Connect with us

ื•ืจื•ืŸ ื‘ืื“ื•ื•ืืจ, ืžื™ื™ืกื“ ื•ืžื ื›”ืœ Endor Labs – ืกื“ืจืช ืจืื™ื•ื ื•ืช

ืจืื™ื•ื ื•ืช

ื•ืจื•ืŸ ื‘ืื“ื•ื•ืืจ, ืžื™ื™ืกื“ ื•ืžื ื›”ืœ Endor Labs – ืกื“ืจืช ืจืื™ื•ื ื•ืช

mm
Published
Updated

ורון באדוואר, מייסד ומנכ”ל Endor Labs, הוא יזם אבטחת סייבר המוכר בבנייה והובלה של חברות בחזית אבטחת הענן ואבטחת היישומים. מאז 2021, הוא עומד בראש Endor Labs, המתמקדת באבטחת פיתוח תוכנה הנעזרת באינטליגנציה מלאכותית. בעבר, הוא היה SVP ו-GM של Prisma Cloud ב-Palo Alto Networks ומייסד RedLock, סטארט-אפ לאבטחת ענן שנרכש על ידי Palo Alto Networks.

Endor Labs היא פלטפורמת אבטחת יישומים הבנויה לעידן האינטליגנציה המלאכותית, שנועדה לסייע לצוותי הנדסה ואבטחה לאזן בין מהירות לבטיחות בפיתוח תוכנה. הפלטפורמה משלבת תכונות כגון ניתוח הרכב תוכנה על בסיס הישגיות, SAST, סריקת קontainer, גילוי סודות והגנת צינורות CI/CD לתוך תצוגה מאוחדת, ומסייעת לצוותים לזהות אילו פגיעויות באמת משמעותיות וליוריאם תיקונים. היא כוללת גם סוכנים של אינטליגנציה מלאכותית הבוחנים בקשות גישה לשינויים ארכיטקטוניים ומגלים סיכונים בקוד שנוצר על ידי אינטליגנציה מלאכותית מוקדם במחזור הפיתוח.

בעבר, הקימת והרחבת מיזמים ביטחוניים גדולים — כיצד חוויות אלו הובילו להקמת Endor Labs, ומה היה הבעיה שהייתם הכי נחושים לפתור בתחילה?

ב-2021, הייתי ב-Palo Alto Networks כאשר התרחש הפריצה ל-SolarWinds. זה היה ענק. כל לקוח שהשתמש בתוכנה שלהם הושפע, ואנחנו לא היינו יוצאים מן הכלל. כאשר חקרתי כיצד ניהלנו את התוכנה שלנו, הבנתי שהיו לנו 450 מהנדסים ו-68,000 פגיעויות ביטחון, אך המהנדסים ברובם התעלמו מהן. הסיבה? כ-80–90% מההתראות היו חיוביות שווא, וכלים מסורתיים לא הבינו כיצד המפתחים באמת עובדים.

הרגע הההבנה היה שפיתוח תוכנה מודרני הוא יותר כמו אסיפה מאשר יצירה. אנו מספקים קוד שרובו ספריות צד שלישי, ללא הבטחות לגבי איכות או ביטחון. ראיתי את הנתק בין צוותי האבטחה למהנדסים, הדינמיקה היריבה והחיכוך הפוליטי. ידעתי שאנו צריכים לחשוב מחדש על אבטחת היישומים מהיסוד, מה שהוביל להקמת Endor Labs.

Endor Labs מגינה כעת על מיליוני יישומים עבור ארגונים החל מפינטק ועד פלטפורמות SaaS. מהם המקרים הנפוצים ביותר, ומדוע לקוחות פונים אליכם?

לקוחותינו פונים אלינו כדי להגן על שרשרת האספקה של התוכנה וצינורות הפיתוח. הם רוצים לאמת תלויות קוד פתוח לפני ייצור, לסמן אוטומטית קוד בעל סיכון גבוה שנוצר על ידי אינטליגנציה מלאכותית, ולבסוף לשלב אבטחה ישירות לתוך זרימות העבודה של המפתחים.

רוב הסריקונים פשוט מטילים פגיעויות על המפתחים ועוזבים, יוצרים רעש שהמהנדסים בסופו של דבר מתעלמים ממנו. ועם קידום קודים באמצעות תחושה, גישה זו פשוט לא עובדת. ב-Endor, אנו מספקים ניתוח מודע להקשר ותובנות מעשיות, כך שצוותי אבטחה והנדסה יכולים לבטוח זה בזה שוב.

מפתחים רבים מתמודדים עם מתח בין לנוע מהר להישאר בטוחים. כיצד פלטפורמתכם עוזרת ליישב אתגר זה?

מהירות מול בטיחות היא הדילמה העתיקה ביותר בפיתוח תוכנה. קידום קודים באמצעות תחושה רק הדגישה עוד יותר את הפשרה. ארבעים וחמישה אחוז מהמפתחים משתמשים בעוזרים של אינטליגנציה מלאכותית יומיומית, מה שמאיץ את המהירות אך גם מציג קוד לא בטוח.

ב-Endor Labs, אנו משלבים אבטחה ישירות לתוך זרימות העבודה שהמפתחים כבר משתמשים. חשבו על סביבות פיתוח משולבות, בקשות גישה, צינורות Git. הפילוסופיה שלנו פשוטה: אבטחה היא סוג של באג. טיפול בה כמו בכל באג אחר, והיא הופכת לחלק מתהליך הפיתוח הטבעי במקום להיות מחשבה מאוחרת. בצמצום הרעש ובספק כיוון ברור, אנו מאפשרים למפתחים לנוע מהר תוך כדי אבטחת התוכנה שהם מספקים.

חיוביות שווא היא אחד הנקודות הכואבות ביותר באבטחה. כיצד אתם מגישים לבעיה הזו בצורה שונה?

חיוביות שווא הם ענקיים. ראיתי מהנדסים מתעלמים מהתראות משמעותיות כי הן חסרות משמעות. זה מסוכן בעולם שבו תקיפות צדדיות גדלות בשיעור כפול ויריבים מנצלים דלתות צד בצינורות הפיתוח.

גישתנו היא לתת עדיפות להקשר. במקום להתאים כל נקודת תואמת (CVE) לתלות, אנו מנתחים את נתיב הקוד, הלוגיקה העסקית ואפילו שינויים בעיצוב שנוצרו על ידי אינטליגנציה מלאכותית. כמו כן, פיתחנו את שרת ה-Endor Labs Model Context Protocol (MCP), המאפשר לסוכנים של אינטליגנציה מלאכותית להתקשר עם כלים אחוריים לתיקונים מדויקים ולא מדומים. כלים אחרים לא יכולים להציע רמת דיוק זו, מכיוון שהם חסרים הקשר ליישום. הם לא יודעים מה עושה הקוד שלך, כיצד השירותים שלך מדברים זה עם זה, או מהי תיקון בטוח. התוצאה היא פחות התראות חסרות משמעות ויותר הנחיה מעשית שמפתחים יכולים לפעול עליה.

שרשרת האספקה של התוכנה נתפסת כיום כאחד מהסיכונים הדחופים ביותר לחברות. מדוע סוגיה זו קריטית כל כך היום?

קוד פתוח כעת דומיננטי בתוכנה של חברות, ופיתוח תוכנה השתנה להרכבה של תוכנה. כ-90% מהרכיבים ביישומים מודרניים הם חיצוניים, ועוזרי קידום קודים של אינטליגנציה מלאכותית מציגים תלויות נוספות באופן אוטומטי. זה אומר שפגיעויות בודדות יכולות להתפשט על פני מיליוני יישומים.

הפרסים גבוהים: רגולטורים כעת מציגים קוד פתוח כעניין ביטחון לאומי. ותקיפות כמו התקיפה של Shai-Hulud npm מראות כיצד יריבים מתכוונים ליעדים אלו. ללא מעקבים נכונים, חברות נתונות לחשיפה בקנה מידה עצום.

אינטליגנציה מלאכותית משנה את הדרך בה תוכנה מתוכננת. מהם סוגי הסיכונים החדשים שזה יוצר עבור אבטחת יישומים?

עוזרי קידום קודים של אינטליגנציה מלאכותית הם כמו להעסיק אלפי סטאג’ים בבת אחת — הם יכולים לשפר את הפרודוקטיביות אך גם להציג כאוס כאשר הם לא מנוהלים. מחקרים מראים 62% מהקוד שנוצר על ידי אינטליגנציה מלאכותית הוא בעייתי במונחי ביטחון, איכות או ארכיטקטורה. מעבר ל-CVE ידועים, אלו כוללים לוגיקה פגומה, נקודות קצה API חדשות או שגיאות קריפטוגרפיות שכלים מורשת לא תוכננו לתפוס.

האתגר החדש הוא לסקור קוד בטוח בקנה מידה. לסמוך על מהנדסים בכירים עמוסים לבדוק ידנית כל בקשת גישה לא עובד. אתה צריך מערכות אוטומטיות שיכולות לסקור, לייעד ולהנחות מפתחים באותה מהירות שבה אינטליגנציה מלאכותית מייצרת קוד.

יש הטוענים כי אינטליגנציה מלאכותית מציגה יותר פגיעויות מאשר מונעת. האם אתם רואים אותה כסיכון נטו או תועלת נטו בשלב זה?

זה יכול להיות שניהם. אינטליגנציה מלאכותית מצוינת לגיבוש וניסוי, אך מפתחים לא מנוסים הסומכים על אינטליגנציה מלאכותית יכולים ליצור מצב של “עיוורים מובילים עיוורים”. הדרך להפוך את המשוואה היא על ידי זוג אינטליגנציה מלאכותית עם מעקי אבטחה. עם מערכות ביקורת ותיקונים MCP-נעולים במקום, אתה יכול להפוך את אינטליגנציה מלאכותית מסיכון נטו לתועלת נטו. ללא, הסיכונים גוברים על הרווחים.

עם התפשטות הקוד המוגן על ידי אינטליגנציה מלאכותית, מהם המנגנונים שארגונים צריכים להציב כדי להבטיח אמון במה שהם מפרישים?

טיפול בקוד שנוצר על ידי אינטליגנציה מלאכותית כמו כל תלות צד שלישית אחרת. זה אומר פיקוח רציף, אימות אוטומטי ומעקים בכל שלבי הצינור. אתה גם צריך לוודא שכלים לביקורת אינטליגנציה מלאכותית שלך מאומנים על קוד בטוח ואיכותי — לא רק רפוזיטורים אקראיים של GitHub.

ואז, המשיך מעבר לגילוי. כאשר תלות מסוכנת מסומנת, כליכם צריכים להמליץ על נתיב השדרוג שמונע הרס של האפליקציה. זהו ההבדל בין כאוס לשליטה. אני אוהב לחשוב על זה כמו נתיבי באולינג: הכדור עדיין נע מהר, אך הוא נשאר על המסלול.

שקיפות היא מרכזית לסגנון הנהלתך. כיצד שיתוף של הצלחות ומפלות משפיע על תרבות וביצועים?

אנו מטרים לשקיפות רדיקלית ב-Endor Labs. זה אומר שיתוף הטוב והרע — ולא רק ביצועי חברה, אלא גם דברים כמו תוכניות מניות וסיכונים אסטרטגיים. עובדים הם מבוגרים. הצוות שלנו יכול להתמודד עם המציאות. היות מפורשים בונה אמון, מעורבות ובעלות, וזה עוזר לאנשים לקבל החלטות טובות יותר.

אתם מעניקים לעיתים קרובות סמכויות למנהיגים עולים מוקדם בקריירה. מהו הייעוץ שאתם נותנים למנהלים לראשונה הלוקחים על עצמם אחריות גדולה?

אני אוהב לתת לחברי צוות מובטחים תפקידים גדולים מוקדם ולבטוח בהם שיגדלו לתפקיד. עם הדרכה ותמיכה, הם לומדים מהר. הייעוץ שלי: קבל אחריות, למד מכישלונות, ובנה אמינות דרך פעולה. אנשים רבים מפתיעים אתכם במה שהם יכולים להשיג כאשר אתם נותנים להם את המרחב.

בהסתכלות לאחור, מהם ההזדמנויות והאתגרים הגדולים ביותר באבטחת שרשרת האספקה של התוכנה?

עם עוזרי קידום קודים של אינטליגנציה מלאכותית ומפתחים אזרחיים משנים את זרימות העבודה, אנו צריכים מערכות שפועלות כמו “מתכנת אבטחה” הבוחנות כל בקשת גישה בזמן אמת, מסקרות ביקורת קוד בטוחה, ונותנות למפתחים הקשר שהם יכולים לבטוח. זהו הסיבה שב-Endor Labs, אנו בנינו את שרת ה-MCP וארכיטקטורה רב-סוכנית, המסייעים כבר ללקוחותינו לשמור קצב עם פיתוח יליד אינטליגנציה מלאכותית.

האתגר הוא ששרשרת האספקה עצמה רק הופכת למורכבת יותר. היום, הקוד בעיקר מורכב מרכיבים חיצוניים, וכל כלי אינטליגנציה מלאכותית חדש מציג עוד שכבה של תלות. חברות שלא יחשבו מחדש את המודלים שלהן ימצאו את עצמן חשופות.

אנו רואים את הדחיפות הזו מתרחשת בזמן אמת — Endor Labs כעת מגינה על יותר מ-7 מיליון יישומים, סורקת 1.6 מיליון בקשות גישה בחודש, ומקטינה רעש ביותר מ-90% עבור צוותי הנדסה.

חמש שנים מעתה, הארגונים שיצאו מלוחמה הם אלו שיטפלו בקידום קוד בטוח כחלק מרכזי מפרודוקטיביות המפתח.

תודה על הראיון הנהדר, קוראים שרוצים ללמוד יותר צריכים לבקר ב-Endor Labs.

Related Topics:
mm

ืื ื˜ื•ืืŸ ื”ื•ื ืžื ื”ื™ื’ ื—ื–ื•ื ื™ ื•ืฉื•ืชืฃ ืžื™ื™ืกื“ ืฉืœ Unite.AI, ื”ืžื•ื ืข ืขืœ ื™ื“ื™ ืชืฉื•ืงื” ื‘ืœืชื™ ืžืขื•ืจืขืจืช ืœืขืฆื‘ ื•ืœืงื“ื ืืช ืขืชื™ื“ ื”-AI ื•ื”ืจื•ื‘ื•ื˜ื™ืงื”. ื™ื–ื ืกื“ืจืชื™, ื”ื•ื ืžืืžื™ืŸ ืฉ-AI ื™ื”ื™ื” ืžืฉื‘ืฉ ื›ืžื• ื—ืฉืžืœ ืœื—ื‘ืจื”, ื•ืœืขื™ืชื™ื ืงืจื•ื‘ื•ืช ื ืชืคืก ื›ืžื™ ืฉืžื“ื‘ืจ ื‘ื”ืชืœื”ื‘ื•ืช ืขืœ ื”ืคื•ื˜ื ืฆื™ืืœ ืฉืœ ื˜ื›ื ื•ืœื•ื’ื™ื•ืช ืžืฉื‘ืฉื•ืช ื•-AGI. ื›-ืคื•ื˜ื•ืจื™ืกื˜, ื”ื•ื ืžื•ืงื“ืฉ ืœื—ืงืจ ื”ืื•ืคืŸ ืฉื‘ื• ื—ื™ื“ื•ืฉื™ื ืืœื” ื™ืขืฆื‘ื• ืืช ืขื•ืœืžื ื•. ื‘ื ื•ืกืฃ, ื”ื•ื ื”ืžื™ื™ืกื“ ืฉืœ Securities.io, ืคืœื˜ืคื•ืจืžื” ื”ืžืชืžืงื“ืช ื‘ื”ืฉืงืขื” ื‘ื˜ื›ื ื•ืœื•ื’ื™ื•ืช ื—ื“ืฉื ื™ื•ืช ืฉืžื’ื“ื™ืจื•ืช ืžื—ื“ืฉ ืืช ื”ืขืชื™ื“ ื•ืžืฉื ื•ืช ืืช ื›ืœ ื”ืžื’ื–ืจื™ื.