csonk Tsahy Shapsa, a Jit társalapítója és vezérigazgatója – Kiberbiztonsági interjúk – Unite.AI
Kapcsolatba velünk
   interjúk  
Tsahy Shapsa, a Jit társalapítója és vezérigazgatója – Kiberbiztonsági interjúk
 mm
Közzététel:
 1 éve
 on
   
 
Tsahy Shapsa a társaság társalapítója és vezérigazgatója JIT, amely lehetővé teszi a folyamatos biztonság egyszerűsítését, így a fejlesztők már a nulladik naptól kezdve biztonságos felhőalkalmazásokat készíthetnek.
Pályafutása nagy részében a kiberbiztonsággal foglalkozott, mi vonzotta kezdetben az iparághoz?
Felnőttként mindig is vonzott a sci-fi, és a „WarGames” című film volt az, ami igazán megindította a képzeletem a számítógépek szerepéről világunk biztonságában. Miközben néztem, ahogy a film fiatal hackere akaratlanul belebotlik egy nagy téttel járó kiberkonfliktusba, magával ragadtak a digitális jövő lehetőségei és kihívásai. Életem későbbi szakaszában, az izraeli „Startup Nation” újító szellemétől körülvett felnőttként erős elhívást éreztem, hogy hozzájáruljak ehhez az izgalmas és kulcsfontosságú területhez. Ez az inspiráció és az Egyesült Államokba, a „lehetőségek földjébe” való bevándorlásommal párosulva indított arra, hogy megalapítsam első kiberbiztonsági cégemet. Szerencsém volt, hogy részt vehettem a kiberbiztonság jövőjének alakításában, miközben felkaroltam két hazám – az Egyesült Államok és Izrael – vállalkozói szellemét.
Megosztanád a Jit mögötti keletkezéstörténetet?
A Jit.io létrejöttének története azzal kezdődött, hogy társalapítóimmal egy kritikus rést azonosítottunk a kiberbiztonsági környezetben. Mivel a modern mérnöki csapatok gyorsan átvették a CI/CD megközelítést, a kiberbiztonság integrációja gyakran elmaradt, ami a sebezhetőségek fokozott kockázatához vezetett. A probléma egy része a rendelkezésre álló, balra váltott biztonsági eszközök túlnyomó tömkelege volt, és a mérnöki csapatoknak gyakran 15-20 eszközt kellett összeilleszteniük az AppSec, CI/CD, Cloud és DAST segítségével, hogy átfogó biztonsági megoldást hozzanak létre. Ezen eszközök mindegyike saját beépítési, felügyeleti és fejlesztői tapasztalattal érkezett, ami jelentősen lelassította a fejlesztési sebességet.
Az a küldetés vezérelte, hogy ezek a csapatok nevetségesen megkönnyítsék a kiberbiztonság beépítését a CI/CD-folyamatba, megszületett a Jit.io. Csapatom a DevSecOps felgyorsítását tűzte ki célul a világ legjobb nyílt forráskódú biztonsági eszközeinek aprólékos összeállításával és egyetlen, egységes platformba történő összecsomagolásával. Az egyszerűsített DevX kínálatával a Jit.io felhatalmazza a modern mérnöki csapatokat, hogy zökkenőmentesen integrálják és kezeljék termékbiztonságukat, így nincs szükség bonyolult eszközlánc-integrációkra és időigényes bevezetési folyamatokra. Ez biztosítja, hogy a robusztus alkalmazásbiztonsági intézkedések ne csak utólagos gondolatok legyenek, hanem a fejlesztési folyamat elengedhetetlen és könnyen elérhető összetevője.
Ez az innovatív megközelítés megváltoztatta a Jit.io-t a kiberbiztonság területén, forradalmasította azt a módot, ahogy a mérnöki csapatok kezelik a folyamatosan fejlődő digitális fenyegetéseket az alapvető biztonsági eszközök megvalósításának egyszerűsítésével és megszilárdításával, ami végső soron növeli a fejlesztés sebességét és hatékonyságát.
Azon olvasók számára, akik nem ismerik a DevSecOps terminológiát, meg tudná határozni nekünk?
A DevSecOps a modern mérnöki csapatok szoftverfejlesztési és üzembe helyezési folyamatának minden szakaszába integráló gyakorlat, amely egyesíti az AppSec-et, a CI/CD biztonságot és a felhőalapú biztonságot. Ez lehetővé teszi a fejlesztők számára, hogy termékük biztonságát ugyanúgy birtokolják, mint a CI-t és a CD-t, miközben elősegíti az együttműködést és a megosztott felelősséget a fejlesztési, biztonsági és üzemeltetési csapatok között.
A Jit lehetővé teszi a fejlesztők számára, hogy a nulladik naptól kezdve magukévá tegyék az általuk épített termékek biztonságát. Miért olyan fontos a biztonságot ilyen korai szakaszban előtérbe helyezni?
Egy épületszerkezeti analógiát használva nézzük meg, hogy a DevSecOps hogyan öleli fel a szoftverfejlesztési folyamat különböző aspektusait, beleértve az AppSec-et (alkalmazásbiztonság), a CI/CD-t (folyamatos integráció/folyamatos telepítés), a felhőt és a DAST-t (dinamikus alkalmazásbiztonsági tesztelés).
Az épület építési folyamatában az AppSec hasonló ahhoz, hogy az építőanyagok és az építészeti tervezés biztonságosak legyenek, és megfeleljenek a biztonsági előírásoknak. A CI/CD az építési tevékenységek zökkenőmentes koordinációjához hasonlít, lehetővé téve a különböző alkatrészek, például vízvezeték-, elektromos és biztonsági rendszerek hatékony összeszerelését és integrálását. A felhőbiztonság az épületet támogató infrastruktúrát és közműveket jelenti, mint például a vízellátás, az elektromos áram és az internetkapcsolat. Végül, a DAST összehasonlítható a rendszeres biztonsági ellenőrzésekkel és tesztekkel, amelyek célja az épület biztonsági rendszereinek lehetséges sebezhetőségeinek azonosítása és kezelése.
A DevSecOps beépítésével a teljes szoftverfejlesztési életciklusba a szervezetek biztosíthatják, hogy a biztonság szerves részét képezze minden szakasznak, a biztonságos alkalmazáskód (AppSec) tervezésétől és a biztonsági intézkedések CI/CD-folyamatba való hatékony integrálásán át a felhő infrastruktúra biztonságossá tételéig és a folyamatos munkavégzésig. dinamikus biztonsági tesztek (DAST). Ez a holisztikus megközelítés segít biztonságosabb, megbízhatóbb alkalmazások létrehozásában, és minimalizálja a sebezhetőségeket és a biztonsági kockázatokat a szoftverfejlesztési folyamat minden aspektusában.
Le tudná írni, hogy a Jit miben különbözteti meg magát más kiberbiztonsági eszközöktől?
A Jit azzal különbözteti meg magát a többi kiberbiztonsági eszköztől, hogy átfogó, egységes DevSecOps platformot kínál, amely leegyszerűsíti a több „balra eltolás” biztonsági eszköz integrációját és kezelését az AppSec, CI/CD, Cloud és DAST szolgáltatások között. Ez a megközelítés leegyszerűsíti a biztonsági műveleteket és a fejlesztői tapasztalatokat, lehetővé téve a zökkenőmentes együttműködést.
Azáltal, hogy nincs szükség bonyolult eszközlánc-integrációkra és szállítói bezárásra, a Jit lehetővé teszi a termék- és alkalmazásbiztonsági mérnökök számára, hogy a sajátos szükségleteikre szabott, legjobb biztonsági megoldásokat válasszák. Ez az alkalmazkodóképesség lehetővé teszi a csapatok számára, hogy robusztus biztonsági intézkedéseket hozzanak létre, miközben fenntartják az egységes, natív fejlesztői élményt.
A Jit a fejlesztők és a biztonsági csapatok zökkenőmentes, konzisztens tapasztalataira összpontosítva hatékonyabb megfigyelést, elemzést és fenyegetésekre való reagálást tesz lehetővé a szoftverfejlesztési életciklus minden területén. Ennek eredményeként a Jit felgyorsítja a DevSecOps legjobb gyakorlatainak megvalósítását, és elősegíti a biztonságért való megosztott felelősségvállalást az egész szervezetben.
Gyakran beszélnek arról, hogy kerülni kell a „szerszámzárolást” egy jövőbiztos DevSecOps platform érdekében. Le tudná írni, mi az az eszközzárolás, és miért ilyen probléma?
A DevSecOps és a shift-bal biztonsági szállítók összefüggésében az eszközök zárolása több okból is különösen problémás lehet:
  1. Közepes termékportfóliók: Sok balra váltott biztonsági szállító kezdetben sikereket ér el egyetlen kiváló terméknek köszönhetően. Azonban, ahogy bővítik kínálatukat, gyakran felvásárlások révén, középszerű termékekből álló portfólióhoz juthatnak, amelyek nem feltétlenül integrálhatók jól, vagy nem a legjobb megoldásokat nyújtják a biztonság minden aspektusára vonatkozóan.
  2. Értékesítési és marketing taktika: A változatos portfólióval rendelkező szállítók gyakran alkalmaznak különféle értékesítési és marketing taktikákat, hogy „kényszerítsék” az ügyfeleket a teljes termékcsomagjuk megvásárlására. Ez a megközelítés megakadályozza, hogy a felhasználók szabadon válasszanak a legjobb megoldásokat, és nem optimális biztonsági eredményekhez vezethet.
  3. Akadályozott alkalmazkodóképesség: Az eszközök bezárása korlátozza a szervezet azon képességét, hogy alkalmazkodjanak a fejlődő biztonsági fenyegetésekhez, vagy kihasználják a technológiai fejlődés előnyeit. Ha be van zárva egy adott szállító kínálatába, kihívást jelent a jobb biztonsági megoldások felfedezése és elfogadása, amint azok elérhetővé válnak.
  4. Csökkentett innováció: Ha egyetlen szállító portfóliójára hagyatkozik a biztonság terén, az elfojthatja az innovációt, mivel a szervezet túlzottan a jelenlegi eszközök képességeire koncentrálhat, ahelyett, hogy alternatív, potenciálisan kiváló megoldásokat keresne.
A jövőbiztos DevSecOps eszközlánc felépítéséhez és az eszközök bezárásával járó buktatók elkerüléséhez elengedhetetlen, hogy a szervezetek megőrizzék rugalmasságukat az igényeikhez szabott, legjobb biztonsági megoldások kiválasztásához. Ez a megközelítés lehetővé teszi a szervezetek számára, hogy robusztusabb és hatékonyabb biztonsági helyzetet alakítsanak ki, ami végső soron elősegíti az innovációt és az alkalmazkodóképességet a folyamatosan változó biztonsági környezetben.
Hogyan hoz létre a Jit egységes, „egyablakos” megoldást, amely elkerüli ezt a problémát?
A Jit a rugalmasság, az integráció és az alkalmazkodóképesség előtérbe helyezésével foglalkozik a szerszámbezárás problémájával. Íme, hogyan éri el Jit ezt:
  1. Több eszköz zökkenőmentes integrációja: A Jit platformját úgy tervezték, hogy integrálja a legjobb biztonsági megoldásokat az AppSec, CI/CD, Cloud és DAST szolgáltatások között. Ez lehetővé teszi a szervezetek számára, hogy a sajátos igényeiknek leginkább megfelelő eszközöket válasszák ki, míg a Jit kezeli ezen eltérő eszközök kezelésének és egy összefüggő rendszerbe integrálásának bonyolultságát.
  2. Rugalmasság és választási lehetőség: A Jit felhatalmazza a szervezeteket arra, hogy elkerüljék a szállítói bezárkózást azáltal, hogy szabadon választhatnak és válthatnak a különböző biztonsági eszközök között, ahogyan igényeik fejlődnek. Ez a rugalmasság biztosítja, hogy a szervezetek mindig a leghatékonyabb megoldásokat alkalmazhassák biztonsági igényeik kielégítésére anélkül, hogy egyetlen szállító portfóliója korlátozná őket.
  3. Egységes fejlesztői és biztonsági műveleti tapasztalat: A Jit leegyszerűsíti a fejlesztői és biztonsági műveleti élményt azáltal, hogy konzisztens, felhasználóbarát felületet biztosít a különféle biztonsági eszközök kezeléséhez és interakciójához. Ez az egységes élmény leegyszerűsíti a biztonsági gyakorlatok szoftverfejlesztési életciklusba való beépítését, és biztosítja a fejlesztők és a biztonsági csapatok hatékony együttműködését.
  4. Folyamatos innováció és alkalmazkodóképesség: Azáltal, hogy lehetővé teszi a szervezetek számára a legjobb biztonsági megoldások kihasználását, a Jit elősegíti a folyamatos innovációt és alkalmazkodóképességet. Ahogy új biztonsági eszközök és technológiák jelennek meg, a Jit platformja könnyedén alkalmazkodik ezekhez a fejlesztésekhez, biztosítva, hogy a szervezetek mindig hozzáférjenek a legmodernebb biztonsági megoldásokhoz.
Azáltal, hogy egységes, rugalmas platformot kínál, amely zökkenőmentesen integrál több biztonsági eszközt, miközben fenntartja a konzisztens fejlesztői és biztonsági műveleti tapasztalatokat, a Jit hatékonyan elkerüli az eszközök bezárásával járó buktatókat, és lehetővé teszi a szervezetek számára, hogy jövőálló DevSecOps platformokat építsenek, amelyek alkalmazkodni tudnak és növekedni tudnak fejlődő biztonsági igények
A Jit-DevSecOps a "Just-In-Time" biztonság növelésének karcsú, iteratív megközelítéseként írja le magát. Kifejtené részletesen a biztonság ilyen módon történő alkalmazásának fontosságát?
A Jit-DevSecOps, a „Just-In-Time” biztonság növelésének karcsú és iteratív megközelítése, hangsúlyozza az időszerű és hatékony biztonsági integráció fontosságát. Ez a módszer lehetővé teszi a sebezhetőségek korai felismerését és orvoslását, gyorsabb fejlesztési ciklusokat és jobb együttműködést. A Jit változás/delta alapú megközelítése a felmerülő biztonsági problémák megoldására összpontosít, biztosítva, hogy először a legkritikusabb sebezhetőségeket javítsák ki. Azáltal, hogy előnyben részesíti a „javítás” mentalitást, és alkalmazkodik a változó biztonsági környezethez, a Jit-DevSecOps lehetővé teszi a szervezetek számára a robusztus biztonság fenntartását, miközben biztosítja a fejlesztési folyamat agilitását és hatékonyságát.
Mi az elképzelése a DevSecOps és általában a kiberbiztonság jövőjéről?
A DevSecOps és a kiberbiztonság jövőjével kapcsolatos elképzelésem az, hogy kihasználjam a fejlett technológiák, például a mesterséges intelligencia, a gépi tanulás és az automatizálás erejét a fenyegetések valós idejű azonosítása és reagálása érdekében. Például a mesterséges intelligencia által vezérelt biztonsági megoldások segíthetnek észlelni az anomáliákat és a lehetséges sebezhetőségeket, míg az automatizált incidensreagálás segíthet a biztonsági incidensek megfékezésében és mérséklésében.
Ezen túlmenően az adatbiztonság és a magánélet javítása érdekében feltárunk olyan feltörekvő technológiákat, mint a blokklánc és a titkosítás. Ezek a technológiák segíthetnek biztosítani az adatok sértetlenségét és bizalmasságát, és megakadályozhatják az illetéktelen hozzáférést vagy manipulációt.
Összességében az én elképzelésem az együttműködés, az innováció és a proaktív intézkedések fontosságát hangsúlyozza a felmerülő fenyegetésekkel szemben. És természetesen mindig emlékezni fogunk a kiberbiztonság aranyszabályára: az egyetlen biztonságos számítógép az, amelyik ki van húzva, betonba van temetve és soha nincs bekapcsolva.
Köszönjük a remek interjút, azoknak az olvasóknak, akik többet szeretnének megtudni, látogassanak el JIT.
       
 Kapcsolódó témák:
 mm
Az unite.AI alapító partnere és tagja Forbes Technológiai Tanács, Antoine a futurista aki szenvedélyesen rajong az AI és a robotika jövőjéért.
Ő az alapítója is Értékpapír.io, egy webhely, amely a bomlasztó technológiába való befektetésre összpontosít.