Interviu

Samas Kingas, „Veracode“ – interviu serijos generalinis direktorius

Atnaujinta on Birželio 7, 2023

Samas Kingas yra bendrovės vykdomasis direktorius „Veracode“ ir pripažintas verslo valdymo ir kibernetinio saugumo ekspertas. „Veracode“ įkūrėjas Samas per pastaruosius 17 metų suvaidino reikšmingą vaidmenį įmonės augimo trajektorijoje, padėdamas jai subrandinti nuo mažo startuolio iki įmonės, kurios vertė 2.5 mlrd.

Veracode yra aPplication apsaugos įmonė. Įkurta 2006 m., ji užtikrina „SaaS“ taikomųjų programų saugumą, integruojančią programų analizę į kūrimo vamzdynus.

Kibernetinio saugumo srityje dirbate daugiau nei 2 dešimtmečius, kas jus iš pradžių patraukė į šią pramonę?

Mano susidomėjimas kibernetiniu saugumu atsirado tik kelerius metus, kai pradėjau dirbti technologijų srityje. Ilgą laiką dirbau kompiuterių ir technologijų srityje ir maždaug 2000 metų kažkas, kurį pažinojau, įkūrė kibernetinio saugumo įmonę ir pakvietė mane prisijungti prie jos. Anksčiau turėjau mažai žinių apie kibernetinį saugumą, bet kai jau įsitraukiau, visa kita yra istorija.

Iš pradžių pradėjote savo karjerą „Veracode“ kaip paslaugų teikimo viceprezidentas 2006 m., o nuo to laiko tapote generaliniu direktoriumi. Kokie buvo pagrindiniai šios patirties pavyzdžiai?

Jaučiuosi privilegijuota būdama šioje kelionėje. Per 17 darbo metų dirbau beveik visose „Veracode“ pareigose ir man svarbiausia yra tai, kad sėkmingo verslo plėtra – tai visų pirma komandinis sportas. Perėjęs iš paslaugų teikimo viceprezidento į generalinį direktorių, sužinojau, kad jūsų pasiekimų greitį ir mastą lemia ne vienas asmuo, o jungiamasis audinys ir bendros pastangos visoje organizacijoje. Taip pat įgavau empatijos skirtingų vaidmenų reikalavimams, nes turėjau atlikti daugumą jų nuo mūsų dienų iki tol, kol nebuvo gauta pajamų, iki pasaulinės organizacijos, kokia dabar esame.

Veracode įsivaizduoja pasaulį, kuriame programinė įranga nuo pat pradžių kuriama saugiai. Ar galite aptarti, kodėl įmonės turėtų anksti integruoti taikomųjų programų saugumą į programinės įrangos kūrimo gyvavimo ciklą?

Programinė įranga yra pagrindas organizacijoms ir įmonėms, kurios turi suvokti, kad programų saugumo ankstyvas integravimas į programinės įrangos kūrimo ciklą (SDLC) yra ne tik teisingas, bet ir protingas dalykas. Laukimas, kol bus aptiktas ir ištaisytas pažeidžiamumas vėlesniuose SDLC etapuose arba po to, kai programa pradeda veikti, kainuoja labai daug. Anot NIST, gamybos pažeidžiamumų taisymas kainuoja 30 kartų brangiau nei anksčiau. Be to, kūrėjas patiria nelinksmą patirtį, kai jie bando pateikti funkcionalumą rinkai, o saugumo patikros sustabdo šį procesą. Idealus procesas apima testavimą IDE ir CI/CD konvejeryje. Pats kodo kūrimo procesas tampa saugaus kodo kūrimo procesu, kai saugumo testavimas ir taisymas yra giliai integruoti į SDLC įrankių grandinę.

Veracode padeda įmonėms kurti ir vykdyti keičiamo dydžio AppSec ir DevSecOps programas. Skaitytojams, kurie nėra susipažinę su šiais terminais, ar galėtumėte juos apibrėžti mums?

AppSec yra trumpinys „programų sauga“ ir reiškia įrankius, politiką ir praktiką, kurios gali būti naudojamos kuriant programą, užtikrinančią kodo saugumą vidaus programinės įrangos kūrimo metu, taip pat trečiųjų šalių programose, atvirojo kodo kodą ir išplėstinį programinės įrangos tiekimą. grandine. „DevSecOps“, taip pat žinomas kaip „saugus devops“, yra požiūris, kad saugumas yra integruotas visame SDLC, nuo reikalavimų iki architektūros ir dizaino, kodavimo, testavimo, išleidimo ir diegimo. Iš esmės tai reiškia, kad visi, dalyvaujantys programinės įrangos kūrime, yra atsakingi už programų saugumą. Abu jie eina koja kojon, nes jų tikslas yra priimti geresnius saugumo sprendimus ir teikti saugesnę programinę įrangą su didesniu greičiu ir efektyvumu.

Ar galėtumėte trumpai aptarti kai kuriuos skirtingus siūlomus sprendimus, pvz., Veracode SAST, Veracode SCA ir Veracode DAST?

Veracode statinė analizė (SAST), kuris įtraukia saugumą visame organizacijos SDLC, kad kūrėjai galėtų įrašyti saugų kodą į savo integruotą kūrimo aplinką (IDE), automatizuoja nuskaitymą jos nuolatinio integravimo ir nuolatinio integravimo / nuolatinio diegimo (CI / CD) vamzdynuose ir užtikrina politikos laikymąsi prieš dislokuojant. Jis padeda valdyti riziką nuskaitydamas kodą ir aptikdamas trūkumus, o tada apibrėžia rezultatus ir suteikia kūrėjams kontekstines gaires, kaip teikti pirmenybę pastangoms, pašalinti esminius trūkumus ir sumažinti riziką.

Veracode programinės įrangos sudėties analizė (SCA) automatizuoja visų komponentų, sudarančių programą, radimą ir nurodo veiksmus, skirtus jų rizikai valdyti. SCA mašininio mokymosi ir automatinio taisymo galimybės nustato pataisymus, siekiant tai padaryti kuo mažiau trikdant gamybą.

Galiausiai, Dinaminė analizė (DAST) yra „Veracode“ išmaniosios programinės įrangos saugos platformos dalis, leidžianti saugos komandoms atskleisti atakų paviršius, kurių egzistavimo jie niekada nežinojo, rasti vykdymo aplinkos pažeidžiamumą ir gauti išsamų savo žiniatinklio programų ir API saugos vaizdą.

Balandžio 18, 2023, „Veracode“ pristatė išmaniosios programinės įrangos apsaugą Pristačius Veracode Fix – įrankį, kuris išnaudoja GPT (Generative Pre-Tained Transformer) technologijos galią. Kodėl GPT buvo toks svarbus proveržis kibernetinio saugumo srityje?

Programinės įrangos kūrimo ir saugos komandos veržėsi tiesiog stovėti vietoje. Daugelį metų programinės įrangos saugumas buvo susijęs su bandymais, siekiant surasti problemas, tačiau kiekvienai rastai problemai reikia išspręsti rankiniu būdu atliekamą užduotį. Kūrėjai dažnai įpareigojami praleisti laiką, kurio jie neturi, taisyti nesuprantamus saugos trūkumus kode, kurio jie nesukūrė... tik tam, kad per laiką, kurio reikia vienam trūkumui ištaisyti, dar du sukuriami kitur. Permainų poreikis yra akivaizdus.

„Veracode Fix“ užtikrina šią transformaciją, perkeldama paradigmą nuo paieškos iki pataisymo ir pažymėdama išmaniosios programinės įrangos saugumo atsiradimą. Panaudodama dirbtinio intelekto (AI) galią automatiškai generuoti nesaugios programinės įrangos pataisymus, „Veracode Fix“ pagaliau automatizuoja klaidų taisymą ir iš naujo subalansuoja programinės įrangos saugumo aplinką. Skirtingai nuo daugelio generuojamųjų AI kodavimo įrankių, „Veracode Fix“ nėra apmokytas atvirojo kodo ar kodo gamtoje ir nenaudoja arba nesaugo klientų duomenų modeliui išmokyti.

Vietoj to, apmokėme „Veracode Fix“ naudoti patentuotą, kuruojamą duomenų rinkinį su prižiūrimu mokymusi ir derinimu iš mūsų pirmaujančių saugos tyrėjų ir programų saugos konsultantų komandos, kad suteiktų bendrą „Veracode“ patirtį ir žinias naudojant paprastą ir galingą patirtį: „Veracode“ galia yra po ranka.

Veracode Fix įrankis perkelia paradigmą nuo AI vien tik problemų nustatymo prie problemų sprendimo. Ar galite aptarti kai kuriuos šio siūlomus mastelio keitimo privalumus?

Organizacijoms teko rinktis – ištaisyti programinės įrangos saugos trūkumus ir laikytis griežtų terminų, kad kodas būtų pradėtas gaminti. Naudojama dirbtinio intelekto ir patentuoto Veracode duomenų rinkinio, „Veracode Fix“ taupo kūrėjų laiką, nes leidžia greitai parašyti saugesnį kodą. Tai reiškia, kad trūkumai, kuriems pašalinti prireiktų valandų ir kurie truktų mėnesius, dabar gali būti pašalinti per kelias minutes. Didinimo nauda akivaizdi – kūrėjai dabar gali greičiau sukurti daugiau programinės įrangos ir taip saugiai diegti naujoves.

Kiek reikia žmogaus įsikišimo, kad būtų išspręsta problema, ir kur žmonės atsižvelgia į tokio tipo kibernetinį saugumą?

Nepaisant automatizavimo programinės įrangos kūrimo procese, saugos trūkumai, ypač pirmosios šalies kode, buvo pašalinti tik per daug apkrautų ir nepakankamai palaikomų kūrėjų rankomis. Iki dabar.

„Veracode Fix“ naudoja mašininį mokymąsi, kad sukurtų siūlomus pataisymus, kuriuos kūrėjai gali peržiūrėti ir įdiegti neįrašydami jokio kodo.

Svarbu pažymėti, kad „Veracode Fix“ automatiškai nepataiso kodo, o siūlo pataisymus. Tada kūrėjas peržiūri ir įdiegia pataisymus neįrašydamas jokio kodo. Tai taupo kūrėjų laiką, pagreitina saugų vystymąsi ir leidžia valdyti riziką bei apmokėti skolą už saugą su mažesnėmis pastangomis ir sąnaudomis.

Ar dar ko nors norėtumėte pasidalinti apie Veracode?

Technologijos nuolat tobulėja, Veracode taip pat, tačiau tikslas išliko toks pat nuo 2006 m.: apsaugoti programinę įrangą dideliu mastu. Kaip Veracode pradėjo AppSec daugiau nei prieš 17 metų, mes dabar esame pažangios programinės įrangos saugos pionieriai. Mūsų produktai ir naujovės, pvz., Veracode Fix, tai liudija.

„Veracode“ įkūrė Chrisas Wysopal, buvęs baltųjų skrybėlių įsilaužėlis, tapęs kibernetinės politikos influenceriu. 1998 m., kaip įsilaužėlių kolektyvo „L0pht“ narys, Chrisas liudijo JAV Senato komitete, nagrinėjančiam vyriausybės kibernetines problemas, sakydamas, kad kibernetinių tinklų pardavėjai turi daryti geriau – jie turi spręsti problemą.

Nuo pat įkūrimo Veracode išaugo nuo startuolio iki pasaulinio verslo, turinčio daugiau nei 2,600 klientų – ir kokia nuostabi kelionė buvo stebėti, kaip atsiskleidžia per visus šiuos metus. Tai dėka mūsų įsipareigojimo padėti klientams įveikti didžiausius iššūkius: integruoti saugumą į SDLC; pastato kūrėjo saugumo kompetencija; programinės įrangos tiekimo apsauga; žiniatinklio programų atakų paviršiaus rizikos valdymas; ir debesies vietinių programų kūrimo užtikrinimas. Esame 10 kartų „Gartner Magic Quadrant“ lyderiai taikomųjų programų saugumo testavimo srityje – vienas nuodugniausių mūsų pramonės įvertinimų – ir bėgant metams sulaukėme daugybės pramonės apdovanojimų.

Vietovė, kuria ypač didžiuojamės, yra kultūra, kurią puoselėjome per visą savo istoriją. Praėjusiais metais „The Boston Globe“ Veracode buvo paskelbta geriausia 2022 m. darbo vieta, o „Energage“ – 2023 m. Mums buvo suteikta garbė ir nuolankumas gavę šiuos apdovanojimus, nes didžiuojamės įtraukia kultūra, kuri ugdo talentus ir leidžia darbuotojams atlikti geriausius rezultatus.

Dėkojame už puikų interviu, skaitytojai, norintys sužinoti daugiau, turėtų apsilankyti „Veracode“.