiin työvirtoihin. Ajattelemme IDE:ja, pull-pyyntöjä, Git-putkia. Filosofiamme on yksinkertainen: turvallisuus on vain yksi bugiluokka. Käsittele sitä kuin mitä tahansa ohjelmistovirhettä, ja se tulee luonnolliseksi osaksi kehitysprosessia sen sijaan, että se olisi jälkijäänyt. Vähentämällä melua ja tarjoamalla selkeää ohjausta, mahdollistamme kehittäjille nopean liikkeen samalla, kun varmistamme, että he toimittavat turvallista ohjelmistoa.

Virheelliset positiiviset ovat yksi suurimmista kipupisteistä turvallisuudessa. Miten lähestyt tätä ongelmaa eri tavalla?.

Virheelliset positiiviset ovat valtavat. Olen nähnyt insinöörien ignoroinneen merkittäviä määriä hälytyksiä, koska ne ovat merkityksettömiä. Tämä on vaarallista maailmassa, jossa kolmannen osapuolen hyökkäykset kasvavat kaksinumeroisella prosentilla ja viholliset hyödyntävät sivuovia kehittäjien putkissa.

Lähestymistapamme on priorisoida konteksti. Sen sijaan, että vastaamme jokaiseen yleiseen haavoittuvuuteen ja altistumiseen, analysoimme koodipolkuja, liiketoimintalogiikkaa ja jopa AI-luotuja suunnittelumuutoksia. Olemme myös kehittäneet Endor Labsin MCP-palvelimen, joka sallii AI-agenteille soittaa taustajärjestelmiin tarkkaa korjausta sen sijaan, että se olisi kuviteltu. Muut työkalut eivät voi tarjota tätä tarkkuutta, koska niiltä puuttuu sovelluksen konteksti. Ne eivät tiedä, mitä koodisi tekee, miten palvelusi puhuvat toistensa kanssa tai miltä turvallinen korjaus näyttää. Tuloksena on vähemmän merkityksettömiä hälytyksiä ja enemmän käytännöllistä ohjausta, jota kehittäjät voivat tosiasiassa noudattaa.

Ohjelmistotoimittajaketju on nyt nähty yhtenä kiireellisimmistä riskeistä yrityksille. Miksi tämä ongelma on niin kriittinen tänään?.

Avoimen lähdekoodin ohjelmistot määräävät nyt yritysten ohjelmistoa, ja ohjelmistokehitys on muuttunut ohjelmistokokoamiseksi. Suunnilleen 90 prosenttia komponenteista modernissa sovelluksissa on ulkoisia, ja AI-koodausavustajat esittelevät jatkuvasti enemmän riippuvuuksia automaattisesti. Tämä tarkoittaa, että yksittäinen haavoittuvuus voi aiheuttaa vaikutuksen miljooniin sovelluksiin.

Panokset ovat korkeat: sääntelijät määrittelevät avoimen lähdekoodin kansallisen turvallisuuden ongelman. Ja hyökkäykset, kuten äskettäinen Shai-Hulud npm -hyökkäys, osoittavat, miten viholliset kohdistavat nämä heikot kohdat. Ilman oikeaa varustelua yritykset ovat alttiina valtavalle mittakaavalle.

AI muuttaa, miten ohjelmistoa kehitetään. Mitä uusia riskejä se luo sovellusturvallisuudelle?.

AI-apuvälineet ovat kuin palkkaaminen tuhansia harjoittelijoita kerran — ne voivat lisätä tuottavuutta, mutta myös esittelevät kaaosta, jos ne jätetään hallitsemattomaksi. Tutkimukset osoittavat, että 62 prosenttia AI-luotusta koodista sisältää turvallisuuden, laadun tai arkkitehtuurin ongelmia. Perinteisten työkalujen lisäksi nämä käsittävät loogisia virheitä, uusia API-päätteitä tai kryptografisia virheitä, joita perinteiset työkalut eivät ole suunniteltu havaitsemaan.

Uusi haaste on turvallisen koodin tarkastuksen skaalaaminen. Luottaminen ylikuormitettuihin vanhempiin insinööreihin, jotka tarkastavat manuaalisesti jokaisen pull-pyynnön, ei toimi. Tarvitset automaattisia järjestelmiä, jotka voivat tarkastaa, priorisoida ja ohjata kehittäjiä samalla nopeudella kuin AI luo koodia.

Jotkut väittävät, että AI esittelee enemmän haavoittuvuuksia kuin se estää. Näetkö sen nettovaarana vai nettoturvallisuutena tällä hetkellä?.

Se voi olla kumpiakin. AI on fantastista prototyyppien luomiseen ja kokeiluun, mutta kokemattomat kehittäjät, jotka luottavat AI:hen, voivat luoda sokean johtajan skenaarion. Tapa kääntää tämän yhtälön on parittaa AI:ta turvallisuuden varustelulla. Oikeiden tarkastusjärjestelmien ja MCP-ohjatuilla korjauksilla varustettuna voit muuttaa AI:n nettovaarasta nettoturvallisuudeksi. Ilman niitä riskit ylittävät hyödyt.

AI-luotu koodi tulee yleisemmäksi — mitä varotoimia organisaatioiden on asetettava paikalleen, jotta voidaan varmistaa luottamus siihen, mitä ne käyttävät?.

Käsittele AI-luotua koodia kuin mitä tahansa kolmannen osapuolen riippuvuutta. Tämä tarkoittaa jatkuvaa valvontaa, automaattista vahvistamista ja varustelua jokaisessa putken vaiheessa. On myös varmistettava, että AI-tarkastusvälineesi on koulutettu laadukkaaseen, turvalliseen koodiin — ei vain satunnaisiin GitHub-repositorioihin.

Ja siirrytä eteenpäin havaitsemisesta. Kun riskiallinen riippuvuus on merkitty, työkalujen on suositeltava päivityspolkua, joka välttää sovelluksen murtamisen. Tämä on ero kaaoksen ja hallinnan välillä. Pitäisin sitä kuin keilailun esteidenä: pallo liikkuu edelleen nopeasti, mutta se pysyy raiteilla.

Läpinäkyvyys on keskeinen osa johtamistyyliäsi. Miten sekä voittojen että takaiskujen jakaminen vaikuttaa kulttuuriin ja suorituskykyyn?.

Tavoitteenamme on radikaalinen läpinäkyvyys Endor Labsissa. Tämä tarkoittaa sekä hyvän että pahojen asioiden jakamista — ei vain yrityksen suorituskyvystä, vaan myös asioista, kuten osakeasuista ja strategisista riskeistä. Työntekijät ovat aikuisia. Tiimimme pystyy käsittelemään todellisuuden. Avoin läpinäkyvyys luo luottamusta, sitoutumista, omistajuutta ja auttaa ihmisiä tekemään parempia päätöksiä.

Usein valjastat nousevia johtajia uransa alussa. Mitä ohjeita annat ensimmäisille johtajille, jotka ottavat vastaan suuria vastuutehtäviä?.

Pidän antamasta lupaaville tiimiläisille suuria rooleja aikaisin ja luottamasta heidän kasvamiseensa tehtävään. Mentoroinnin ja tuen kanssa he oppivat nopeasti. Neuvoni: omaksu vastuu, opi virheistä ja luo luottamusta toiminnan kautta. Ihmiset usein yllättävät sinua siitä, mitä he pystyvät saavuttamaan, kun annat heille tilan.

Nähdäksesi eteenpäin viisi vuotta, mitä näet suurimpina mahdollisuuksina ja haasteina ohjelmistotoimittajaketjun turvallisuudessa?.

AI-koodausavustajien ja kansalaiskehittäjien muokatessa työvirtoja tarvitsemme järjestelmiä, jotka toimivat kuin “turvallisuuspeliohjelmoija”, jotka tarkastavat jokaisen pull-pyynnön reaaliajassa, skaalaavat turvallisen koodin tarkastuksen ja antavat kehittäjille kontekstia, johon he voivat luottaa. Tämän vuoksi Endor Labsissa kehittäimme MCP-palvelimen ja moniagenttitekniikan, jotka auttavat jo asiakkaitamme pysymään AI-kehityksessä.

Haaste on, että toimittajaketju itsessään on vain monimutkaisempi. Tänään koodi on pääasiassa koottu ulkoisista komponenteista, ja jokainen uusi AI-työkalu esittelee toisen kerroksen riippuvuutta. Yritykset, jotka eivät uudelleenarvioi mallejaan, löytävät itsensä alttiina.

Näemme tämän kiireellisyyden toteutuvan reaaliajassa — Endor Labs suojaa nyt yli 7 miljoonaa sovellusta, skannaa 1,6 miljoonaa pull-pyyntöä kuukaudessa ja vähentää melua yli 90 prosentilla insinööritiimille. Viiden vuoden kuluttua organisaatiot, jotka selviävät, ovat niitä, jotka käsittävät turvallisen koodauksen kehittäjien tuottavuuden perusosana.

Kiitos haastattelusta, lukijat, jotka haluavat oppia lisää, voivat vierailla Endor Labs:ssa.

Related Topics:
mm

Antoine on visionäärinen johtaja ja Unite.AI:n perustajakumppani, jota ohjaa horjumaton intohimo muokata ja edistää tulevaisuuden tekoälyä ja robottiikkaa. Sarjayrittäjänä hän uskoo, että tekoäly tulee olemaan yhtä mullistava yhteiskunnalle kuin sähkö, ja hänestä usein kuuluu ylistyksiä mullistavien teknologioiden ja AGI:n mahdollisuuksista.
Hänen ollessaan futuristi, hän on omistautunut tutkimiseen, miten nämä innovaatiot muokkaavat maailmaamme. Lisäksi hän on Securities.io:n perustaja, joka on alusta, joka keskittyy sijoittamiseen uraauurtaviin teknologioihin, jotka määrittelevät uudelleen tulevaisuuden ja muokkaavat koko sektoreita.