քոթուկ Սեմ Քինգ, Veracode-ի գործադիր տնօրեն - Հարցազրույցների շարք - Unite.AI
Միացեք մեզ
   Հարցազրույցներ  
Սեմ Քինգ, Veracode-ի գործադիր տնօրեն – Հարցազրույցների շարք
 mm
 Թարմացվել է on   
 
Սեմ Քինգը գլխավոր գործադիր տնօրենն է Վերակոդ և բիզնեսի կառավարման և կիբերանվտանգության ճանաչված փորձագետ: Veracode-ի հիմնադիր անդամ Սեմը զգալի դեր է խաղացել ընկերության աճի հետագծում վերջին 17 տարիների ընթացքում՝ օգնելով նրան փոքր ստարտափից վերածվել 2.5 միլիարդ դոլար գումարած ընկերության:
Վերակոդը ան aդոպինգ անվտանգության ընկերություն. Հիմնադրվել է 2006 թվականին, այն ապահովում է SaaS հավելվածի անվտանգությունը, որն ինտեգրում է հավելվածների վերլուծությունը զարգացման խողովակաշարերի մեջ:
Դուք ավելի քան 2 տասնամյակ ներգրավված եք կիբերանվտանգության ոլորտում, ի՞նչն ի սկզբանե ձեզ գրավեց արդյունաբերության մեջ:
Կիբերանվտանգության նկատմամբ իմ հետաքրքրությունը ծագեց միայն իմ տեխնոլոգիական կարիերայի մի քանի տարի անց: Ես երկար ժամանակ աշխատել եմ համակարգիչների և տեխնոլոգիաների ոլորտում, և մոտ 2000 թվականին ինձ ծանոթ մեկը հիմնեց կիբերանվտանգության ընկերություն և հրավիրեց ինձ միանալ իրենց: Ես նախկինում քիչ գիտելիքներ ունեի կիբերանվտանգության մասին, բայց երբ ներգրավվեցի, մնացածը պատմություն է:
Դուք ի սկզբանե սկսել եք ձեր կարիերան Veracode-ում որպես ծառայությունների մատուցման փոխտնօրեն 2006թ.-ին և այդ ժամանակվանից հասել եք գործադիր տնօրենի: Որո՞նք են եղել այս փորձառության մի քանի հիմնական արդյունքները:
Ես ինձ արտոնյալ եմ զգում, որ եղել եմ այս ճանապարհորդության մեջ: Ընկերությունում աշխատելու 17 տարիների ընթացքում ես աշխատել եմ «Վերակոդում» գրեթե բոլոր գործառույթներում, և ինձ համար ամենակարևորն այն է, որ հաջող բիզնես զարգացնելը, առաջին հերթին, թիմային սպորտ է: Ծառայությունների մատուցման փոխտնօրենից մինչև գործադիր տնօրեն, ես իմացա, որ ոչ թե մեկ մարդ է, այլ կազմակերպության շարակցական հյուսվածքն ու հավաքական ջանքերը, որոնք կարգավորում են ձեր ձեռքբերումների արագությունն ու մասշտաբը: Ես նաև կարեկցանք ձեռք բերեցի տարբեր դերերի պահանջների նկատմամբ՝ ստիպված լինելով կատարել դրանց մեծ մասը՝ սկսած մեր մինչեկամուտային օրերից մինչև այն համաշխարհային կազմակերպությունը, որը մենք հիմա ենք:
Veracode-ը պատկերացնում է մի աշխարհ, որտեղ ծրագրակազմն ապահով կերպով մշակվում է սկզբից: Կարո՞ղ եք քննարկել, թե ինչու ձեռնարկությունները պետք է ինտեգրեն հավելվածների անվտանգությունը ծրագրային ապահովման մշակման կյանքի ցիկլի մեջ:
Ծրագրային ապահովումը կազմակերպությունների հիմքում ընկած կառուցվածքն է, և ձեռնարկությունները պետք է գիտակցեն, որ ծրագրային ապահովման զարգացման կյանքի ցիկլի (SDLC) վաղ փուլերում կիրառական անվտանգության ինտեգրումը ոչ միայն ճիշտ բան է, այլ նաև խելացի բան է: SDLC-ի վերջին փուլերում կամ հավելվածի գործարկումից հետո խոցելիությունները հայտնաբերելու և շտկելու սպասման արժեքը չափազանց բարձր է: Ըստ NIST-ի՝ արտադրության մեջ խոցելիության վերացման ծախսերը 30 անգամ ավելի են, քան նախկինում: Ավելին, այն ծրագրավորողի համար հիասթափեցնող փորձ է ստեղծում, երբ նրանք փորձում են ֆունկցիոնալությունը շուկա դուրս բերել, և անվտանգության ստուգումները խանգարում են այդ գործընթացը: Իդեալական գործընթացը ներառում է փորձարկում IDE-ում և CI/CD խողովակաշարում: Կոդի մշակման հենց գործընթացը դառնում է անվտանգ կոդի մշակման գործընթաց, երբ անվտանգության փորձարկումն ու վերականգնումը խորապես ինտեգրվում են SDLC գործիքների շղթայում:
Veracode-ն օգնում է ձեռնարկություններին ստեղծել և իրականացնել լայնածավալ AppSec և DevSecOps ծրագրեր: Ընթերցողների համար, ովքեր ծանոթ չեն այս տերմիններին, կարո՞ղ եք դրանք սահմանել մեզ համար:
AppSec-ը կրճատված է «հավելվածի անվտանգություն» բառի համար և վերաբերում է այն գործիքներին, քաղաքականությանը և գործելակերպին, որոնք կարող են օգտագործվել ծրագիր մշակելու համար, որն ապահովում է ծածկագրի անվտանգությունը ներքին ծրագրային ապահովման մշակման, ինչպես նաև երրորդ կողմի հավելվածների, բաց կոդով և ընդլայնված ծրագրային ապահովման համար: շղթա. DevSecOps-ը, որը նաև հայտնի է որպես «անվտանգ զարգացում», այն մտածելակերպն է, որ անվտանգությունը ինտեգրված է ողջ SDLC-ում՝ պահանջներից մինչև ճարտարապետություն և դիզայն, կոդավորում, փորձարկում, թողարկում և տեղակայում: Ըստ էության, սա նշանակում է, որ ծրագրային ապահովման մշակման մեջ ներգրավված բոլորը պատասխանատու են հավելվածի անվտանգության համար: Այս երկուսը ձեռք ձեռքի տված են, քանի որ նրանք կիսում են ավելի լավ անվտանգության որոշումներ կայացնելու և ավելի անվտանգ ծրագրակազմ ավելի մեծ արագությամբ և արդյունավետությամբ ապահովելու նպատակը:
Կարո՞ղ եք հակիրճ քննարկել առաջարկվող տարբեր լուծումներից մի քանիսը, ինչպիսիք են Veracode SAST-ը, Veracode SCA-ն և Veracode DAST-ը:
Veracode-ի ստատիկ վերլուծություն (SAST), որն ապահովում է անվտանգությունը կազմակերպության ողջ SDLC-ում, որպեսզի ծրագրավորողները կարողանան անվտանգ կոդ գրել իրենց ինտեգրված զարգացման միջավայրում (IDE), ավտոմատացնում է սկանավորումներն իր շարունակական ինտեգրման և շարունակական ինտեգրման/շարունակական տեղակայման (CI/CD) խողովակաշարում և ապահովում է քաղաքականության համապատասխանությունը մինչ այդ: տեղակայելով. Այն օգնում է կառավարել ռիսկերը՝ սկանավորելով կոդը և գտնելով թերություններ, այնուհետև այն ստուգում է բացահայտումները և ծրագրավորողներին տալիս է համատեքստային ուղեցույց՝ առաջնահերթություն տալու ջանքերին, ուղղելու կարևոր թերությունները և նվազեցնելու ռիսկը:
Veracode-ի ծրագրային կազմի վերլուծություն (SCA) ավտոմատացնում է հավելվածը կազմող բոլոր բաղադրիչները գտնելը և դրանցում ռիսկերը կառավարելու գործողություններ է նախատեսում: SCA-ի մեքենայական ուսուցման և ավտոմատ վերականգնման հնարավորությունները նախատեսում են շտկումներ՝ նպատակ ունենալով դա անել արտադրության հնարավոր նվազագույն խափանումներով:
Վերջապես, Դինամիկ վերլուծություն (DAST) Veracode-ի խելացի ծրագրային ապահովման պլատֆորմի մի մասն է, որը թույլ է տալիս անվտանգության թիմերին բացահայտել հարձակման մակերևույթները, որոնց գոյության մասին երբեք չգիտեին, խոցելիություն գտնել գործարկման միջավայրում և ստանալ համապարփակ պատկերացում իրենց վեբ հավելվածների և API-ների անվտանգության դիրքի մասին:
Ապրիլին, 18, 2023, Veracode-ը ներկայացրել է խելացի ծրագրային ապահովման անվտանգությունը Veracode Fix-ի գործարկումով, գործիք, որն օգտագործում է GPT (Generative Pre-trained Transformer) տեխնոլոգիայի հզորությունը: Ինչո՞ւ GPT-ն այդքան կարևոր առաջընթաց դարձավ կիբերանվտանգության ոլորտում:
Ծրագրային ապահովման մշակման և անվտանգության թիմերը վազում են պարզապես կանգ առնելու համար: Տարիներ շարունակ ծրագրային ապահովման անվտանգությունը պտտվել է խնդիրների հայտնաբերման փորձարկումների շուրջ, սակայն հայտնաբերված յուրաքանչյուր խնդրի համար ձեռքով խնդիր կա շտկելու համար: Ծրագրավորողներին հաճախ հանձնարարվում է ծախսել այն ժամանակ, որը նրանք չունեն, շտկել անվտանգության թերությունները, որոնք նրանք չեն հասկանում, կոդով, որը իրենք չեն ստեղծել… միայն գտնելու այն ժամանակը, որն անհրաժեշտ է շտկելու մեկ թերությունը, ևս երկուսը ստեղծվում են այլուր: Փոխակերպման անհրաժեշտությունն ակնհայտ է.
Veracode Fix-ը մատուցում է այդ փոխակերպումը, պարադիգմը տեղափոխելով հայտնաբերումից դեպի ուղղում և նշանավորելով խելացի ծրագրային ապահովման ի հայտ գալը: Օգտագործելով արհեստական ​​ինտելեկտի (AI) ուժը՝ անապահով ծրագրաշարի համար ինքնաբերաբար շտկումներ ստեղծելու համար, Veracode Fix-ը վերջապես ավտոմատացում է բերում թերությունների վերացմանը և հավասարակշռում ծրագրային ապահովման անվտանգության լանդշաֆտը: Ի տարբերություն արհեստական ​​ինտելեկտի կոդավորման գեներատիվ գործիքների՝ Veracode Fix-ը չի սովորում բաց կոդով կամ կոդով վայրի բնության մեջ և չի օգտագործում կամ պահպանում հաճախորդի տվյալները՝ մոդելը վարժեցնելու համար:
Փոխարենը, մենք վերապատրաստեցինք Veracode Fix-ին պատկանող, ընտրված տվյալների բազայի վրա՝ վերահսկվող ուսուցմամբ և դասավորվածությամբ անվտանգության առաջատար հետազոտողների և հավելվածների անվտանգության խորհրդատուների մեր թիմի կողմից՝ տրամադրելու Veracode-ի համախառն փորձն ու փորձը պարզ, հզոր փորձառության մեջ. Veracode-ի ուժը ձեր մատների տակ է:
Veracode Fix գործիքը փոխում է պարադիգմը արհեստական ​​ինտելեկտից՝ պարզապես խնդիրները բացահայտելուց դեպի խնդիրները: Կարո՞ղ եք քննարկել այս առաջարկած մասշտաբային առավելություններից մի քանիսը:  
Կազմակերպությունները ստիպված են եղել ընտրել ծրագրային ապահովման անվտանգության թերությունները վերացնելու և ագրեսիվ ժամկետներին համապատասխանելու միջև՝ կոդը արտադրության մեջ մղելու համար: Արհեստական ​​ինտելեկտի և Veracode-ի սեփական տվյալների բազայի շնորհիվ՝ Veracode Fix-ը խնայում է ծրագրավորողների ժամանակը՝ թույլ տալով նրանց արագ գրել ավելի անվտանգ կոդ: Սա նշանակում է, որ թերությունները, որոնք վերացնելու համար կպահանջվեն ժամեր, այլապես ամիսներ տևելու համար, այժմ կարող են շտկվել րոպեների ընթացքում: Սանդղակի օգուտը պարզ է. մշակողները այժմ կարող են ավելի արագ ստեղծել ավելի շատ ծրագրակազմ և այդպիսով ապահով կերպով նորարարություններ կատարել:
Որքա՞ն մարդկային միջամտություն է անհրաժեշտ խնդիրը լուծելուց առաջ, և որտե՞ղ են պատկերված մարդիկ ազդում այս տեսակի կիբերանվտանգության վրա:
Չնայած ծրագրային ապահովման մշակման գործընթացի ավտոմատացմանը՝ անվտանգության թերությունների շտկումը, հատկապես առաջին կողմի կոդում, հիմնված է բացառապես ծանրաբեռնված և անբավարար ծրագրավորողների ձեռքով ջանքերի վրա: Մինչ այժմ.
Veracode Fix-ն օգտագործում է մեքենայական ուսուցում՝ առաջարկվող ուղղումներ ստեղծելու համար, որոնք մշակողները կարող են վերանայել և իրականացնել՝ առանց որևէ կոդ գրելու:
Կարևոր է նշել, որ Veracode Fix-ը ավտոմատ կերպով չի ուղղում կոդը, այլ առաջարկում է ուղղումներ: Այնուհետև մշակողը վերանայում և իրականացնում է ուղղումները՝ առանց որևէ կոդ գրելու: Սա խնայում է ծրագրավորողների ժամանակը, արագացնում է անվտանգ զարգացումը և հնարավորություն է տալիս կառավարել ռիսկերը և մարել անվտանգության պարտքը մասշտաբով՝ ավելի քիչ ջանքերով և ծախսերով:
Կա՞ որևէ այլ բան, որը կցանկանայիք կիսվել Veracode-ի մասին:
Տեխնոլոգիան անընդհատ զարգանում է, և Veracode-ը նույնպես, բայց 2006 թվականից ի վեր նպատակը նույնն է մնացել՝ ապահովել ծրագրակազմի մասշտաբով: Ինչպես ավելի քան 17 տարի առաջ Veracode-ը ստեղծեց AppSec-ը, այնպես էլ մենք այժմ առաջատար ենք խելացի ծրագրային ապահովման անվտանգության ոլորտում: Մեր արտադրանքը և նորարարությունները, ինչպիսին է Veracode Fix-ը, դրա վկայությունն են:
Veracode-ը հիմնադրվել է Քրիս Ուիսոպալի կողմից՝ նախկին սպիտակ գլխարկների հաքեր, որը դարձել է կիբեր քաղաքականության ազդեցիկ: 1998-ին, որպես L0pht հաքերային կոլեկտիվի մաս, Քրիսը վկայություն տվեց ԱՄՆ Սենատի հանձնաժողովի առջև, որը հետաքննում էր կառավարական կիբեր խնդիրները, ասելով, որ կիբեր վաճառողները պետք է ավելի լավ գործեն՝ նրանք պետք է տիրապետեն խնդրին:
Իր հիմնադրումից ի վեր Veracode-ը սկսնակ բիզնեսից վերածվել է գլոբալ բիզնեսի՝ ավելի քան 2,600 հաճախորդներով, և ինչպիսի զարմանալի ճանապարհորդություն է եղել այն, որը դիտել է այս տարիների ընթացքում: Դա շնորհիվ մեր հանձնառության՝ օգնելու հաճախորդներին իրենց ամենամեծ մարտահրավերներին. մշակողի անվտանգության իրավասության ձևավորում; ծրագրային ապահովման մատակարարման պաշտպանություն; կառավարել վեբ հավելվածների հարձակման մակերեսի ռիսկը; և ապահովել ամպային բնիկ հավելվածների մշակում: Մենք 10X առաջատար ենք Gartner Magic Quadrant-ում՝ հավելվածների անվտանգության թեստավորման համար, որը մեր արդյունաբերության ոլորտի ամենախորը գնահատականներից մեկն է, և տարիների ընթացքում ստացել ենք արդյունաբերության բազմաթիվ պարգևներ:
Տարածքը, որով մենք հատկապես հպարտ ենք, դա մշակույթն է, որը մենք դաստիարակել ենք մեր պատմության ընթացքում: Հենց այս անցած տարի Veracode-ը ճանաչվել է 2022 թվականի աշխատանքի լավագույն վայր՝ The Boston Globe-ի կողմից և 2023 թվականի լավագույն աշխատատեղեր ԱՄՆ՝ Energage-ի կողմից: Մենք մեծ պատիվ ու խոնարհություն ունեցանք այս պարգևների արժանանալու համար, քանի որ հպարտանում ենք ներառական մշակույթով, որը խթանում է տաղանդները և հնարավորություն է տալիս աշխատակիցներին իրենց լավագույնս դրսևորել:
Շնորհակալություն հիանալի հարցազրույցի համար, այն ընթերցողները, ովքեր ցանկանում են ավելին իմանալ, պետք է այցելեն Վերակոդ
       
 Հարակից թեմաներ.
 mm
unite.AI-ի հիմնադիր գործընկեր և անդամ Forbes-ի տեխնոլոգիական խորհուրդը, Անտուանը ա ֆուտուրիստ ով կրքոտ է AI-ի և ռոբոտաշինության ապագայով:
Նա նաև հիմնադիրն է Securities.io, վեբկայք, որը կենտրոնանում է խանգարող տեխնոլոգիայի մեջ ներդրումներ կատարելու վրա: