stubbur Nir Valtman, forstjóri og stofnandi hjá Arnica - Interview Series - Unite.AI
Tengja við okkur
   viðtöl  
Nir Valtman, forstjóri og stofnandi hjá Arnica – Interview Series
 mm
Útgefið
 11 mánuðum
 on
   
 
Nir Valtman er forstjóri og stofnandi hjá Arnica, vettvangur sem gerir fyrirtækjum kleift að vernda aðfangakeðju hugbúnaðar fyrirbyggjandi fyrir áhættu með því að gera daglegan öryggisrekstur sjálfvirkan og gera hönnuði kleift að eiga öryggi án þess að stofna til áhættu eða skerða hraða.
Hvað laðaði þig upphaflega að netöryggi?
Ég ólst upp með reiðhestur hugarfari. Ég byrjaði á því að eyðileggja tölvuverið á fyrsta kóðunarnámskeiðinu mínu og hakkaði mig inn í aðrar tölvur með mjög litla kóðunarkunnáttu, allt þegar ég var 13 ára. Þegar ég gekk til liðs við herþjónustuna í Ísrael fékk ég hagnýta menntun í varnarhlið öryggis, sem að lokum leiddi til starfsferils míns í netöryggi. 
Gætirðu deilt upprunasögunni á bak við Arnica?
Áður en Arnica vann ég hjá Finastra, þriðja stærsta fjármálatæknifyrirtækinu á heimsvísu, sem framkvæmdastjóri öryggismála. Rykið frá hinni alræmdu Solarwinds var rétt að setjast og forstjórinn okkar spurði mig hvernig við gætum lágmarkað hættuna á að verða fyrir áhrifum af árás hugbúnaðarkeðju. Við gerðum alhliða úttekt á fyrirtækjum sem byggja lausnir í þessu rými, nokkur þeirra gerðum við proof of concepts með. Enginn af söluaðilum passaði vel við það sem við vorum að leita að: alhliða umfjöllun, virk mildun áhættu og frábær upplifun þróunaraðila. Sérstaklega var upplifunarþáttur þróunaraðila mikilvægur vegna þess að allar lausnir sem ég setti á þróunaraðila sem trufluðu verkflæði þeirra yrði hafnað og við værum aftur á byrjunarreit. 
Án þess að hafa fundið lausn ákvað ég að rannsaka allar árásir á aðfangakeðju hugbúnaðar sem átt hafa sér stað á síðustu 5 árum til að mynda skilning á helstu einkennum og hvernig á að koma í veg fyrir þau. Á sama tíma talaði ég við tvo vini, Eran Medan (CTO) og Diko Dahan (COO), sem höfðu víðtæka þróunar- og rekstrarleiðtogareynslu. Eran og Diko, lýstu svipuðum áskorunum við að finna lausn - Diko frá tækniops sjónarhorni og Eran frá þróunarsjónarmiði. Í ljósi þess að við vorum öll að koma upp tóm um lausn, mótuðum við tilgátu um hvernig lausn ætti að líta út. Við fórum í gegnum tugi staðfestingarsímtala með öryggis-, rekstrar- og verkfræðileiðtogum, sem staðfestu bæði vandamálið og tilgátu okkar um nauðsynlega lausn. Hratt áfram nokkra mánuði til ágúst 2021 og við vorum með stofnað Arnica. 
Arnica veitir öryggi sem byggir á hegðun frá lokum til enda, gætirðu skilgreint hvað hegðunarbundið öryggi er?
Ef einhver gaf þér handskrifaða minnismiða og sagði þér að þú hefðir skrifað hana, gætirðu líklega sagt hvort hún væri í raun og veru skrifuð af þér. Ef, til dæmis, rithöndin er ekki þín, minnismiðinn var dagsettur áður en þú fæddist og hún er skrifuð á frönsku (sem þú kannt ekki að tala eða skrifa), væri ljóst að þú ert ekki höfundurinn. Við tökum svipaða nálgun á kóða, nema við byggjum upp prófíl fyrir hvern forritara sem er samsettur úr þúsundum þátta (einnig þekkt sem eiginleikar í vélanámi). Með því að fylgjast með tilhneigingum og hegðun þróunaraðila getum við stöðvað áhættu sem víkur frá eðlilegu þróunarmynstri þeirra. Þetta hjálpar okkur að stöðva yfirtökur á reikningum, innherjaógnir og aðra áhættu sem tengist hugbúnaðarþróun. 
Getur þú rætt hvernig vettvangurinn getur greint blæbrigði þess hvernig hver þróunaraðili vinnur?
Arnica notar sögulega endurskoðun og kóðaframlagsvirkni til að búa til hegðunarfingrafar fyrir hvern þróunaraðila. Þetta fingrafar táknar þekkta og vænta hegðun leyfisnotkunar, kóðunarstíls, commit tungumáls og þróunaraðferða. Við getum síðan borið saman alla framtíðarvirkni við þetta fingrafar til að ákvarða líkurnar á því að framtíðarkóði komi frá þessum höfundi.
Hvað gerist þegar kerfið tilkynnir óeðlilega hegðun?
Við leitumst alltaf við að hámarka öryggisgildi og á sama tíma útrýma þróunarnúningi. Þegar Arnica greinir óeðlilega hegðun frá þróunarreikningi, flaggum við það í Arnica og sendum sjálfkrafa viðbótarauðkenningu í gegnum beint spjall til viðkomandi þróunaraðila og öryggisteymisins byggt á stefnuuppsetningu þinni.
Hvernig aðstoðar Arnica við endurskoðun kóða?
Arnica veitir þróunaraðilum tilkynningar í rauntíma þegar þeir ýta undir kóðabreytingar, sem dregur úr fjölda áhættu sem nær til dragbeiðna. Fyrir þær áhættur sem ná til dragbeiðna, kynnir Arnica sjálfvirkar kóðaathuganir á PRs. Þegar áhættur eru staðsettar gerir Arnica athugasemdir með áhættuupplýsingum og mótvægissamhengi fyrir hverja áhættu. Arnica getur einnig sjálfkrafa lokað fyrir sameiningu þar sem áhætta er fyrir hendi, sem kemur í veg fyrir að þeir nái framleiðslukóða.
Arnica gerir einnig kleift að bera kennsl á viðkvæmar ósjálfstæði þriðja aðila, gætirðu rætt hvernig þetta virkar fyrir þróunaraðila?
Arnica skannar alla þriðja aðila pakka og áhættu við hverja kóða ýttu og lætur forritara vita beint í gegnum ChatOps þegar þeir nota útgáfur með veikleika eða kynna lítinn orðspor pakka til kóðagrunnsins. 
Hver eru önnur virkni sem Arnica pallurinn býður upp á?
Arnica einbeitir sér að því að bjóða upp á vettvang fyrir öryggisteymi forrita til að öðlast sýnileika yfir allar áhættur í framboðskeðju hugbúnaðar, til að geta forgangsraðað þeim áhættum og til að geta auðveldlega stöðvað nýjar áhættur og lagað núverandi áhættu. Við bjóðum upp á þessa hæfileika í fjölmörgum áhættuflokkum, þar með talið óhóflegar heimildir þróunaraðila, kóðaáhættu sem stafar af SAST (Static Application Security Testing) og IaC (Infrastructure as Code) skönnun, harðkóða leyndarmál, ósjálfstæði þriðja aðila og fleira. 
Er eitthvað fleira sem þú vilt deila um Arnica?
Hjá Arnica, eins mikið og við þróum öryggislausnir fyrir forrit og aðfangakeðju, lítum við á okkur sem reynslufyrirtæki fyrir þróunaraðila. Við viljum gera lausn öryggisvandamála að hnökralausri og ánægjulegri upplifun. Tökum til dæmis lausnina okkar til að draga úr leyndarmálum. Við auðkennum leyndarmálið við ýtt á kóða, við staðfestum það og við sendum tilkynningu til þróunaraðila í spjalltólinu að eigin vali. Tilkynningin gefur þróunaraðilanum hnapp – „Fix it for me“ – sem útilokar leyndarmálið úr allri git-sögunni án þess að verktaki þurfi að skrifa neinar git-skipanir. Bara smellur. 
Við trúum því að ef við getum gert öryggi að auðveldum og ánægjulegum hluta af þróunarupplifuninni muni sérhver stofnun sem notar Arnica hafa það betra.  
Þakka þér fyrir frábært viðtal, lesendur sem vilja læra meira ættu að heimsækja Arnica.
       
 Svipaðir þættir:
 mm
Stofnfélagi unite.AI og meðlimur í Forbes tækniráð, Antoine er a framúrstefnu sem hefur brennandi áhuga á framtíð gervigreindar og vélfærafræði.
Hann er einnig stofnandi Verðbréf.io, vefsíða sem leggur áherslu á að fjárfesta í truflandi tækni.