Interviste
Varun Badhwar, Fondatore & CEO di Endor Labs – Serie di Interviste
Varun Badhwar, Fondatore & CEO di Endor Labs, è un imprenditore nel settore della sicurezza informatica riconosciuto per aver costruito e guidato aziende all’avanguardia nella sicurezza cloud e delle applicazioni. Dal 2021, ha diretto Endor Labs, che si concentra sulla sicurezza dello sviluppo software guidato dall’intelligenza artificiale. In precedenza, è stato SVP & GM di Prisma Cloud a Palo Alto Networks e fondatore di RedLock, una startup di sicurezza cloud acquisita da Palo Alto Networks.
Endor Labs è una piattaforma di sicurezza delle applicazioni costruita per l’era dell’intelligenza artificiale, progettata per aiutare i team di ingegneria e sicurezza a bilanciare velocità e sicurezza nello sviluppo software. La piattaforma integra funzionalità come l’analisi della composizione software basata sulla raggiungibilità, SAST, scansione dei container, rilevamento dei segreti e protezione della pipeline CI/CD in una vista unificata, aiutando i team a identificare quali vulnerabilità sono realmente importanti e a priorizzare le correzioni. Include anche agenti di intelligenza artificiale che analizzano le richieste di pull per modifiche architettoniche e rilevano rischi nel codice generato dall’intelligenza artificiale all’inizio del ciclo di vita dello sviluppo.
Ha costruito e scalato grandi imprese di sicurezza — come hanno portato quelle esperienze a fondare Endor Labs, e qual è il problema che era più determinato a risolvere all’inizio?
Nel 2021, ero a Palo Alto Networks quando si verificò la violazione di SolarWinds. È stato enorme. Ogni cliente che utilizzava il loro software è stato influenzato e noi non eravamo un’eccezione. Quando ho esaminato come gestivamo il nostro software, ho realizzato che avevamo 450 ingegneri e 68.000 vulnerabilità di sicurezza, eppure gli ingegneri le stavano ignorando per lo più. Il motivo? Un’enorme percentuale di alert era falsa positiva, e gli strumenti tradizionali non capivano come lavoravano gli sviluppatori.
È allora che ho capito: lo sviluppo software moderno è più come un’assemblea che una creazione. Stiamo spedendo codice che è per lo più costituito da librerie di terze parti, senza garanzie sulla qualità o la sicurezza. Ho visto la disconnessione tra i team di sicurezza e gli ingegneri, la dinamica avversariale e l’attrito politico. Sapevo che dovevamo ripensare la sicurezza delle applicazioni dall’inizio, il che ha portato alla fondazione di Endor Labs.
Endor Labs ora protegge milioni di applicazioni per organizzazioni che vanno dalla fintech alle piattaforme SaaS. Quali sono i casi d’uso più comuni che sta vedendo, e perché i clienti si rivolgono a lei?
I nostri clienti si rivolgono a noi per proteggere le loro catene di approvvigionamento software e pipeline di sviluppo. Vogliono verificare le dipendenze open source prima della produzione, segnalare automaticamente il codice generato dall’intelligenza artificiale ad alto rischio e integrare la sicurezza direttamente nei flussi di lavoro degli sviluppatori.
La maggior parte degli scanner semplicemente lancia vulnerabilità agli sviluppatori e se ne va, creando rumore che gli ingegneri inevitabilmente ignorano. E con la codifica vibe ormai mainstream, quest’approccio semplicemente non funziona. In Endor, forniamo analisi consapevoli del contesto e informazioni azionabili, in modo che i team di sicurezza e ingegneria possano nuovamente fidarsi l’uno dell’altro.
Gli sviluppatori spesso affrontano tensioni tra muoversi velocemente e rimanere sicuri. Come aiuta la sua piattaforma a risolvere questa sfida?
Velocità contro sicurezza è il più antico dilemma nello sviluppo software. La codifica vibe ha reso questo compromesso ancora più pronunciato. Il quarantacinque percento degli sviluppatori utilizza assistenti di intelligenza artificiale quotidianamente, il che accelera la velocità ma introduce anche codice insicuro.
In Endor Labs, incorporiamo la sicurezza direttamente nei flussi di lavoro che gli sviluppatori già utilizzano. Pensiamo a IDE, richieste di pull, pipeline Git. La nostra filosofia è semplice: la sicurezza è solo un’altra classe di bug. Trattatela come qualsiasi altro bug del software, e diventa parte del processo di sviluppo naturale invece di un afterthought. Riducendo il rumore e fornendo indicazioni chiare, consentiamo agli sviluppatori di muoversi rapidamente mentre assicuriamo che il software che spediamo sia sicuro.
I falsi positivi sono uno dei più grandi punti dolenti nella sicurezza. Come sta affrontando questo problema in modo diverso?
I falsi positivi sono enormi. Ho visto ingegneri ignorare alert significativi perché sono insignificanti. Ciò è pericoloso in un mondo in cui gli attacchi di terze parti stanno crescendo a due cifre e gli avversari sfruttano porte laterali nelle pipeline degli sviluppatori.
Il nostro approccio è dare priorità al contesto. Invece di abbinare ogni Common Vulnerability and Exposure (CVE) a una dipendenza, analizziamo il percorso del codice, la logica aziendale e persino le modifiche progettuali generate dall’intelligenza artificiale. Abbiamo anche sviluppato il server Endor Labs Model Context Protocol (MCP), che consente agli agenti di intelligenza artificiale di chiamare gli strumenti backend per correzioni precise invece di quelle immaginate. Altri strumenti non possono offrire questo livello di precisione perché mancano del contesto dell’applicazione. Non sanno cosa fa il tuo codice, come si parlano i tuoi servizi o cosa sembra una correzione sicura. Il risultato è un minor numero di alert insignificanti e indicazioni più pragmatiche che gli sviluppatori possono effettivamente seguire.
La catena di approvvigionamento del software è ora considerata uno dei rischi più urgenti per le aziende. Perché questo problema è così critico oggi?
Il codice open source domina ormai il software aziendale, e lo sviluppo software si è trasformato in assemblaggio di software. Circa il novanta percento dei componenti nelle applicazioni moderne sono esterni, e gli assistenti di codifica dell’intelligenza artificiale stanno introducendo ulteriori dipendenze automaticamente. Ciò significa che una sola vulnerabilità può propagarsi attraverso milioni di applicazioni.
Le poste in gioco sono alte: i regolatori ora inquadrano il codice open source come una questione di sicurezza nazionale. E attacchi come l’ultimo exploit Shai-Hulud npm mostrano come gli avversari stanno attivamente prendendo di mira questi punti deboli. Senza le giuste protezioni, le aziende sono esposte su larga scala.
L’intelligenza artificiale sta trasformando come viene costruito il software. Quali nuovi rischi crea per la sicurezza delle applicazioni?
Gli assistenti di intelligenza artificiale sono come assumere migliaia di stagisti in una volta — possono aumentare la produttività, ma possono anche introdurre caos se non gestiti. Gli studi mostrano che il sessantadue percento del codice generato dall’intelligenza artificiale ha problemi di sicurezza, qualità o architettura. Oltre ai CVE noti, ciò include errori logici, nuovi endpoint API o errori crittografici che gli strumenti legacy non erano stati progettati per rilevare.
La nuova sfida è scalare la revisione del codice sicuro. Fare affidamento su ingegneri senior sovraccarichi per controllare manualmente ogni richiesta di pull non funziona. Hai bisogno di sistemi automatizzati che possano esaminare, priorizzare e guidare gli sviluppatori alla stessa velocità con cui l’intelligenza artificiale genera codice.
Alcuni sostengono che l’intelligenza artificiale introduce più vulnerabilità di quante ne prevenisse. La vede come un rischio netto o un beneficio netto a questo stadio?
Può essere entrambi. L’intelligenza artificiale è fantastica per la prototipazione e la sperimentazione, ma gli sviluppatori inesperti che si affidano all’intelligenza artificiale possono creare una situazione in cui il cieco guida il cieco. Il modo per capovolgere quell’equazione è accoppiare l’intelligenza artificiale con le protezioni di sicurezza. Con i sistemi di revisione e le correzioni MCP guidate nel posto giusto, puoi trasformare l’intelligenza artificiale da un rischio netto in un beneficio netto. Senza di essi, i rischi superano i guadagni.
Con il codice generato dall’intelligenza artificiale che diventa più comune, quali salvaguardie dovrebbero mettere in atto le organizzazioni per garantire la fiducia in ciò che distribuiscono?
Trattare il codice generato dall’intelligenza artificiale come qualsiasi altra dipendenza di terze parti. Ciò significa monitoraggio continuo, verifica automatizzata e protezioni in ogni fase della pipeline. Hai anche bisogno di assicurarti che i tuoi strumenti di revisione dell’intelligenza artificiale siano stati addestrati su codice sicuro di alta qualità — non solo repository casuali di GitHub.
E poi vai oltre la rilevazione. Quando una dipendenza a rischio viene segnalata, i tuoi strumenti dovrebbero raccomandare il percorso di aggiornamento che evita di rompere la tua app. È la differenza tra il caos e il controllo. Mi piace pensare che sia come le corsie di sicurezza nel bowling: la palla si muove ancora velocemente, ma rimane sulla pista.
La trasparenza è centrale nel suo stile di leadership. Come condividere sia i successi che gli insuccessi influenza la cultura e le prestazioni?
Miriamo alla trasparenza radicale in Endor Labs. Ciò significa condividere sia il bene che il male – e non solo le prestazioni aziendali, ma anche cose come piani azionari e rischi strategici. I dipendenti sono adulti. Il nostro team può gestire la realtà. Essere aperti costruisce fiducia, impegno e proprietà, e aiuta le persone a prendere decisioni migliori.
Spesso potenzia i leader emergenti all’inizio della loro carriera. Quali consigli dà ai primi manager che assumono grandi responsabilità?
Mi piace dare ai membri del team promettenti grandi ruoli all’inizio e fidarmi che crescano nella posizione. Con la mentorship e il supporto, imparano in fretta. Il mio consiglio: abbracciare la responsabilità, imparare dagli errori e costruire credibilità attraverso l’azione. Le persone spesso sorprendono con ciò che possono realizzare quando si dà loro lo spazio.
Guardando avanti di cinque anni, quali sono le più grandi opportunità e sfide nella sicurezza della catena di approvvigionamento del software?
Con gli assistenti di codifica dell’intelligenza artificiale e i citizen developer che ridisegnano i flussi di lavoro, avremo bisogno di sistemi che agiscano come un “programmatore di sicurezza in coppia” che esamina ogni richiesta di pull in tempo reale, scala la revisione del codice sicuro e fornisce contesto che gli sviluppatori possano fidarsi. È per questo che in Endor Labs abbiamo costruito il nostro server MCP e l’architettura multi-agente, che stanno già aiutando i clienti a stare al passo con lo sviluppo nativo dell’intelligenza artificiale.
La sfida è che la catena di approvvigionamento stesso sta diventando sempre più complesso. Oggi, il codice è per lo più assemblato da componenti esterni, e ogni nuovo strumento di intelligenza artificiale introduce un altro livello di dipendenza. Le aziende che non ripensano i loro modelli si troveranno esposte.
Stiamo vedendo questa urgenza svolgersi in tempo reale — Endor Labs ora protegge oltre 7 milioni di applicazioni, scansiona 1,6 milioni di richieste di pull al mese e riduce il rumore del novanta percento per i team di ingegneria. Cinque anni da ora, le organizzazioni che usciranno vincitrici saranno quelle che trattano la codifica sicura come parte fondamentale della produttività degli sviluppatori.
Grazie per la grande intervista, i lettori che desiderano saperne di più possono visitare Endor Labs.
