नीटसन ज़िव, ओएक्स सिक्योरिटी के सह-संस्थापक और सीईओ – साक्षात्कार श्रृंखला

नीटसन ज़िव, ओएक्स सिक्योरिटी के सह-संस्थापक और सीईओ, डेवसेकओप्स युग के लिए सॉफ्टवेयर सप्लाई चेन सुरक्षा को फिर से परिभाषित करने के अग्रणी हैं। ओएक्स की स्थापना से पहले, उन्होंने चेक पॉइंट में साइबर सुरक्षा के वीपी के रूप में काम किया, जहां उन्होंने वैश्विक पहलों का नेतृत्व किया और सोलरविंड्स और नॉटपेट्या जैसे उच्च-प्रोफ़ाइल खतरों के लिए तेजी से प्रतिक्रिया का समन्वय किया। उनका काम अक्सर उन्हें इंटरपोल, राष्ट्रीय सीईआरटी और अन्य प्रवर्तन एजेंसियों के साथ सीधे सहयोग में लाया, जब वे पिछले दशक के सबसे गंभीर साइबर घटनाओं में से कुछ का सामना कर रहे थे।

ओएक्स सिक्योरिटी एक एप्लिकेशन सुरक्षा प्लेटफ़ॉर्म है जो शोर के माध्यम से काटने में मदद करता है, संगठनों को वास्तव में महत्वपूर्ण जोखिमों के उस छोटे से प्रतिशत पर ध्यान केंद्रित करने में मदद करता है। शोषणीयता, पहुंच और व्यावसायिक प्रभाव के विश्लेषण का लाभ उठाकर, प्लेटफ़ॉर्म पूरे सॉफ्टवेयर विकास जीवन चक्र में साक्ष्य-आधारित प्राथमिकता प्रदान करता है। पूर्ण कोड-टू-क्लाउड कवरेज, 100+ एकीकरण और नो-कोड वर्कफ़्लो के साथ, ओएक्स डेवलपर वर्कफ़्लो में सीधे मार्गदर्शित उपचार को एम्बेड करता है, सुनिश्चित करता है कि सुरक्षा उपाय प्रभावी और घर्षण रहित दोनों हों।

ओएक्स सिक्योरिटी की सह-स्थापना से पहले, आपने चेक पॉइंट में प्रमुख घटना प्रतिक्रियाओं का नेतृत्व किया। आपको अपनी खुद की कंपनी शुरू करने का निर्णय लेने के लिए क्या प्रेरित किया, और आपने एप्लिकेशन सुरक्षा स्थान में कौन सा अंतर देखा?

चेक पॉइंट में काम करते हुए, मैंने पहले से ही “कॉर्पोरेट वेलोसिटी गैप” का अनुभव किया – पारंपरिक सुरक्षा उद्यम एक धीमी गति से चलता है। मैंने यह भी देखा कि सुरक्षा टीमें विभिन्न तरीकों से काफी अकुशल थीं, खासकर जब जोखिमों को सही ढंग से प्राथमिकता देने की बात आती थी।

उसी समय, मैंने पहचाना कि उत्पन्न करने वाला एआई (उस समय कम विकसित) सुरक्षा टूलिंग के भविष्य का प्रतिनिधित्व करता था, और वास्तव में यह तेजी से आगे बढ़ रहा था। कई महत्वपूर्ण बदलाव एक ही समय में हो रहे थे:

थ्रेट एक्टर एक्सेलेरेशन: हमलावर तेजी से नई प्रौद्योगिकियों और तकनीकों को अपना रहे थे, सुरक्षा समाधानों की तुलना में तेजी से आगे बढ़ रहे थे।

“वाइब कोडिंग” घटना: उस समय शब्द का अस्तित्व नहीं था, लेकिन मैंने देखा कि डेवलपर्स कोढ़ीपेट जैसे एआई-सहायता प्रोग्रामिंग टूल्स पर बढ़ती तरह से निर्भर कर रहे थे, जो मूल रूप से सॉफ्टवेयर का निर्माण कैसे किया जाता है और पूरी तरह से नए सुरक्षा विचारों को पेश करता है।

सप्लाई चेन अटैक इवोल्यूशन: सॉफ्टवेयर सप्लाई चेन हमलों की त्वरण ने एप्लिकेशन सुरक्षा के लिए नए दृष्टिकोण की तत्काल आवश्यकता पैदा की, जिसे मौजूदा टूल्स संबोधित नहीं कर रहे थे।

मौजूदा कॉर्पोरेट संरचनाओं के भीतर क्रमिक सुधार इन तेजी से विकसित हो रहे चुनौतियों का सामना करने के लिए पर्याप्त नहीं होंगे।

मेरी अंतिम समझ यह थी कि खतरे कोड में तेजी से बढ़ रहे थे – और सुरक्षा को उनका पालन करने की आवश्यकता थी। हमें ज्ञात फ्रेमवर्क से दूर होने और एक नए तेजी से दौड़ में शामिल होने की आवश्यकता थी।

ओएक्स का मुख्य मिशन डेवलपर्स को उन 5% दोषों पर ध्यान केंद्रित करने में मदद करना है जो वास्तव में महत्वपूर्ण हैं। यह अंतर्दृष्टि आपके लिए कब स्पष्ट हुई, और यह उत्पाद निर्णयों को आज कैसे आकार देता है?

काफी बड़े विकास टीमों का प्रबंधन करने के बाद, मैंने देखा कि सुरक्षा से संबंधित मुद्दों की भारी मात्रा कितनी अभिभूत कर सकती है। आपको यह समझने की आवश्यकता है कि क्या महत्वपूर्ण है और क्या नहीं। अंतहीन सूचियों के माध्यम से जाने से कंपनी जोखिम में कमी की ओर नहीं बढ़ती है। इसके बजाय यह निराशा पैदा करता है और यहां तक कि कंपनियों को जोखिम को कम करने से दूर ले जाता है क्योंकि यह बस इतना समय और संसाधन लेता है।

इसने हमें सिखाया कि हमें डेवलपर्स को वास्तव में महत्वपूर्ण चीजों पर ध्यान केंद्रित करने में मदद करने की आवश्यकता है – और फिर उन्हें समझाने के लिए कि यह महत्वपूर्ण क्यों है। उसके बाद, हमें उन्हें यह दिखाने की आवश्यकता है कि इसे आसानी से कैसे हल किया जाए, या बेहतर अभी तक – इसे उनके लिए हल करें, जो अब टूल्स जैसे एजेंट ओएक्स के माध्यम से संभव है।

यह अंतर्दृष्टि हमारी कंपनी के निर्माण के लिए आधार बन गई, और यह आज हमारे सभी उत्पाद निर्णयों को मार्गदर्शित करता है। प्रत्येक सुविधा, प्रत्येक क्षमता जो हम विकसित करते हैं, यह प्रश्न से शुरू होती है: “क्या यह डेवलपर्स को वास्तव में महत्वपूर्ण चीजों पर ध्यान केंद्रित करने में मदद करता है? क्या यह जोखिम को कम करता है?”

प्लेटफ़ॉर्म “कोड प्रोजेक्शन” पर केंद्रित है जो एसडीएलसी में जोखिम को मैप करता है। आप इस प्रौद्योगिकी को कैसे समझा सकते हैं और यह अन्य दोष प्रबंधन टूल्स से क्या अलग बनाता है?

कोड प्रोजेक्शन मूल रूप से एक प्रौद्योगिकी है जो कोड में एक समस्या देखती है और पहले से जानती है कि यह क्लाउड में पहुंचने पर कैसे व्यवहार करेगी। यह आपको समस्याओं को हल करने की अनुमति देता है जब वे अभी भी उत्पादन में नहीं चल रहे हैं – जब जोखिम पहले से ही उजागर होता है।

यह कोड को पढ़कर और इसका क्या अर्थ है यह समझकर काम करता है। एक स्पष्ट उदाहरण देने के लिए – जो इंटरनेट पर उजागर होता है वह जो नहीं है उसकी तुलना में अलग-अलग अर्थ रखता है।

अन्य उत्पादों से मुख्य अंतर यह है कि अधिकांश टूल्स अपना काम एक लंबी समस्याओं की सूची के साथ समाप्त करते हैं। 5% या उससे कम वास्तव में महत्वपूर्ण जोखिमों पर ध्यान केंद्रित करने में सक्षम हुए बिना, इनमें से गुजरना – आप समय सीमा के साथ समाप्त होते हैं जो लगभग अप्रासंगिक हैं। आप यह भी नहीं जानते कि किस डेवलपर को मुद्दे को सौंपना है।

हमारा दृष्टिकोण पूरी तरह से बदल देता है – हम केवल समस्याओं की पहचान नहीं करते हैं, हम संदर्भ, प्राथमिकता और स्पष्ट स्वामित्व प्रदान करते हैं।

आप स्कैनिंग टूल, सीक्रेट मैनेजमेंट, एसबीओएम, सास डिस्कवरी और अधिक के माध्यम से पूर्ण एकीकरण प्रदान करते हैं। इन सभी को एक सहज डेवलपर अनुभव में एकजुट करने में कुछ सबसे कठिन तकनीकी चुनौतियां क्या थीं?

सबसे कठिन समस्या डेटा को अंतर्दृष्टि में बदलना है। डेटा सभी चीजें हैं जिन्हें आपने अभी उल्लेख किया है। लेकिन डेवलपर्स को स्पष्टता, बुलेट पॉइंट और तर्क की आवश्यकता होती है। केंद्रित संचार। डेटा को कार्रवाई योग्य अंतर्दृष्टि में कैसे बदला जाए – यह उद्योग में सबसे बड़ी चुनौती है।

इस जानकारी को एक सुसंगत कहानी बताने और स्पष्ट, प्राथमिकता वाली कार्रवाइयों को प्रदान करने के लिए जो डेवलपर्स वास्तव में निष्पादित कर सकते हैं – यह सबसे बड़ी चुनौती थी।

पीबीओएम (पाइपलाइन बिल ऑफ मैटेरियल) ओएक्स का एक नवाचार है। यह एसबीओएम से कैसे अलग है, और यह आधुनिक सॉफ्टवेयर सप्लाई चेन को सुरक्षित करने के लिए क्यों आवश्यक है?

पीबीओएम सॉफ्टवेयर के साथ होने वाली हर चीज़ को देखने की क्षमता है जब यह लिखा जाता है जब तक कि यह उत्पादन में न हो। एसबीओएम एक घटक है जो एक अनुप्रयोग के अंदर सॉफ्टवेयर पैकेजों को देखता है।

पिछले प्रश्न का उत्तर देने के लिए – पीबीओएम वास्तव में उस आधार है जो हमें डेटा को अंतर्दृष्टि में बदलने की अनुमति देता है, क्योंकि यह एक बहुत व्यापक तस्वीर देखता है – सभी डेटा। यह कोड की पूरी यात्रा और परिवर्तन को पकड़ता है, न कि केवल अंतिम घटक।

यह व्यापक दृष्टिकोण आवश्यक है क्योंकि पारंपरिक सुरक्षा टूल्स केवल अंतिम परिणाम को देखते हैं, महत्वपूर्ण हमले वेक्टर जैसे कि समझौता किए गए निर्माण टूल, दुर्भाग्यपूर्ण प्रतिबद्धता या पाइपलाइन मैनिपुलेशन को याद करते हुए जो विकास और तैनाती के दौरान होते हैं।

ओएक्स ने हाल ही में एजेंट ओएक्स – एक नया मल्टी-एजेंट आर्किटेक्चर लॉन्च किया है, जहां प्रत्येक एआई मॉडल विशिष्ट दोष प्रकार और प्रोग्रामिंग भाषाओं पर केंद्रित है। यह डिज़ाइन निर्णय किसने निर्देशित किया, और आप व्यावहारिक रूप से यह सुनिश्चित करते हैं कि यह प्रस्तावित सुधार व्याख्यात्मक और विश्वसनीय हैं?

हमने मानव विकास विशेषज्ञता को देखकर और उसी सिद्धांत को एआई पर लागू करके इस मल्टी-एजेंट दृष्टिकोण को बनाया। किसी चीज़ में महारत हासिल करने के लिए, एक डेवलपर को भाषा, विशिष्ट वास्तुकला और विशिष्ट संगठन में महारत हासिल करने की आवश्यकता होती है। एक डेवलपर सभी समस्याओं को ठीक नहीं कर सकता है, और उसी तर्क से, एक एआई एजेंट भी उस स्तर की महारत हासिल नहीं कर सकता है। इसके अलावा, आप एक एजेंट चाहते हैं जो गुणवत्ता आश्वासन संभाल सकता है।

प्रत्येक एजेंट अपने विशिष्ट डोमेन में गहरी विशेषज्ञता विकसित करता है, जैसे मानव विशेषज्ञ करते हैं।

विश्वसनीयता और व्याख्यात्मकता के लिए, प्रत्येक एजेंट न केवल सुधार का प्रस्ताव करता है, बल्कि अपने तर्क की व्याख्या करता है, अपना काम दिखाता है और डेवलपर्स को यह समझने की अनुमति देता है कि एक विशिष्ट समाधान क्यों चुना गया था।

आप डेवलपर वर्कफ़्लो के भीतर सीधे एक-क्लिक उपचार पर ध्यान केंद्रित करने के लिए क्या प्रेरित किया? और आप यह सुनिश्चित करने के लिए क्या उपाय करते हैं कि डेवलपर नियंत्रण बनाए रखते हैं और अनपेक्षित दुष्प्रभावों का सामना नहीं करते हैं?

मुख्य विचार घर्षण को कम करना और सुरक्षा सुधारों को बढ़ाना है। हम डेवलपर्स को पूर्ण नियंत्रण प्रदान करते हैं ताकि वे प्रस्तावित सुधार की समीक्षा और सत्यापन कर सकें trước कि वे इसे स्वीकार करें।

मुख्य बात यह है कि “एक-क्लिक” का अर्थ “स्वचालित” नहीं है – इसका अर्थ है सुव्यवस्थित। डेवलपर देख सकते हैं कि क्या बदला जाएगा, समझते हैं कि क्यों और प्रस्तावित समाधान की समीक्षा करें, और फिर एक एकल कार्रवाई के साथ इसको लागू करना चुनें। नियंत्रण और निर्णय लेना पूरी तरह से उनके हाथों में रहता है, लेकिन हम सुधार को शोध करने और लागू करने के लिए जटिल मैनुअल कार्य को समाप्त करते हैं।

माइक्रोसॉफ्ट, आईबीएम और सोफी आपके ग्राहकों में से हैं। इन उद्यम संबंधों का आपके रोडमैप और एजेंट ओएक्स जैसे टूल के लिए फीडबैक प्रक्रिया पर क्या प्रभाव पड़ता है?

हम सैकड़ों ग्राहकों के साथ काम करते हैं, और उनमें से दर्जनों खुलकर हमारे साथ चुनौतियों के बारे में बात करते हैं जिनका सामना वे करते हैं। ये गहरे चर्चाएं सड़कमैप और डिज़ाइन पैटर्न के बारे में हमारी क्षमता के आधार हैं ताकि हम प्रस्तावित समाधान को बारीक कर सकें। हम अपने ग्राहकों के साथ संबंधों को बहुत महत्व देते हैं और उन्हें हमारी कंपनी के लिए शीर्ष प्राथमिकता के रूप में देखते हैं, जो हमें वास्तविक दुनिया की जरूरतों को समझने और उन्हें हल करने के लिए समाधान बनाने में मदद करती है।

जैसे ही एआई सुरक्षा टूल अधिक मुख्यधारा बन जाते हैं, आप स्वचालन के साथ डेवलपर विश्वास और नियंत्रण को कैसे संतुलित करते हैं? आप सहायक और स्वायत्त के बीच रेखा कहां खींचते हैं?

जैसा कि हमने पिछली क्रांतियों में देखा है, जो लोग गाड़ी में नहीं चढ़ते हैं वे जीवित नहीं रहते हैं। हम उन संगठनों को देख रहे हैं जिनके साथ हम काम करते हैं जिन्होंने अपने सभी संसाधनों को एआई अपनाने के लिए स्थानांतरित कर दिया है क्योंकि वे समझते हैं कि हम एक क्रांति के गवाह हैं।

वे वास्तव में हमारे सबसे सहयोगी ग्राहक हैं क्योंकि वे एक नए, अनचार्टेड तनाव का सामना कर रहे हैं: उनके डेवलपर्स को एआई टूल के साथ तेजी से आगे बढ़ने की आवश्यकता है, लेकिन वे नियंत्रण खोने के बारे में चिंतित हैं। वे प्रतिस्पर्धी लाभ प्राप्त करने के लिए जोखिम और अस्थायी नियंत्रण हानि को स्वीकार करने के लिए तैयार हैं, लेकिन उन्हें हमें उन्हें विश्वास हासिल करने में मदद करने की आवश्यकता है। हमारा काम उन्हें आवश्यक गति प्रदान करना है, जबकि प्रक्रिया में विश्वास का पुनर्निर्माण करना है।

आपने हाल ही में $60M सीरीज़ बी बंद किया है। यह फंडिंग ओएक्स के अगले चरण के विकास को कैसे तेज़ करेगी – चाहे वह तकनीक, गो-टू-मार्केट या अंतर्राष्ट्रीय विस्तार के पक्ष में हो?

नई फंडिंग मूल रूप से विस्तार के बारे में है, और यह हमें एआई-जनित कोड से उत्पन्न जोखिमों की पहचान में हमारी क्षमताओं को बढ़ाने में भी मदद करेगी, जो अब एजेंट ओएक्स के लॉन्च के साथ शुरू हो रहा है।

हम पहले से ही 200 से अधिक भुगतान करने वाले ग्राहकों के लिए दैनिक 100 मिलियन से अधिक लाइनों को विश्लेषण कर रहे हैं। यह फंडिंग हमें इस प्रभाव को वैश्विक स्तर पर बढ़ाने की अनुमति देती है, जबकि हमेशा हमारे द्वारा निर्देशित मूल प्रश्नों पर ध्यान केंद्रित करती है: “क्या यह डेवलपर्स को महत्वपूर्ण चीजों पर ध्यान केंद्रित करने में मदद करता है? क्या यह जोखिम को कम करता है?”

महान साक्षात्कार के लिए धन्यवाद, जो पाठक अधिक जानना चाहते हैं उन्हें ओएक्स सिक्योरिटी पर जाना चाहिए।