ярилцлага
Arnica-ийн Гүйцэтгэх захирал, үүсгэн байгуулагч Нир Валтман - Ярилцлагын цуврал
Нир Валтман бол гүйцэтгэх захирал бөгөөд үүсгэн байгуулагч юм Арника, Аж ахуйн нэгжүүдэд аюулгүй байдлын өдөр тутмын үйл ажиллагааг автоматжуулж, хөгжүүлэгчдэд эрсдэл учруулахгүй, хурдыг алдагдуулахгүйгээр аюулгүй байдлаа эзэмших боломжийг олгох замаар програм хангамжийн хангамжийн сүлжээг эрсдэлээс идэвхтэй хамгаалах боломжийг олгодог платформ юм.
Таныг кибер аюулгүй байдалд анх юу татсан бэ?
Би хакердах сэтгэлгээтэй өссөн. Би 13 настай байхдаа анхны кодчиллын курс дээрээ компьютерийн лабораторийг устгаж, код бичих чадвар багатай бусад компьютерт нэвтэрч эхэлсэн. Би Израилийн армийн албанд элсэхдээ аюулгүй байдлын хамгаалалтын чиглэлээр практик боловсрол эзэмшсэн бөгөөд энэ нь эцэстээ кибер аюулгүй байдлын чиглэлээр миний мэргэжлийн карьерт хүргэсэн.
Та Арникагийн үүслийн түүхийг хуваалцаж болох уу?
Арникагаас өмнө би Финастра хэмээх дэлхийн гурав дахь том Финтек компанид аюулгүй байдлын дэд даргаар ажиллаж байсан. Алдарт Solarwinds-ийн тоос дөнгөж шингэж байсан бөгөөд манай гүйцэтгэх захирал надаас програм хангамжийн хангамжийн сүлжээний халдлагад өртөх эрсдэлийг хэрхэн бууруулах талаар асуув. Бид энэ орон зайд шийдэл гаргаж буй компаниудын иж бүрэн үнэлгээг хийсэн бөгөөд тэдгээрийн цөөн хэдэнтэй нь бид концепцийн нотолгоог хийсэн. Борлуулагчдын аль нь ч бидний хайж байсан зүйлд тохирохгүй байсан: иж бүрэн хамрах хүрээ, эрсдэлийг идэвхтэй бууруулах, хөгжүүлэгчийн гайхалтай туршлага. Ялангуяа хөгжүүлэгчийн туршлагын тал нь маш чухал байсан, учир нь тэдний ажлын урсгалыг тасалдуулж байсан хөгжүүлэгчдэд миний ногдуулсан аливаа шийдлийг үгүйсгэж, бид дахин эхний байрандаа орох болно.
Шийдэл ололгүйгээр би сүүлийн 5 жилийн хугацаанд тохиолдсон програм хангамжийн хангамжийн сүлжээний халдлагыг судлахаар шийдсэн бөгөөд гол шинж тэмдгүүд болон түүнээс хэрхэн сэргийлэх талаар ойлголттой болсон. Үүний зэрэгцээ би хоёр найз болох Эран Медан (CTO) болон Дико Дахан (COO) нартай ярилцсан бөгөөд тэд хөгжил, үйл ажиллагааны манлайллын арвин туршлагатай. Эран, Дико нар шийдлийг олоход ижил төстэй сорилтуудыг илэрхийлсэн - Дико технологийн үйл ажиллагааны үүднээс, Эран хөгжлийн үүднээс. Бид бүгд ямар нэгэн шийдэлд хоосон гарч ирж байсан тул шийдэл ямар байх ёстой гэсэн таамаглал дэвшүүлсэн. Бид аюулгүй байдал, үйл ажиллагаа, инженерийн удирдагчидтай олон арван баталгаажуулалтын дуудлага хийсэн бөгөөд энэ нь асуудал болон шаардлагатай шийдлийн талаарх бидний таамаглалыг хоёуланг нь баталгаажуулсан. 2021 оны XNUMX-р сар хүртэл хэдэн сарын дараа бид Arnica-г үүсгэн байгуулсан.
Arnica нь зан төлөвт суурилсан аюулгүй байдлыг хангадаг. Та зан төлөвт суурилсан аюулгүй байдал гэж юу болохыг тодорхойлж чадах уу?
Хэрэв хэн нэгэн танд гараар бичсэн тэмдэглэл өгөөд үүнийг бичсэн гэж хэлсэн бол та үүнийг өөрөө бичсэн эсэхийг мэдэх боломжтой байх. Жишээлбэл, гар бичмэл нь таных биш бол уг тэмдэглэл таныг төрөхөөс өмнө огноотой, франц хэлээр бичигдсэн бол (та үүнийг хэрхэн ярьж, бичихээ мэдэхгүй) та зохиогч биш гэдэг нь тодорхой болно. Олон мянган хүчин зүйлээс бүрдэх хөгжүүлэгч бүрийн профайлыг (машины сургалтын онцлог гэж нэрлэдэг) бий болгохоос бусад тохиолдолд бид кодтой ижил төстэй хандлагыг баримталдаг. Хөгжүүлэгчдийн хандлага, зан үйлийг ажигласнаар бид тэдний хөгжлийн ердийн хэв маягаас гажсан эрсдлийг зогсоож чадна. Энэ нь бидэнд данс булаалт, дотоод аюул болон програм хангамж хөгжүүлэхтэй холбоотой бусад эрсдлийг зогсооход тусалдаг.
Та платформ нь хөгжүүлэгч бүрийн ажлын нарийн ширийн зүйлийг хэрхэн тодорхойлох талаар ярилцаж чадах уу?
Арника нь хөгжүүлэгч бүрийн зан үйлийн хурууны хээг бий болгохын тулд түүхэн аудит болон кодын хувь нэмрийг ашигладаг. Энэхүү хурууны хээ нь хөгжүүлэгчийн зөвшөөрлийн ашиглалт, кодчилолын хэв маяг, хэллэг, хөгжүүлэлтийн практикт мэдэгдэж байгаа болон хүлээгдэж буй зан төлөвийг илэрхийлдэг. Дараа нь бид ирээдүйн бүх үйл ажиллагааг хурууны хээгээр харьцуулж, ирээдүйн кодыг энэ зохиогчоос авсан байх магадлалыг тодорхойлох боломжтой.
Систем хэвийн бус үйлдлийг тэмдэглэвэл юу болох вэ?
Бид үргэлж аюулгүй байдлын үнэ цэнийг нэмэгдүүлэхийн зэрэгцээ хөгжлийн үрэлтийг арилгахыг хичээдэг. Arnica нь хөгжүүлэгчийн акаунтаас хэвийн бус үйлдлийг илрүүлэх үед бид үүнийг Arnica-д тэмдэглэж, таны бодлогын тохиргоонд тулгуурлан тухайн хөгжүүлэгч болон хамгаалалтын баг руу шууд чатаар дамжуулан нэмэлт баталгаажуулалтыг автоматаар илгээдэг.
Арника кодын аудит хийхэд хэрхэн тусалдаг вэ?
Arnica нь хөгжүүлэгчид кодын өөрчлөлтийг түлхэх үед бодит цагийн мэдэгдлүүдийг өгч, татах хүсэлтэд хүрэх эрсдлийн тоог бууруулдаг. Татаж авах хүсэлтэд хүрч болох эрсдэлүүдийн хувьд Arnica нь PR дээр автомат код шалгалтыг нэвтрүүлдэг. Эрсдэлийг илрүүлэх үед Арника эрсдэл тус бүрийн эрсдэлийн дэлгэрэнгүй мэдээлэл, бууруулах нөхцөл байдлын талаар тайлбар өгдөг. Arnica нь эрсдэлтэй газруудад нэгдэхийг автоматаар хааж, үйлдвэрлэлийн код руу орохоос сэргийлдэг.
Arnica нь гуравдагч талын эмзэг хамаарлыг тодорхойлох боломжийг олгодог. Та энэ нь хөгжүүлэгчдэд хэрхэн ажилладаг талаар ярилцаж болох уу?
Arnica нь код түлхэх бүр дээр гуравдагч талын бүх багц болон эрсдлийг сканнердаж, хөгжүүлэгчид эмзэг хувилбаруудыг ашиглах эсвэл кодын баазад нэр хүнд багатай багцыг нэвтрүүлэх үед ChatOps-ээр шууд мэдэгддэг.
Arnica платформоос санал болгож буй бусад функцууд юу вэ?
Arnica нь програм хангамжийн хангамжийн гинжин хэлхээний бүх эрсдэлд харагдахуйц байх, эдгээр эрсдлийг эрэмбэлэх, шинэ эрсдлийг хялбархан зогсоож, одоо байгаа эрсдлийг засах боломжтой програм хангамжийн аюулгүй байдлын багуудыг платформоор хангахад чиглэгддэг. Бид энэ чадварыг хөгжүүлэгчийн хэт их зөвшөөрөл, SAST (Статик програмын аюулгүй байдлын тест) болон IaC (код хэлбэрээр дэд бүтэц) сканнердсанаас үүдэлтэй кодын эрсдэл, хатуу кодлогдсон нууц, гуравдагч этгээдийн хамаарал гэх мэт олон төрлийн эрсдэлийн ангилалд олгодог.
Арникагийн талаар хуваалцахыг хүссэн өөр зүйл байна уу?
Arnica-д бид хэрэглээний болон нийлүүлэлтийн сүлжээний аюулгүй байдлын шийдлүүдийг боловсруулахын хэрээр өөрсдийгөө хөгжүүлэгчийн туршлагатай компани гэж боддог. Бид аюулгүй байдлын асуудлыг шийдвэрлэхэд саадгүй, тааламжтай туршлага болгохыг хүсч байна. Жишээлбэл, бидний нууцыг бууруулах шийдлийг авч үзье. Бид код түлхэх үед нууцыг тодорхойлж, баталгаажуулж, хөгжүүлэгчийн сонгосон чатын хэрэглүүрт мэдэгдэл илгээдэг. Мэдэгдэл нь хөгжүүлэгчид ямар нэгэн git команд бичих шаардлагагүйгээр git түүхийн бүх нууцыг арилгадаг "Надад зориулж засаарай" гэсэн товчлуурыг өгдөг. Зүгээр л нэг товшилт.
Хэрэв бид аюулгүй байдлыг хөгжүүлэлтийн туршлагын хялбар бөгөөд тааламжтай хэсэг болгож чадвал Arnica-г ашигладаг байгууллага бүр илүү сайн байх болно гэдэгт бид итгэдэг.
Сайхан ярилцлага өгсөнд баярлалаа, илүү ихийг мэдэхийг хүссэн уншигчид маань зочлоорой Арника.
