Wawancara
Neatsun Ziv, Co-Founder dan CEO OX Security – Seri Wawancara
Neatsun Ziv, Co-Founder dan CEO OX Security, berada di garis depan dalam mendefinisikan kembali keamanan rantai pasokan perangkat lunak untuk era DevSecOps. Sebelum mendirikan OX, ia menjabat sebagai VP Keamanan Siber di Check Point, memimpin inisiatif global dan mengoordinasikan respons cepat terhadap ancaman berprofil tinggi seperti SolarWinds dan NotPetya. Pekerjaannya sering membawanya bekerja sama dengan Interpol, CERT nasional, dan lembaga penegakan hukum lainnya selama beberapa insiden siber paling kritis dalam dekade terakhir.
OX Security adalah platform keamanan aplikasi yang dirancang untuk memotong kebisingan, membantu organisasi fokus pada persentase kecil risiko yang benar-benar penting. Dengan menganalisis exploitabilitas, keterjangkauan, dan dampak bisnis, platform ini menyediakan prioritisasi berbasis bukti di seluruh siklus hidup pengembangan perangkat lunak. Dengan cakupan kode-ke-awan penuh, 100+ integrasi, dan alur kerja tanpa kode, OX memasukkan perbaikan yang dipandu langsung ke dalam alur kerja pengembang, memastikan langkah-langkah keamanan yang efektif dan tanpa gesekan.
Sebelum mendirikan OX Security, Anda memimpin respons insiden besar di Check Point. Apa yang membuat Anda memutuskan untuk memulai perusahaan Anda sendiri, dan apa celah yang Anda lihat di ruang keamanan aplikasi?
Bekerja di Check Point, saya mengalami secara langsung “Celah Kecepatan Perusahaan” – perusahaan keamanan tradisional bergerak dengan kecepatan yang lebih lambat. Saya juga melihat bagaimana tim keamanan cukup tidak efisien dalam berbagai cara, terutama ketika datang ke prioritisasi risiko dengan benar.
Pada saat yang sama, saya mengakui bahwa kecerdasan buatan generatif (pada saat itu belum berkembang) mewakili masa depan tentang bagaimana peralatan keamanan perlu berkembang, dan memang, itu bergerak dengan kecepatan yang besar. Beberapa pergeseran kritis terjadi secara bersamaan:
Percepatan Pelaku Ancaman: Pelaku serangan dengan cepat mengadopsi teknologi dan teknik baru, bergerak lebih cepat daripada solusi keamanan bisa mengikuti.
Fenomena “Vibe Coding”: Istilah itu tidak ada pada saat itu, tetapi saya melihat pengembang semakin mengandalkan alat pengkodean yang dibantu AI seperti Copilot, secara fundamental mengubah cara perangkat lunak dibangun dan memperkenalkan pertimbangan keamanan yang sama sekali baru.
Evolusi Serangan Rantai Pasokan: Percepatan serangan rantai pasokan perangkat lunak menciptakan kebutuhan mendesak untuk pendekatan baru dalam keamanan aplikasi yang alat existing tidak dapat menangani.
Perbaikan inkremental dalam struktur perusahaan yang ada tidak akan cukup untuk menangani tantangan yang berkembang dengan cepat ini.
Pemahaman terakhir saya adalah bahwa ancaman bergerak cepat ke dalam kode – dan keamanan perlu mengikuti. Kami perlu memutuskan dari kerangka yang diketahui dan mulai berlari dalam lomba yang baru dan cepat.
Misi inti OX adalah membantu pengembang fokus pada 5% kerentanan yang sebenarnya penting. Kapan wawasan ini mengkristal untuk Anda, dan bagaimana itu membentuk keputusan produk hari ini?
Setelah mengelola operasi pengembangan yang cukup besar, saya menyaksikan bagaimana volume masalah keamanan yang luar biasa dapat membebani. Anda perlu memahami apa yang penting dan apa yang tidak. Menghabiskan waktu dengan daftar yang tidak berakhir tidak membawa perusahaan lebih dekat ke pengurangan risiko. Sebaliknya, itu menciptakan frustrasi dan bahkan membuat perusahaan menjauh dari pengurangan risiko karena itu hanya menghabiskan banyak waktu dan sumber daya.
Hal ini mengajarkan kami bahwa kami perlu membantu pengembang fokus pada apa yang benar-benar penting – dan kemudian menjelaskan kepada mereka mengapa itu penting. Setelah itu, kami perlu menunjukkan kepada mereka bagaimana memecahkan masalah dengan mudah, atau lebih baik lagi – memecahkan masalah untuk mereka – yang sekarang memungkinkan melalui alat seperti Agent OX.
Wawasan ini menjadi landasan atas mana kami membangun perusahaan, dan itu yang memandu semua keputusan produk kami hari ini. Setiap fitur, setiap kemampuan yang kami kembangkan dimulai dengan pertanyaan: “Apakah ini membantu pengembang fokus pada apa yang sebenarnya penting? Apakah ini mengurangi risiko?”
Platform ini berfokus pada “Proyeksi Kode” untuk memetakan risiko di seluruh SDLC. Bisakah Anda menjelaskan bagaimana teknologi ini bekerja dan apa yang membuatnya berbeda dari alat pengelolaan kerentanan lainnya?
Proyeksi Kode secara fundamental adalah teknologi yang melihat masalah dalam kode dan tahu sebelumnya bagaimana itu akan berperilaku ketika kode itu mencapai awan. Ini memungkinkan Anda untuk memecahkan masalah jauh sebelum mereka berjalan di produksi – ketika risiko sudah terbuka.
Ini bekerja dengan memahami bahwa setiap potongan kode memiliki proses yang membangunnya dan membawanya ke awan – CI/CD. Kami dapat membaca kode dan menafsirkan apa yang dimaksud. Untuk memberikan contoh yang tegas – apa yang terpapar ke internet jelas memiliki implikasi yang berbeda daripada apa yang tidak.
Perbedaan kunci dari produk lain adalah bahwa sebagian besar alat hanya mengakhiri pekerjaan mereka dengan daftar panjang masalah. Tanpa dapat fokus pada 5% atau bahkan lebih sedikit risiko yang signifikan, menyaring melalui ini – Anda berakhir dengan kerangka waktu yang hampir tidak relevan. Anda juga tidak tahu pengembang mana yang harus ditugaskan untuk masalah tersebut.
Pendekatan kami mengubah itu sepenuhnya – kami tidak hanya mengidentifikasi masalah, kami menyediakan konteks, prioritisasi, dan kepemilikan yang jelas.
Anda menawarkan integrasi penuh di seluruh alat pemindaian, pengelolaan rahasia, SBOM, penemuan SaaS, dan lain-lain. Apa saja tantangan teknis yang paling sulit dalam menyatukan semua ini menjadi pengalaman pengembang yang mulus?
Masalah terbesar adalah mengubah data menjadi wawasan. Data adalah semua hal yang baru saja Anda sebutkan. Tapi pengembang membutuhkan kejelasan, poin-poin, dan alasan. Komunikasi yang terfokus. Bagaimana mengubah gunung data menjadi wawasan yang dapat diambil tindakan – itu adalah tantangan terbesar di industri.
Menggabungkan informasi tersebut dengan cara yang menceritakan cerita yang koheren dan menyediakan tindakan yang jelas, diprioritaskan yang pengembang dapat benar-benar jalankan – ini adalah tantangan terbesar.
PBOM (Pipeline Bill of Materials) adalah inovasi OX. Bagaimana itu berbeda dari SBOM, dan mengapa itu penting untuk mengamankan rantai pasokan perangkat lunak modern?
PBOM adalah kemampuan untuk melihat semua yang terjadi pada perangkat lunak dari saat itu ditulis hingga berada di produksi. SBOM adalah komponen di dalamnya – itu melihat semua paket perangkat lunak yang ada di dalam aplikasi.
Untuk menjawab pertanyaan sebelumnya – PBOM sebenarnya adalah landasan yang memungkinkan kami mengubah data menjadi wawasan, karena itu melihat gambaran yang lebih luas – semua data. Ini menangkap perjalanan dan transformasi kode secara keseluruhan, bukan hanya komponen akhir.
Tinjauan komprehensif ini penting karena alat keamanan tradisional hanya melihat hasil akhir, melewatkan vektor serangan kritis seperti alat bangun yang dikompromikan, komit yang berbahaya, atau manipulasi pipa yang terjadi selama pengembangan dan penerapan.
OX baru saja memperkenalkan Agent OX—arsitektur multi-agennya yang baru di mana setiap model AI difokuskan pada jenis kerentanan dan bahasa pemrograman tertentu. Apa yang mendorong keputusan desain ini, dan bagaimana Anda memastikan bahwa perbaikan yang diajukannya dapat dipercaya dan dapat dijelaskan dalam prakteknya?
Kami menciptakan pendekatan multi-agennya ini dengan melihat bagaimana manusia mengembangkan keahlian dan menerapkan prinsip yang sama pada AI. Untuk menjadi ahli dalam sesuatu, pengembang perlu menjadi ahli dalam bahasa, arsitektur tertentu, dan organisasi tertentu. Seorang pengembang tunggal tidak bisa memperbaiki semua masalah, dan dengan logika yang sama, agen AI tunggal juga tidak bisa mencapai tingkat keahlian itu. Selain itu, Anda ingin agen yang dapat menangani pengujian kualitas.
Jadi setiap agen mengembangkan keahlian yang mendalam dalam domain spesifiknya, sama seperti spesialis manusia.
Untuk kepercayaan dan keterjelasan, setiap agen tidak hanya mengusulkan perbaikan tetapi juga menjelaskan alasan, menunjukkan pekerjaan, dan memungkinkan pengembang untuk memahami dengan tepat mengapa solusi tertentu dipilih.
Apa yang membuat Anda fokus pada perbaikan satu-klik langsung di dalam alur kerja pengembang? Dan bagaimana Anda memastikan bahwa pengembang mempertahankan kontrol dan tidak mengalami efek sampingan yang tidak diinginkan?
Gagasan utama adalah mengurangi gesekan dan meningkatkan perbaikan keamanan. Kami memberi pengembang kontrol penuh untuk meninjau dan memvalidasi perbaikan yang diusulkan sebelum menerima.
Kunci adalah bahwa “satu-klik” tidak berarti “otomatis” – itu berarti aliran yang mulus. Pengembang dapat melihat dengan tepat apa yang akan diubah, memahami mengapa, meninjau solusi yang diusulkan, dan kemudian memilih untuk menerapkannya dengan satu tindakan. Kontrol dan pengambilan keputusan tetap sepenuhnya di tangan mereka, tetapi kami menghilangkan pekerjaan manual yang membosankan dari penelitian dan implementasi perbaikan.
Anda memiliki Microsoft, IBM, dan SoFi di antara pelanggan Anda. Bagaimana hubungan perusahaan ini membentuk peta jalan dan proses umpan balik Anda untuk alat seperti Agent OX?
Kami bekerja dengan ratusan pelanggan, dan puluhan dari mereka terbuka dengan kami tentang tantangan yang mereka hadapi. Diskusi mendalam tentang pola desain dan jalan peta ini adalah fondasi kemampuan kami untuk memperhalus solusi yang diusulkan. Kami sangat menghargai hubungan yang kami miliki dengan pelanggan kami dan melihatnya sebagai prioritas utama bagi kami sebagai perusahaan, dan yang memandu kami ketika kami memahami kebutuhan dunia nyata dan menciptakan solusi untuk menyelesaikannya.
Seiring alat keamanan AI menjadi lebih umum, bagaimana Anda menyeimbangkan otomatisasi dengan kepercayaan dan kontrol pengembang? Di mana Anda menggambar garis antara bantuan dan otonom?
Karena kita telah melihat dalam revolusi sebelumnya, mereka yang tidak melompat ke gerobak tidak bertahan. Kami mulai melihat organisasi yang kami kerjakan yang telah memindahkan semua sumber daya mereka ke adopsi AI karena mereka memahami bahwa kita sedang menyaksikan revolusi.
Mereka sebenarnya adalah pelanggan yang paling kolaboratif karena mereka menghadapi ketegangan baru yang tidak dipetakan: pengembang mereka perlu bergerak cepat dengan alat AI, tetapi mereka khawatir kehilangan kontrol. Mereka bahkan bersedia menerima risiko dan kehilangan kontrol sementara untuk mendapatkan keunggulan kompetitif, tetapi mereka membutuhkan bantuan kami untuk membantu mereka memulihkan kepercayaan. Tugas kami adalah memungkinkan mereka kecepatan yang mereka butuhkan, sambil membangun kembali kepercayaan dalam proses.
OX baru saja menutup $60M Seri B. Bagaimana pendanaan ini akan mempercepat fase pertumbuhan OX berikutnya—apakah di sisi teknologi, go-to-market, atau ekspansi internasional?
Pendanaan baru ini secara fundamental tentang ekspansi, dan juga akan membantu kami meningkatkan kemampuan kami dalam mengidentifikasi risiko yang berasal dari kode yang dihasilkan AI, yang kami mulai lihat dengan peluncuran Agent OX.
Kami sudah menganalisis lebih dari 100 juta baris kode setiap hari untuk lebih dari 200 pelanggan yang membayar. Pendanaan ini memposisikan kami untuk meningkatkan dampak tersebut secara global sambil mempertahankan fokus pada pertanyaan inti yang selalu memandu kami: “Apakah ini membantu pengembang fokus pada apa yang penting? Apakah ini mengurangi risiko?”
Terima kasih atas wawancara yang luar biasa, pembaca yang ingin mempelajari lebih lanjut harus mengunjungi OX Security.
