potongan Sam King, CEO Veracode - Serial Wawancara - Unite.AI
Terhubung dengan kami
   wawancara  
Sam King, CEO Veracode – Serial Wawancara
 mm
 Updated on   
 
Sam King adalah Chief Executive Officer Kode Vera dan pakar yang diakui dalam manajemen bisnis dan keamanan siber. Sebagai anggota pendiri Veracode, Sam telah memainkan peran penting dalam lintasan pertumbuhan perusahaan selama 17 tahun terakhir, membantu mengembangkannya dari startup kecil menjadi perusahaan dengan penilaian lebih dari $2.5 miliar.
Veracode adalah sebuah aHal Perusahaan keamanan. Didirikan pada tahun 2006, ini menyediakan keamanan aplikasi SaaS yang mengintegrasikan analisis aplikasi ke dalam saluran pengembangan.
Anda telah terlibat dalam keamanan siber selama lebih dari 2 dekade, apa yang awalnya membuat Anda tertarik pada industri ini?
Ketertarikan saya pada keamanan siber baru muncul beberapa tahun setelah karir teknologi saya. Saya bekerja di bidang komputer dan teknologi untuk waktu yang lama dan sekitar tahun 2000 seseorang yang saya kenal mendirikan perusahaan keamanan siber dan mengundang saya untuk bergabung dengan mereka. Saya sebelumnya hanya memiliki sedikit pengetahuan tentang keamanan siber, tetapi begitu saya terlibat, sisanya adalah sejarah.
Anda awalnya memulai karir Anda dengan Veracode sebagai Wakil Presiden Pengiriman Layanan pada tahun 2006 dan sejak itu terus naik menjadi CEO. Apa saja kesimpulan utama dari pengalaman ini?
Saya merasa terhormat telah melakukan perjalanan ini. Saya telah bekerja di hampir setiap fungsi di Veracode selama 17 tahun di perusahaan tersebut dan hal utama yang dapat saya ambil adalah bahwa mengembangkan bisnis yang sukses adalah — di atas segalanya — olahraga tim. Berkembang dari VP of Service Delivery menjadi CEO, saya belajar bahwa bukan hanya satu orang tetapi jaringan ikat dan upaya kolektif di seluruh organisasi yang mengatur kecepatan dan skala pencapaian Anda. Saya juga mendapatkan empati atas tuntutan berbagai peran yang harus dilakukan sebagian besar dari masa pra-pendapatan kami hingga organisasi global seperti sekarang ini.
Veracode membayangkan dunia tempat perangkat lunak dikembangkan dengan aman sejak awal. Bisakah Anda mendiskusikan mengapa perusahaan harus mengintegrasikan keamanan aplikasi lebih awal ke dalam siklus hidup pengembangan perangkat lunak?
Perangkat lunak adalah struktur yang mendasari organisasi dan perusahaan perlu menyadari bahwa mengintegrasikan keamanan aplikasi sejak dini ke dalam siklus hidup pengembangan perangkat lunak (SDLC) bukan hanya hal yang benar untuk dilakukan, tetapi juga merupakan hal yang cerdas untuk dilakukan. Biaya menunggu untuk menemukan dan memperbaiki kerentanan di tahap akhir SDLC atau setelah aplikasi aktif sangatlah tinggi. Menurut NIST, biaya untuk memperbaiki kerentanan dalam produksi adalah 30X lipat dari sebelumnya. Selain itu, ini membuat pengalaman yang membuat frustasi bagi pengembang ketika mereka mencoba mengeluarkan fungsionalitas ke pasar, dan pemeriksaan keamanan menahan prosesnya. Proses yang ideal mencakup pengujian dalam IDE dan pipeline CI/CD. Proses pengembangan kode itu sendiri menjadi proses pengembangan kode yang aman ketika pengujian dan perbaikan keamanan diintegrasikan secara mendalam ke dalam rangkaian alat SDLC.
Veracode membantu perusahaan membangun dan menjalankan program AppSec dan DevSecOps yang dapat diskalakan. Bagi pembaca yang tidak terbiasa dengan istilah-istilah ini, bisakah Anda mendefinisikannya untuk kami?
AppSec adalah kependekan dari "keamanan aplikasi" dan mengacu pada alat, kebijakan, dan praktik yang dapat digunakan untuk mengembangkan program yang memastikan kode aman di seluruh pengembangan perangkat lunak internal serta aplikasi pihak ketiga, kode sumber terbuka, dan pasokan perangkat lunak tambahan. rantai. DevSecOps, juga dikenal sebagai "secure devops", adalah pola pikir bahwa keamanan terintegrasi di seluruh SDLC, mulai dari persyaratan hingga arsitektur dan desain, pengkodean, pengujian, rilis, dan penerapan. Pada dasarnya, ini berarti bahwa setiap orang yang terlibat dalam pengembangan perangkat lunak bertanggung jawab atas keamanan aplikasi. Keduanya berjalan beriringan karena mereka berbagi tujuan untuk membuat keputusan keamanan yang lebih baik dan menghadirkan perangkat lunak yang lebih aman dengan kecepatan dan efisiensi yang lebih tinggi.
Bisakah Anda membahas secara singkat beberapa solusi berbeda yang ditawarkan seperti Veracode SAST, Veracode SCA, dan Veracode DAST?
Analisis Statis Veracode (SAST), yang menyematkan keamanan di seluruh SDLC organisasi sehingga pengembang dapat menulis kode aman di lingkungan pengembangan terintegrasi (IDE) mereka, mengotomatiskan pemindaian dalam integrasi berkelanjutan dan alur integrasi berkelanjutan/penyebaran berkelanjutan (CI/CD) dan memastikan kepatuhan kebijakan sebelum menyebarkan. Ini membantu mengelola risiko dengan memindai kode dan menemukan kekurangan – kemudian melakukan triase temuan dan memberikan panduan kontekstual kepada pengembang untuk memprioritaskan upaya, memperbaiki kelemahan kritis, dan mengurangi risiko.
Analisis Komposisi Perangkat Lunak Veracode (SCA) mengotomatiskan pencarian semua komponen yang membentuk aplikasi dan menentukan tindakan untuk mengelola risiko di dalamnya. Kemampuan pembelajaran mesin dan remediasi otomatis SCA menentukan perbaikan – dengan tujuan melakukan perbaikan dengan jumlah gangguan produksi sesedikit mungkin.
Terakhir, Analisis Dinamis (DAST) adalah bagian dari platform keamanan perangkat lunak cerdas Veracode yang memungkinkan tim keamanan mengungkap permukaan serangan yang tidak pernah mereka ketahui, menemukan kerentanan di lingkungan runtime, dan mendapatkan gambaran komprehensif tentang kondisi keamanan aplikasi web dan API mereka.
Pada April 18, 2023, Veracode Memperkenalkan Keamanan Perangkat Lunak Cerdas dengan peluncuran Veracode Fix, alat yang memanfaatkan kekuatan teknologi GPT (Generative Pre-trained Transformer). Mengapa GPT merupakan terobosan penting dalam keamanan siber?
Tim pengembangan perangkat lunak dan keamanan telah berlari kencang hanya untuk diam. Selama bertahun-tahun, keamanan perangkat lunak berkisar pada pengujian untuk menemukan masalah, tetapi untuk setiap masalah yang ditemukan, ada tugas manual yang harus diperbaiki. Pengembang sering kali ditugaskan untuk menghabiskan waktu yang tidak mereka miliki, memperbaiki kelemahan keamanan yang tidak mereka pahami, dalam kode yang tidak mereka buat… hanya untuk menemukan dalam waktu yang diperlukan untuk memperbaiki satu kelemahan, dua lagi dibuat di tempat lain. Kebutuhan akan transformasi jelas terlihat.
Veracode Fix memberikan transformasi itu, mengubah paradigma dari temukan ke perbaiki dan menandai munculnya keamanan perangkat lunak cerdas. Dengan memanfaatkan kekuatan kecerdasan buatan (AI) untuk secara otomatis menghasilkan perbaikan untuk perangkat lunak yang tidak aman, Veracode Fix akhirnya membawa otomatisasi ke perbaikan cacat dan menyeimbangkan kembali lanskap keamanan perangkat lunak. Tidak seperti kebanyakan alat pengkodean AI generatif, Veracode Fix tidak dilatih tentang kode sumber terbuka atau kode di alam liar dan tidak menggunakan atau menyimpan data pelanggan untuk melatih model.
Sebagai gantinya, kami melatih Veracode Fix pada kumpulan data yang dikurasi dan dipatenkan dengan pembelajaran yang diawasi dan penyelarasan dari tim peneliti keamanan terkemuka dan konsultan keamanan aplikasi kami untuk memberikan pengalaman dan keahlian agregat Veracode dalam pengalaman yang sederhana dan kuat: kekuatan Veracode di ujung jari Anda.
Alat Perbaikan Veracode mengubah paradigma dari AI yang sekadar mengidentifikasi masalah menjadi memperbaiki masalah. Bisakah Anda mendiskusikan beberapa manfaat penskalaan yang ditawarkan ini?  
Organisasi harus memilih antara memulihkan kelemahan keamanan perangkat lunak dan memenuhi tenggat waktu yang ketat untuk mendorong kode ke dalam produksi. Didukung oleh kumpulan data milik AI dan Veracode, Veracode Fix menghemat waktu pengembang dengan memungkinkan mereka menulis kode yang lebih aman dengan cepat. Ini berarti kekurangan yang membutuhkan waktu berjam-jam untuk diperbaiki dan jika tidak bertahan selama berbulan-bulan sekarang dapat diperbaiki dalam hitungan menit. Manfaat penskalaan jelas – pengembang sekarang dapat membuat lebih banyak perangkat lunak lebih cepat dan dengan demikian berinovasi dengan aman.
Berapa banyak campur tangan manusia yang diperlukan sebelum suatu masalah diperbaiki, dan di bagian manakah faktor manusia dalam jenis keamanan siber ini?
Meskipun otomatisasi dalam proses pengembangan perangkat lunak, memperbaiki kelemahan keamanan – terutama dalam kode pihak pertama – hanya mengandalkan upaya manual dari pengembang yang terbebani dan kurang didukung. Sampai sekarang.
Veracode Fix menggunakan pembelajaran mesin untuk menghasilkan perbaikan yang disarankan yang dapat ditinjau dan diterapkan oleh pengembang tanpa menulis kode apa pun.
Penting untuk diperhatikan bahwa Veracode Fix tidak secara otomatis memperbaiki kode, melainkan menyarankan perbaikan. Pengembang kemudian meninjau dan mengimplementasikan perbaikan tanpa menulis kode apa pun. Hal ini menghemat waktu pengembang, mempercepat pengembangan yang aman, dan memungkinkan untuk mengelola risiko dan membayar utang keamanan dalam skala besar dengan upaya dan biaya yang lebih sedikit.
Apakah ada hal lain yang ingin Anda bagikan tentang Veracode?
Teknologi terus berkembang dan Veracode juga demikian, tetapi tujuannya tetap sama sejak 2006: untuk mengamankan perangkat lunak dalam skala besar. Sama seperti Veracode yang memelopori AppSec lebih dari 17 tahun yang lalu, kami sekarang memelopori keamanan perangkat lunak cerdas. Produk dan inovasi kami, seperti Veracode Fix, adalah buktinya.
Veracode didirikan oleh Chris Wysopal, mantan peretas topi putih yang menjadi pemberi pengaruh kebijakan dunia maya. Pada tahun 1998, sebagai bagian dari kolektif peretas L0pht, Chris bersaksi di depan Komite Senat AS yang menyelidiki masalah dunia maya pemerintah dengan mengatakan bahwa vendor dunia maya perlu berbuat lebih baik — mereka harus memiliki masalahnya.
Sejak didirikan, Veracode telah berkembang dari perusahaan rintisan menjadi bisnis global dengan lebih dari 2,600 pelanggan – dan betapa menakjubkan perjalanan yang telah disaksikan selama bertahun-tahun. Berkat komitmen kami untuk membantu pelanggan menghadapi tantangan terbesar mereka: mengintegrasikan keamanan ke dalam SDLC; membangun kompetensi keamanan pengembang; melindungi pasokan perangkat lunak; mengelola risiko permukaan serangan aplikasi web; dan mengamankan pengembangan aplikasi cloud-native. Kami adalah 10X Terdepan dalam Gartner Magic Quadrant untuk Pengujian Keamanan Aplikasi – salah satu evaluasi industri kami yang paling mendalam – dan telah menerima banyak penghargaan industri selama bertahun-tahun.
Area yang sangat kami banggakan adalah budaya yang telah kami pelihara sepanjang sejarah kami. Baru setahun terakhir ini, Veracode dinobatkan sebagai Tempat Kerja Teratas 2022 oleh The Boston Globe dan Tempat Kerja Teratas USA 2023 oleh Energage. Kami merasa terhormat dan rendah hati untuk diberikan penghargaan ini karena kami bangga dengan budaya inklusif yang memupuk bakat dan memungkinkan karyawan untuk melakukan yang terbaik.
Terima kasih atas wawancaranya yang luar biasa, pembaca yang ingin belajar lebih banyak harus berkunjung Kode Vera
       
 Topik-topik terkait:
 mm
Mitra pendiri unite.AI & anggota Dewan Teknologi Forbes, anto adalah seorang futuris yang bersemangat tentang masa depan AI & robotika.
Dia juga Pendiri Sekuritas.io, situs web yang berfokus pada investasi dalam teknologi disruptif.