Connect with us

Interviste

Ronen Slavin, CTO e Co-fondatore, Cycode – Serie di Interviste

mm
Published
Updated

Ronen Slavin, CTO e Co-fondatore, Cycode, è un imprenditore seriale e un ex ufficiale dell’Unità 8200 delle Forze di Difesa israeliane. Prima di lanciare Cycode nel 2019, ha co-fondato FileLock, che è stato acquisito da Reason Security nel 2018, e ha ricoperto il ruolo di Head of Research presso Reason Cybersecurity. Con una profonda esperienza nella rilevazione di malware, nella ricerca di vulnerabilità e nell’exploit, Slavin ha costruito una carriera all’intersezione della ricerca sulla sicurezza avanzata e dell’innovazione dei prodotti.

Cycode è una piattaforma di sicurezza applicativa nativa AI che unisce i team di sicurezza e sviluppo con un contesto azionabile dal codice alla fase di runtime. Unendo AST, ASPM e sicurezza della catena di approvvigionamento del software, garantisce sia il codice generato da AI che quello generato dagli esseri umani. Grazie al suo Risk Intelligence Graph (RIG), scanner proprietari e integrazioni, Cycode fornisce una rilevazione istantanea dei rischi, un’analisi dell’impatto delle modifiche (CIA) e fix guidati da AI, riducendo le lacune di visibilità, accelerando il processo di risoluzione e riducendo i costi fin dal primo giorno.

Cosa ti ha motivato a fondare Cycode e qual è il problema chiave nella sicurezza del software che hai cercato di risolvere fin dall’inizio?

L’idea di Cycode è nata da qualcosa che avevamo osservato ripetutamente; il codice sorgente veniva rubato o inavvertitamente leakato nelle mani sbagliate. Dopo aver trascorso anni nel settore della sicurezza informatica e nello spazio della sicurezza offensiva, e aver guidato la protezione degli endpoint presso Reason, ci siamo resi conto di quanto fosse critico il codice sorgente, non solo come linee di codice, ma come uno degli asset più preziosi di un’azienda. Non stava ricevendo la sicurezza che meritava.

Quella consapevolezza è stata l’ispirazione per fondare Cycode. Fin dall’inizio, la nostra missione era chiara: proteggere il codice sorgente in ogni fase, dal momento in cui viene scritto al momento in cui viene consegnato, tutto senza ostacolare la velocità degli sviluppatori. Ci siamo prefissi di garantire che la sicurezza e l’ingegneria potessero lavorare fianco a fianco, con la sicurezza integrata in modo trasparente nel flusso di lavoro quotidiano, piuttosto che essere un ostacolo.

Ciò che contava di più era dare ai team la visibilità, la responsabilità e la collaborazione di cui avevano bisogno. Gli sviluppatori non dovevano sacrificare la loro produttività per la sicurezza, e i team di sicurezza non dovevano operare senza contesto o controllo. Cycode è stato creato per rendere possibile entrambe le cose.

Come la tua precedente esperienza come imprenditore nel settore della sicurezza informatica e il tuo servizio nell’unità di intelligence d’élite di Israele, Unit 8200, ha plasmato il tuo approccio tecnico in Cycode?

Il mio tempo nel settore della sicurezza informatica israeliano, in particolare in ambienti tecnici d’élite, mi ha instillato una mentalità di precisione, adattabilità e curiosità senza sosta. Sia che fossi in Unit 8200 o nei miei primi giorni di startup, ho imparato a pensare come un attaccante e un difensore. Quella prospettiva duale è stata fondamentale per come abbiamo costruito Cycode.

Come imprenditore nel settore della sicurezza informatica, ho visto di persona come il paesaggio della sicurezza fosse diventato frammentato e reattivo. Gli strumenti di sicurezza venivano spesso aggiunti dopo il fatto, lasciando gli sviluppatori a navigare in un labirinto di allarmi senza contesto. È questo che abbiamo cercato di cambiare.

In Cycode, abbiamo adottato un approccio a livello di sistema, trattando il codice sorgente come un asset critico e integrando la sicurezza nel ciclo di vita dello sviluppo del software fin dall’inizio. Il mio background mi ha insegnato che la sicurezza deve essere proattiva, contestuale e amichevole per gli sviluppatori. È per questo che ci concentriamo tanto sull’automazione, sulla visibilità e sul ridurre il divario tra la sicurezza e lo sviluppo del software. Non si tratta solo di trovare vulnerabilità, ma di risolvere ciò che conta, velocemente.

Cycode combina più livelli di protezione, tra cui AST (Application Security Testing) e ASPM (Application Security Posture Management). Per coloro che non sono familiari, puoi spiegare come questi elementi lavorano insieme e cosa rende l’approccio di Cycode unico?

Assolutamente. In Cycode, garantire la sicurezza del software moderno richiede più che semplicemente scansionare il codice; richiede una comprensione olistica di come quel codice viene costruito, distribuito e mantenuto. Ora, come piattaforma di sicurezza applicativa nativa AI, il nostro approccio è un differenziatore a causa della convergenza di Application Security Testing (AST), Application Security Posture Management (ASPM) e sicurezza della catena di approvvigionamento del software (SSCS).

Gli strumenti AST, come SAST, DAST e SCA, sono efficaci nell’identificare le vulnerabilità nel codice, nelle dipendenze e nell’infrastruttura. Tuttavia, spesso operano in silos, generando allarmi senza contesto. È qui che entra in gioco l’ASPM. L’ASPM collega i punti across l’intero ciclo di vita dello sviluppo del software. Fornisce visibilità sulla postura di sicurezza dell’applicazione con priorità di rischio e rimedi azionabili, SSCS sandwich la piattaforma per garantire la sicurezza dei pipeline CI/CD.

Ciò che rende Cycode unico è come unifichiamo questi livelli e stabiliamo uno standard aziendale. Oggi, in questa era dell’AI, la sicurezza dovrà diventare più intelligente. Abbiamo costruito sulla nostra base con AST, ASPM e SSCS con agenti AI per aiutare a priorizzare e risolvere ciò che conta più velocemente, riducendo quel divario di sicurezza che ho menzionato in precedenza.

Come Cycode si integra con pipeline DevOps moderne come GitHub, GitLab o Azure DevOps per rilevare i rischi più precocemente nel ciclo di vita?

Cycode è stato costruito tenendo presente le moderne pipeline DevOps. Ci integriamo direttamente con piattaforme come GitHub, GitLab e Azure DevOps per incorporare la sicurezza in ogni fase del ciclo di vita dello sviluppo del software, senza rallentare i team.

La nostra piattaforma si collega ai sistemi di controllo del codice sorgente e ai sistemi CI/CD per monitorare continuamente il codice, le configurazioni e i flussi di lavoro. Scansioniamo e analizziamo le richieste di pull in tempo reale, in modo che gli sviluppatori ricevano un feedback immediato sulle vulnerabilità prima che il codice venga unito. Analizziamo anche la cronologia dei commit e i metadati per assegnare i problemi ai giusti proprietari, riducendo l’attrito e accelerando la risoluzione.

Nel nostro approccio, non ci limitiamo a segnalare gli allarmi; forniamo un contesto completo. Ciò include l’origine del problema, il suo impatto potenziale e i passaggi per risolverlo. E poiché ci integriamo con strumenti come JIRA, possiamo creare e tracciare automaticamente i ticket, mantenendo allineati i team di sicurezza e ingegneria.

In ultima analisi, il nostro obiettivo è spostare la sicurezza a sinistra in modo controllato e amichevole per gli sviluppatori, in modo che i rischi vengano identificati precocemente, affrontati prontamente e non diventino blocchi più tardi nella pipeline.

Puoi guidarci attraverso il modo in cui il Risk Intelligence Graph di Cycode aiuta i team a collegare le minacce attraverso il codice, i container, l’infrastruttura e la fase di runtime?

Sì, è una funzionalità di cui siamo orgogliosi. Il Risk Intelligence Graph, o RIG, è il motore dietro la capacità di Cycode di correlare e contestualizzare i dati di sicurezza in tutta la catena di approvvigionamento del software.

Pensate al RIG come a una mappa dinamica che collega tutto, dalle dipendenze del codice sorgente ai pipeline CI/CD, ai registry di artifact e agli ambienti di runtime. Non si limita a raccogliere dati; comprende le relazioni. Quindi, quando viene trovata una vulnerabilità in un container, il RIG può rintracciarla fino alla linea di codice esatta, allo sviluppatore che l’ha commessa, al pipeline che l’ha costruita e all’infrastruttura su cui sta girando.

Questa visibilità è critica. Consente ai team di priorizzare i rischi in base al loro impatto reale, piuttosto che solo ai punteggi di gravità. Con l’AI integrata, fornisce agli sviluppatori informazioni azionabili e un contesto completo, consentendo loro di risolvere i problemi più velocemente e con maggiore fiducia.

È importante notare che il RIG non è solo un cruscotto; è uno strumento di supporto alle decisioni. Aiuta i team a passare dalla rilevazione alla risoluzione alla velocità di DevOps, collegando i punti attraverso sistemi frammentati e segnalando i rischi che contano veramente.

Come Cycode rileva e gestisce il rischio legato al codice generato da AI e alle integrazioni con servizi come OpenAI o Hugging Face?

Il codice generato da AI introduce un nuovo livello di complessità e rischio, in particolare quando proviene da servizi esterni come OpenAI o Hugging Face. In Cycode, abbiamo costruito capacità specifiche per affrontare questo panorama di minacce in evoluzione. Recentemente, il nostro agente di sfruttamento AI e il server MCP per garantire la sicurezza dello sviluppo e dei flussi di lavoro di coding.

Per quanto riguarda la nostra piattaforma, forniamo un inventario centralizzato degli asset dell’applicazione che mappa tutti i componenti in un ecosistema software, compresi i modelli AI, le librerie AI di terze parti e le integrazioni con servizi come OpenAI o Hugging Face. Ciò fornisce ai team una visibilità completa su dove viene utilizzato l’AI, anche se è profondamente incorporato nello stack.

In secondo luogo, utilizziamo strumenti di analisi del codice proprietari che fanno molto più del semplice abbinamento dei modelli. Il nostro motore di rilevamento dei segreti analizza i modelli, l’entropia e il modo in cui la stringa viene utilizzata, consentendoci di distinguere tra segreti genuini e entità simili, come dati di test o testo di placeholder.

In terzo luogo, Cycode scansiona continuamente per vulnerabilità specifiche dell’AI, come superfici di attacco avversarie, rischi di avvelenamento dei dati e minacce di estrazione del modello. Questi sono vettori emergenti che gli strumenti AST tradizionali spesso perdono. Priorizziamo questi rischi in base alla gravità e all’impatto aziendale e forniamo indicazioni di rimedio adattate al contesto dell’AI.

Infine, aiutiamo le organizzazioni a rimanere conformi con regolamenti come l’Atto AI dell’UE, automatizzando la documentazione e fornendo trasparenza su come l’AI viene utilizzata in tutta l’applicazione. Ciò include la generazione di report sugli componenti AI, sul loro scopo e sul loro impatto potenziale, che è cruciale per la governance interna e gli audit esterni.

In sintesi, Cycode non si limita a rilevare i rischi legati all’AI; aiuta a gestirli con un contesto completo, responsabilità e conformità in mente.

Quali sono le sfide più grandi nella rilevazione dei segreti attraverso ambienti moderni di SDLC e come Cycode risolve questi problemi?

La rilevazione dei segreti è una delle sfide più critiche e trascurate nello sviluppo del software moderno. I segreti, come le chiavi API, i token e le credenziali, vengono spesso hardcoded nel codice sorgente, nei pipeline CI/CD e nei file di configurazione. E con l’aumento delle squadre distribuite, delle dipendenze open source e dei cicli di rilascio rapidi, questi segreti possono facilmente fuoriuscire nei repository pubblici o essere sfruttati dagli attaccanti.

La sfida è che i segreti non si trovano più solo nel codice. Sono ovunque, negli ambienti di build, nei registry di artifact e persino negli strumenti di terze parti. Gli scanner tradizionali spesso li perdono o generano eccessivo rumore, rendendo difficile per i team agire.

In Cycode, adottiamo un approccio olistico alla sicurezza. La nostra piattaforma scansiona l’intero SDLC, dal repository del codice ai pipeline CI/CD e agli ambienti di runtime, per rilevare i segreti esposti in tempo reale. Correliamo i risultati con il contesto, in modo che i team sappiano non solo cosa è stato esposto, ma dove, da chi e quanto è critico.

Enforziamo anche l’accesso con privilegi minimi e configurazioni di pipeline sicure per prevenire l’uso improprio dei segreti. E poiché ci integriamo con i sistemi di tracciamento dei problemi e i flussi di lavoro degli sviluppatori, la risoluzione è rapida e senza attrito.

In ultima analisi, la rilevazione dei segreti non è solo questione di trovare la fuga, ma di garantire l’intera fabbrica del software. È questo che la piattaforma di Cycode è stata progettata per fare.

Come assicuri l’accuratezza e riduci i falsi positivi quando si scansiona per vulnerabilità o segreti?

Affrontare i falsi positivi può essere incredibilmente frustrante per gli sviluppatori. Quando i team sono costantemente bombardati da allarmi irrilevanti, è facile iniziare a ignorarli, ed è proprio quando le vere minacce possono sfuggire inosservate. Attraverso il nostro motore SAST, aiutiamo i team a identificare le debolezze del codice, raggiungere l’accuratezza e concentrarsi sui veri positivi per risparmiare tempo e accelerare la consegna del software. Nei test di benchmark OWASP, Cycode ha raggiunto un tasso di falsi positivi del 2,1%, rappresentando una riduzione >94% rispetto ai metodi alternativi.

Innanzitutto, ci concentriamo sulla correlazione contestuale. Invece di semplicemente segnalare un potenziale problema e passare oltre, la nostra piattaforma lo associa al quadro più ampio della catena di approvvigionamento del software di un’organizzazione. Pertanto, se un segreto viene scoperto in un commit, lo associamo al pipeline che lo ha costruito, all’ambiente in cui è stato distribuito e allo sviluppatore che lo ha aggiunto. Questo contesto aggiuntivo ci aiuta a determinare se qualcosa rappresenta un rischio reale o è semplicemente inoffensivo.

In secondo luogo, i nostri algoritmi di scansione proprietari fanno molto più del semplice abbinamento dei modelli. Il nostro motore di rilevamento dei segreti analizza i modelli, l’entropia e il modo in cui la stringa viene utilizzata, consentendoci di distinguere tra segreti genuini e entità simili, come dati di test o testo di placeholder.

Ci integriamo anche con i sistemi di tracciamento dei problemi e i flussi di lavoro degli sviluppatori per mantenere tutto collegato. Quando una vulnerabilità o un segreto viene confermato e risolto, quel feedback aiuta a rendere i nostri modelli più intelligenti. Assegnando i problemi in base alla proprietà del codice, aiutiamo a garantire che i problemi vengano diretti alle persone giuste senza duplicazioni inutili.

In ultima analisi, il nostro obiettivo èstraightforward. Ci concentriamo su rendere la sicurezza qualcosa su cui i team possano fare affidamento: meno falsi allarmi, più risultati precisi e risoluzioni più rapide. In questo modo, i team possono concentrarsi sul risolvere i veri problemi che contano di più.

Qual è il valore degli strumenti di sicurezza “developer-first” e come Cycode evita di interrompere i flussi di lavoro?

Al suo nucleo, la sicurezza “developer-first” è rendere la protezione rapida, rilevante e solo visibile quanto necessario. È così che manteniamo lo sviluppo in movimento mentre garantiamo la sicurezza del software.

Se gli strumenti di sicurezza rallentano gli sviluppatori o li sommergono con troppi allarmi, quegli strumenti rischiano di essere ignorati. È per questo che Cycode è stato progettato per aiutare gli sviluppatori, piuttosto che ostacolarli.

Il vero valore deriva dall’introdurre la sicurezza direttamente nel flusso di lavoro quotidiano degli sviluppatori. Con Cycode, i controlli di sicurezza avvengono istantaneamente, proprio dove gli sviluppatori scrivono e revisionano il codice, come nell’IDE o durante le richieste di pull. Ciò significa che gli sviluppatori ricevono un feedback nel momento in cui ne hanno bisogno, rendendo facile intercettare i problemi precocemente e costruire abitudini di codifica sicure senza ulteriore aggravio.

Il contesto è anche fondamentale. Invece di inviare allarmi vaghi, Cycode fornisce agli sviluppatori dettagli precisi: cosa è la vulnerabilità, da dove origina, chi è responsabile e come risolverla. Questo tipo di informazione aiuta a ridurre la confusione e consente ai team di risolvere i problemi più efficientemente.

Integrando con strumenti CI/CD popolari e tracciatori di problemi come JIRA, Cycode garantisce che la sicurezza diventi un’integrazione fondamentale del processo di sviluppo del software, piuttosto che qualcosa di separato o disconnesso. Gli sviluppatori possono rimanere concentrati sul loro lavoro e i team di sicurezza ottengono la supervisione di cui hanno bisogno.

Quali tipi di attacchi o vulnerabilità ti aspetti che aumentino man mano che più aziende adottano l’AI nei loro flussi di lavoro di sviluppo?

Man mano che l’AI diventa una parte sempre più integrante del lavoro di sviluppo quotidiano, ci aspettiamo di incontrare un nuovo set di vulnerabilità. Queste non saranno solo sfide tecniche; alcune verranno dal modo in cui le persone e i team interagiscono con questi strumenti.

Uno dei rischi più significativi è che gli sviluppatori potrebbero diventare eccessivamente dipendenti dal codice generato da AI. Se gli sviluppatori assumono che ogni suggerimento AI sia corretto, potrebbero accidentalmente introdurre bug nascosti o problemi di sicurezza. Poiché le linee di responsabilità possono diventare confuse quando il codice proviene da una macchina, questi problemi potrebbero sfuggire inosservati.

C’è anche una crescente preoccupazione per gli attacchi alla catena di approvvigionamento che prendono di mira specificamente i modelli AI e le API. Ad esempio, se servizi affidabili come OpenAI o Hugging Face vengono compromessi, o se qualcuno infila un modello maligno in un flusso di lavoro, gli attaccanti potrebbero alterare gli output o rubare informazioni sensibili.

Un’altra minaccia emergente è l’avvelenamento dei dati. In questo scenario, gli attaccanti apportano modifiche sottili e strategiche ai dati di training che possono successivamente influenzare il comportamento del modello AI. Questo tipo di attacco è particolarmente pericoloso in aree come la rilevazione delle frodi o il controllo di accesso, dove la sicurezza è cruciale.

Inoltre, le aziende affronteranno una crescente pressione intorno alla spiegabilità e alla conformità. Nuovi regolamenti, come l’Atto AI dell’UE, richiederanno alle organizzazioni di spiegare come i loro sistemi AI prendono decisioni e quali sono le basi per queste decisioni. Ciò può essere molto impegnativo se i modelli sono scatole nere o se i team utilizzano strumenti di terze parti che mancano di trasparenza.

In Cycode, stiamo sviluppando strumenti per aiutare i team a identificare rischi specifici dell’AI, come vulnerabilità avversarie, abuso dei modelli e integrazioni non sicure. Vogliamo anche garantire che gli sviluppatori rimangano responsabili del codice che consegnano, indipendentemente da chi lo scrive.

Guardando cinque anni avanti, come vedi l’evoluzione del ruolo dell’AI nella sicurezza della catena di approvvigionamento del software?

L’AI sta già trasformando il modo in cui affrontiamo la sicurezza delle applicazioni, ma il suo pieno impatto sulla catena di approvvigionamento del software è solo all’inizio. Nei prossimi cinque anni, credo che l’AI diventerà una parte integrante di come identifichiamo, priorizziamo e affrontiamo i rischi in tutto il processo di sviluppo.

Innanzitutto, l’AI aiuterà a portare i team di sicurezza e sviluppo più vicini. Attualmente, c’è spesso tensione, poiché gli strumenti di sicurezza possono interrompere i flussi di lavoro o mancare di contesto essenziale. L’AI ha il potenziale di smussare questi bordi trasformando le scoperte di sicurezza in informazioni azionabili, raccomandando fix automaticamente e persino generando soluzioni di codice sicuro adattate al flusso di lavoro di ogni team.

L’AI diventerà anche sempre più importante per comprendere cosa sta succedendo in tempo reale. Monitorerà gli ambienti di build, i container e le API, identificando attività insolite man mano che si verificano. Questo monitoraggio in tempo reale sarà essenziale man mano che gli attacchi alla catena di approvvigionamento diventeranno più sofisticati e difficili da rilevare con la sola scansione tradizionale.

Inoltre, l’AI aiuterà le aziende a navigare nel crescente labirinto di regolamenti. Man mano che i governi introducono più regole su come l’AI dovrebbe essere utilizzata, le organizzazioni avranno bisogno di strumenti che possano spiegare il ragionamento dietro ogni decisione AI, tracciare da dove provengono i modelli e garantire la responsabilità. Vedrò l’AI impegnata a creare documentazione, mappare le dipendenze e aiutare a far rispettare le politiche attraverso sistemi complessi.

Tuttavia, con tutti questi progressi, la supervisione umana rimarrà critica. L’AI non è qui per sostituire le persone, ma per potenziarle. Gli sviluppatori e i team di sicurezza dovranno sempre assumersi la responsabilità, soprattutto quando il codice generato da AI potrebbe introdurre nuovi rischi. È un motivo importante per cui siamo impegnati a costruire strumenti che rendano l’AI il più trasparente, comprensibile e responsabile possibile.

Alla fine, l’AI diventerà il filo conduttore che renderà le catene di approvvigionamento del software più sicure, ma solo se la useremo in modo ponderato e manterremo le persone coinvolte in ogni fase del percorso.

Grazie per la grande intervista, i lettori che desiderano saperne di più possono visitare Cycode.

Related Topics:
mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.