Tsahy Shapsa, co-fondatore e co-CEO di Jit – Interviste sulla sicurezza informatica

Tsahy Shapsa è il co-fondatore e co-CEO di Jit, una piattaforma che consente di semplificare la sicurezza continua, in modo che gli sviluppatori possano creare app cloud sicure fin dal primo giorno.

Sei stato coinvolto nella sicurezza informatica per la maggior parte della tua carriera, cosa ti ha attratto inizialmente nel settore?

Crescendo, sono sempre stato attratto dalla fantascienza, ed è stato il film "WarGames" che ha davvero acceso la mia immaginazione sul ruolo che i computer avrebbero avuto nella sicurezza del nostro mondo. Mentre guardavo il giovane hacker del film inciampare inavvertitamente in un conflitto informatico ad alto rischio, sono rimasto affascinato dalle possibilità e dalle sfide di un futuro digitale. Più tardi nella vita, da adulto circondato dallo spirito innovativo della "Startup Nation" di Israele, ho sentito una forte chiamata a contribuire a questo dominio emozionante e cruciale. Questa ispirazione, unita alla mia immigrazione negli Stati Uniti, "la terra delle opportunità", mi ha portato ad avviare la mia prima azienda di sicurezza informatica. Ho avuto la fortuna di svolgere un ruolo nel plasmare il futuro della sicurezza informatica abbracciando allo stesso tempo lo spirito imprenditoriale dei miei due paesi d'origine: Stati Uniti e Israele.

Potresti condividere la storia della genesi di Jit?

La storia della genesi di Jit.io è iniziata con me e i miei co-fondatori che identificavano una lacuna critica nel panorama della sicurezza informatica. Man mano che i moderni team di ingegneri hanno adottato rapidamente l'approccio CI/CD, l'integrazione della sicurezza informatica spesso è rimasta indietro, portando a un aumento del rischio di vulnerabilità. Parte del problema era la travolgente pletora di strumenti di sicurezza con spostamento a sinistra disponibili, con i team di ingegneri che spesso avevano bisogno di unire 15-20 strumenti tra AppSec, CI/CD, Cloud e DAST per creare una soluzione di sicurezza completa. Ciascuno di questi strumenti è arrivato con la propria esperienza di onboarding, gestione e sviluppo, che ha rallentato notevolmente la velocità di sviluppo.

Spinto dalla missione di rendere ridicolmente facile per questi team incorporare la sicurezza informatica nelle loro pipeline CI/CD, è nato Jit.io. Il mio team ha deciso di accelerare DevSecOps curando meticolosamente i migliori strumenti di sicurezza open source al mondo e impacchettandoli in un'unica piattaforma unificata. Offrendo un DevX semplificato, Jit.io consente ai moderni team di ingegneri di integrare e gestire senza problemi la sicurezza dei loro prodotti, eliminando la necessità di complesse integrazioni di toolchain e lunghi processi di onboarding. Ciò garantisce che robuste misure di sicurezza delle applicazioni non siano solo un ripensamento, ma una componente essenziale e facilmente raggiungibile del processo di sviluppo.

Questo approccio innovativo ha posizionato Jit.io come punto di svolta nel regno della sicurezza informatica, rivoluzionando il modo in cui i team di ingegneri affrontano il panorama delle minacce digitali in continua evoluzione semplificando e consolidando l'implementazione di strumenti di sicurezza essenziali, aumentando in definitiva la velocità e l'efficienza dello sviluppo.

Per i lettori che non hanno familiarità con la terminologia DevSecOps, potresti definirla per noi?

DevSecOps è la pratica di integrazione della sicurezza in ogni fase del processo di sviluppo e distribuzione del software per i moderni team di ingegneri, unificando AppSec, sicurezza CI/CD e sicurezza cloud. Ciò consente agli sviluppatori di possedere la sicurezza del proprio prodotto proprio come possiedono CI e CD, promuovendo al contempo la collaborazione e la responsabilità condivisa tra i team di sviluppo, sicurezza e operazioni.

Jit consente agli sviluppatori di possedere la sicurezza per i prodotti che stanno costruendo dal giorno zero, perché è così importante dare priorità alla sicurezza in una fase così precoce?

Usando un'analogia con la costruzione di edifici, consideriamo come DevSecOps abbraccia vari aspetti del processo di sviluppo del software, tra cui AppSec (Application Security), CI/CD (Continuous Integration/Continuous Deployment), Cloud e DAST (Dynamic Application Security Testing).

Nel processo di costruzione degli edifici, AppSec è simile a garantire che i materiali da costruzione e il design architettonico siano sicuri e rispettino gli standard di sicurezza. CI/CD è simile al coordinamento continuo delle attività di costruzione, consentendo un efficiente assemblaggio e integrazione di diversi componenti, come impianti idraulici, elettrici e di sicurezza. La sicurezza del cloud rappresenta l'infrastruttura e le utenze che supportano l'edificio, come l'approvvigionamento idrico, l'elettricità e la connettività Internet. Infine, DAST è paragonabile allo svolgimento di ispezioni e test di sicurezza regolari per identificare e affrontare potenziali vulnerabilità nei sistemi di sicurezza dell'edificio.

Incorporando DevSecOps durante l'intero ciclo di vita dello sviluppo del software, le organizzazioni possono garantire che la sicurezza sia parte integrante di ogni fase, dalla progettazione del codice dell'applicazione sicura (AppSec) e dall'integrazione efficiente delle misure di sicurezza nella pipeline CI/CD, alla protezione dell'infrastruttura cloud e alla conduzione continua test di sicurezza dinamici (DAST). Questo approccio olistico aiuta a creare applicazioni più sicure e affidabili e riduce al minimo le vulnerabilità ei rischi per la sicurezza in tutti gli aspetti del processo di sviluppo del software.

Potresti descrivere in che modo Jit si differenzia da altri strumenti di sicurezza informatica?

Jit si differenzia dagli altri strumenti di sicurezza informatica offrendo una piattaforma DevSecOps completa e unificata che semplifica l'integrazione e la gestione di più strumenti di sicurezza "shift-left" su AppSec, CI/CD, Cloud e DAST. Questo approccio semplifica le operazioni di sicurezza e l'esperienza degli sviluppatori, consentendo una collaborazione senza soluzione di continuità.

Eliminando la necessità di complesse integrazioni di toolchain e il vendor lock-in, Jit consente ai tecnici della sicurezza di prodotti e applicazioni di scegliere le migliori soluzioni di sicurezza su misura per le loro esigenze specifiche. Questa adattabilità consente ai team di creare solide misure di sicurezza pur mantenendo un'esperienza di sviluppo unificata e nativa.

L'attenzione di Jit su un'esperienza uniforme e coerente sia per gli sviluppatori che per i team di sicurezza consente un monitoraggio, un'analisi e una risposta più efficienti alle minacce in tutti gli aspetti del ciclo di vita dello sviluppo del software. Di conseguenza, Jit accelera l'implementazione delle best practice DevSecOps e promuove una responsabilità condivisa per la sicurezza nell'intera organizzazione.

Parli spesso di evitare il "lock-in degli strumenti" per avere una piattaforma DevSecOps a prova di futuro, potresti descrivere cos'è il lock-in degli strumenti e perché è un tale problema?

Nel contesto di DevSecOps e fornitori di sicurezza con spostamento a sinistra, il blocco degli strumenti può essere particolarmente problematico per diversi motivi:

1. Portafogli di prodotti mediocri: molti fornitori di sicurezza con spostamento a sinistra ottengono inizialmente successo grazie a un prodotto eccezionale. Tuttavia, mentre espandono le loro offerte, spesso attraverso acquisizioni, possono ritrovarsi con un portafoglio di prodotti mediocri che non si integrano necessariamente bene o forniscono le migliori soluzioni per ogni aspetto della sicurezza.
2. Tattiche di vendita e marketing: i fornitori con un portafoglio diversificato spesso utilizzano varie tattiche di vendita e marketing per "costringere" i clienti ad acquistare l'intera suite di prodotti. Questo approccio impedisce agli utenti di avere la libertà di scegliere le migliori soluzioni e può portare a risultati di sicurezza non ottimali.
3. Adattabilità ostacolata: il blocco degli strumenti limita la capacità di un'organizzazione di adattarsi alle minacce alla sicurezza in evoluzione o di sfruttare i progressi della tecnologia. Quando si è bloccati nelle offerte di un fornitore specifico, diventa difficile esplorare e adottare soluzioni di sicurezza migliori man mano che diventano disponibili.
4. Innovazione ridotta: fare affidamento sul portafoglio di un unico fornitore per la sicurezza può soffocare l'innovazione, poiché l'organizzazione potrebbe concentrarsi eccessivamente sulle capacità degli strumenti attuali piuttosto che cercare soluzioni alternative potenzialmente superiori.

Per creare una catena di strumenti DevSecOps a prova di futuro ed evitare le insidie ​​del blocco degli strumenti, è fondamentale che le organizzazioni mantengano la flessibilità necessaria per scegliere le migliori soluzioni di sicurezza su misura per le loro esigenze. Questo approccio consente alle organizzazioni di creare una posizione di sicurezza più solida ed efficace, promuovendo in ultima analisi l'innovazione e l'adattabilità di fronte a scenari di sicurezza in continua evoluzione.

In che modo Jit crea una soluzione unificata "one-stop" che evita questo problema?

Jit affronta il problema del lock-in degli strumenti dando priorità a flessibilità, integrazione e adattabilità. Ecco come Jit ottiene questo risultato:

1. Integrazione perfetta di più strumenti: la piattaforma di Jit è progettata per integrare le migliori soluzioni di sicurezza tra AppSec, CI/CD, Cloud e DAST. Ciò consente alle organizzazioni di scegliere gli strumenti più adatti alle loro esigenze specifiche, mentre Jit gestisce le complessità della gestione e dell'integrazione di questi strumenti disparati in un sistema coeso.
2. Flessibilità e scelta: Jit consente alle organizzazioni di evitare il vendor lock-in offrendo la libertà di selezionare e passare da uno strumento di sicurezza all'altro man mano che i loro requisiti si evolvono. Questa flessibilità garantisce che le organizzazioni possano sempre adottare le soluzioni più efficaci per le loro esigenze di sicurezza, senza essere vincolate dal portafoglio di un singolo fornitore.
3. Esperienza unificata per gli sviluppatori e le operazioni di sicurezza: Jit semplifica l'esperienza degli sviluppatori e delle operazioni di sicurezza fornendo un'interfaccia coerente e intuitiva per la gestione e l'interazione con vari strumenti di sicurezza. Questa esperienza unificata semplifica il processo di integrazione delle pratiche di sicurezza nel ciclo di vita dello sviluppo del software e garantisce che sviluppatori e team di sicurezza possano collaborare in modo efficace.
4. Innovazione e adattabilità continue: consentendo alle organizzazioni di sfruttare le migliori soluzioni di sicurezza, Jit favorisce l'innovazione e l'adattabilità continue. Man mano che emergono nuovi strumenti e tecnologie di sicurezza, la piattaforma di Jit può facilmente accogliere questi progressi, garantendo che le organizzazioni abbiano sempre accesso a soluzioni di sicurezza all'avanguardia.

Offrendo una piattaforma unificata e flessibile che integra perfettamente più strumenti di sicurezza pur mantenendo un'esperienza coerente per gli sviluppatori e le operazioni di sicurezza, Jit evita efficacemente le insidie ​​del blocco degli strumenti e consente alle organizzazioni di creare piattaforme DevSecOps a prova di futuro in grado di adattarsi e crescere con le loro esigenze di sicurezza in continua evoluzione

Jit-DevSecOps si descrive come un approccio snello e iterativo per aggiungere sicurezza "Just-In-Time". Potrebbe approfondire l'importanza di applicare la sicurezza in questo modo?

Jit-DevSecOps, un approccio snello e iterativo per aggiungere la sicurezza "Just-In-Time", sottolinea l'importanza di un'integrazione della sicurezza tempestiva ed efficiente. Questo metodo consente il rilevamento precoce e la risoluzione delle vulnerabilità, cicli di sviluppo più rapidi e una migliore collaborazione. L'approccio basato su cambiamento/delta di Jit si concentra sull'affrontare i problemi di sicurezza non appena si presentano, assicurando che le vulnerabilità più critiche vengano risolte per prime. Dando la priorità a una mentalità orientata alla correzione e adattandosi ai mutevoli scenari di sicurezza, Jit-DevSecOps consente alle organizzazioni di mantenere una solida sicurezza garantendo al tempo stesso agilità ed efficienza nel processo di sviluppo.

Qual è la tua visione per il futuro di DevSecOps e della sicurezza informatica in generale?

La mia visione per il futuro di DevSecOps e della sicurezza informatica è sfruttare la potenza delle tecnologie avanzate come l'intelligenza artificiale, l'apprendimento automatico e l'automazione per identificare e rispondere alle minacce in tempo reale. Ad esempio, le soluzioni di sicurezza basate sull’intelligenza artificiale possono aiutare a rilevare anomalie e potenziali vulnerabilità, mentre la risposta automatizzata agli incidenti può aiutare a contenere e mitigare gli incidenti di sicurezza.

Inoltre, esploreremo tecnologie emergenti come blockchain e crittografia per migliorare la sicurezza e la privacy dei dati. Queste tecnologie possono aiutare a garantire l'integrità e la riservatezza dei dati e impedire l'accesso non autorizzato o la manomissione.

Nel complesso, la mia visione sottolinea l'importanza della collaborazione, dell'innovazione e delle misure proattive per stare al passo con le minacce emergenti. E, naturalmente, ricorderemo sempre la regola d'oro della sicurezza informatica: l'unico computer sicuro è quello scollegato, sepolto nel cemento e mai acceso.

Grazie per l'ottima intervista, i lettori che desiderano saperne di più dovrebbero visitare Jit.