Connect with us

Interviews

Varun Badhwar, Oprichter & CEO van Endor Labs – Interviewreeks

mm
Published
Updated

Varun Badhwar, Oprichter & CEO van Endor Labs, is een cybersecurity-ondernemer die erkend wordt voor het opbouwen en leiden van bedrijven aan de voorlopers van cloud- en applicatiebeveiliging. Sinds 2021 leidt hij Endor Labs, dat zich richt op het beveiligen van AI-gedreven softwareontwikkeling. Eerder was hij SVP & GM van Prisma Cloud bij Palo Alto Networks en oprichter van RedLock, een cloudbeveiligingsstart-up die is overgenomen door Palo Alto Networks.

Endor Labs is een applicatiebeveiligingsplatform gebouwd voor de AI-tijdperk, ontworpen om engineering- en beveiligingsteams te helpen om snelheid en veiligheid in softwareontwikkeling in balans te brengen. Het platform integreert functies zoals bereikbaarheidsgebaseerde softwarecompositieanalyse, SAST, container-scanning, geheime detectie en CI/CD-pijpleidingbescherming in een unified view, waardoor teams kunnen identificeren welke kwetsbaarheden echt belangrijk zijn en prioriteit kunnen geven aan reparaties. Het omvat ook AI-agents die pull-requests analyseren voor architectuurwijzigingen en risico’s detecteren in AI-gegenereerde code vroeg in de ontwikkelingslevenscyclus.

U heeft eerder grote beveiligingsondernemingen opgebouwd en geschaald — hoe hebben die ervaringen geleid tot de oprichting van Endor Labs, en welk probleem was u het meest vastbesloten om op te lossen aan het begin?

Terug in 2021 was ik bij Palo Alto Networks toen de SolarWinds-breach plaatsvond. Het was massaal. Elke klant die hun software gebruikte, was getroffen, en wij waren geen uitzondering. Toen ik keek hoe we onze eigen software beheerden, realiseerde ik me dat we 450 ingenieurs en 68.000 beveiligingskwetsbaarheden hadden, maar ingenieurs negeerden ze voor het grootste deel. De reden? Een overweldigende 80-90% van de waarschuwingen waren valse positieven, en traditionele tools begrepen niet hoe ontwikkelaars daadwerkelijk werken.

Dat is toen het kwartje viel: moderne softwareontwikkeling is meer alssemblage dan creatie. We verzenden code die voor het grootste deel bestaat uit externe bibliotheken, zonder enkele garantie over kwaliteit of beveiliging. Ik zag de disconnectie tussen beveiligingsteams en ingenieurs, de tegenstrijdige dynamiek en de politieke wrijving. Ik wist dat we applicatiebeveiliging vanaf de grond af aan moesten herbouwen, wat leidde tot de oprichting van Endor Labs.

Endor Labs beschermt nu miljoenen applicaties voor organisaties die variëren van fintech tot SaaS-platforms. Wat voor soort use cases ziet u het meest, en waarom kiezen klanten voor u?

Onze klanten komen naar ons om hun softwareleveranciersketen en ontwikkelaarpipelines te beveiligen. Ze willen open source-afhankelijkheden verifiëren voordat ze in productie gaan, automatisch hoge-risico AI-gegenereerde code markeren en uiteindelijk beveiliging rechtstreeks integreren in ontwikkelaarsworkflows.

Meestal gooien scanners alleen kwetsbaarheden naar ontwikkelaars en lopen weg, waardoor lawaai ontstaat dat ingenieurs uiteindelijk negeren. En met vibe-coding die nu mainstream is, werkt die aanpak gewoon niet. Bij Endor bieden we context-gevoelige analyse en actiegerichte inzichten, zodat beveiligings- en engineeringteams elkaar weer kunnen vertrouwen.

Ontwikkelaars worden vaak geconfronteerd met spanning tussen snelheid en beveiliging. Hoe helpt uw platform bij het oplossen van die uitdaging?

Snelheid versus veiligheid is het oudste dilemma in softwareontwikkeling. Vibe-coding heeft dat dilemma alleen maar meer benadrukt. Vijfenveertig procent van de ontwikkelaars gebruiken dagelijks AI-assistenten, wat de snelheid versnelt maar ook onveilige code introduceert.

Bij Endor Labs integreren we beveiliging rechtstreeks in de workflows die ontwikkelaars al gebruiken. Denk aan IDE’s, pull-requests, Git-pipelines. Onze filosofie is eenvoudig: beveiliging is gewoon een andere soort bug. Behandel het als elke andere softwarebug, en het wordt onderdeel van het natuurlijke ontwikkelingsproces in plaats van een afterthought. Door lawaai te verminderen en duidelijke richtlijnen te bieden, maken we het mogelijk voor ontwikkelaars om snel te bewegen terwijl ze nog steeds ervoor zorgen dat de software die ze verzenden veilig is.

Valse positieven zijn een van de grootste pijnpunten in beveiliging. Hoe benaderen jullie dat probleem op een andere manier?

Valse positieven zijn enorm. Ik heb ingenieurs zien negeren significante waarschuwingen omdat ze betekenisloos zijn. Dat is gevaarlijk in een wereld waarin aanvallen van derden met twee cijfers toenemen en tegenstanders zijdeuren in ontwikkelaarpipelines exploiteren.

Onze aanpak is om context te prioriteren. In plaats van elke Common Vulnerability and Exposure (CVE) te koppelen aan een afhankelijkheid, analyseren we de codepad, bedrijfslogica en zelfs AI-gegenereerde ontwerpveranderingen. We hebben ook de Endor Labs Model Context Protocol (MCP) Server ontwikkeld, die het mogelijk maakt voor AI-agents om naar backend-tools te bellen voor precieze reparaties in plaats van hallucineerde. Andere tools kunnen deze precisie niet bieden omdat ze de applicatiecontext ontbreken. Ze weten niet wat uw code doet, hoe uw services met elkaar communiceren of wat een veilige reparatie is. Het resultaat is minder betekenisloze waarschuwingen en meer pragmatische richtlijnen die ontwikkelaars daadwerkelijk kunnen uitvoeren.

De softwareleveranciersketen wordt nu gezien als een van de meest urgente risico’s voor ondernemingen. Waarom is dit probleem zo kritiek vandaag?

Open source domineert nu ondernemingssoftware, en softwareontwikkeling is getransformeerd in software-assemblage. Ongeveer 90% van de componenten in moderne applicaties zijn extern, en AI-coding-assistenten introduceren nog meer afhankelijkheden automatisch. Dat betekent dat een enkele kwetsbaarheid zich kan verspreiden over miljoenen applicaties.

De inzet is hoog: regulators kaderen open source nu als een nationale veiligheidskwestie. En aanvallen zoals de recente Shai-Hulud npm-exploit laten zien hoe tegenstanders deze zwakke punten actief aanvallen. Zonder de juiste railingen zijn ondernemingen blootgesteld aan een massive schaal.

AI transformeert hoe software wordt gebouwd. Wat voor soort nieuwe risico’s creëert dit voor applicatiebeveiliging?

AI-assistenten zijn als het inhuren van duizenden stagiairs tegelijk — ze kunnen productiviteit verhogen maar ook chaos introduceren als ze onbeheerd worden gelaten. Studies tonen 62% van AI-gegenereerde code heeft beveiligings-, kwaliteits- of architectuurproblemen. Behalve bekende CVE’s, omvatten deze logische fouten, nieuwe API-eindpunten of cryptografische fouten die legacy-tools nooit waren ontworpen om te detecteren.

De nieuwe uitdaging is het schalen van beveiligde codereview. Afhankelijk zijn van overbelaste senior-ingenieurs om elke pull-request handmatig te controleren, werkt niet. U hebt geautomatiseerde systemen nodig die ontwikkelaars kunnen controleren, prioriteren en leiden op hetzelfde tempo als AI code genereert.

Sommigen beweren dat AI meer kwetsbaarheden introduceert dan het voorkomt. Ziet u het als een netto-risico of een netto-voordeel op dit moment?

Het kan beide zijn. AI is fantastisch voor prototyping en experimenten, maar onervaren ontwikkelaars die afhankelijk zijn van AI, kunnen een blinde leiden de blinde-situatie creëren. De manier om die vergelijking om te keren, is door AI te koppelen aan beveiligingsrailingen. Met de juiste review-systemen en MCP-geleide reparaties op hun plaats, kunt u AI van een netto-risico in een netto-voordeel omzetten. Zonder hen, overwegen de risico’s de voordelen.

Met AI-gegenereerde code die meer gemeengoed wordt, welke waarborgen moeten organisaties in stellen om vertrouwen te hebben in wat ze implementeren?

Behandel AI-gegenereerde code als elke andere externe afhankelijkheid. Dat betekent continue monitoring, geautomatiseerde verificatie en railingen op elk stadium van de pijplijn. U moet ook ervoor zorgen dat uw AI-reviewtools zijn getraind op hoogwaardige, beveiligde code — niet alleen willekeurige GitHub-repositories.

En ga verder dan detectie. Wanneer een riskante afhankelijkheid wordt gemarkeerd, moeten uw tools de upgrade-paden aanbevelen die uw app niet breken. Dat is het verschil tussen chaos en controle. Ik denk dat het als bumperbanen in bowling is: de bal beweegt nog steeds snel, maar blijft op het spoor.

Transparantie is centraal in uw leiderschapsstijl. Hoe beïnvloedt het delen van zowel successen als tegenslagen de cultuur en prestaties?

We streven naar radicale transparantie bij Endor Labs. Dat betekent het delen van zowel de goede als de slechte dingen — en niet alleen het bedrijfspresteren, maar ook dingen zoals aandelenplannen en strategische risico’s. Medewerkers zijn volwassenen. Ons team kan de realiteit aan. Openheid bouwt vertrouwen, betrokkenheid en eigendom op, en helpt mensen betere beslissingen te nemen.

U geeft vaak opkomende leiders vroeg in hun carrière de mogelijkheid om te groeien. Wat voor advies geeft u aan eerstejaars managers die grote verantwoordelijkheden op zich nemen?

Ik geef veelbelovende teamleden grote rollen vroeg en vertrouw hen om te groeien in de positie. Met mentorship en ondersteuning, leren ze snel. Mijn advies: omarm verantwoordelijkheid, leer van fouten en bouw geloofwaardigheid op door actie. Mensen verrassen je vaak met wat ze kunnen bereiken als je ze de ruimte geeft.

Kijkend naar de toekomst, vijf jaar vooruit, wat ziet u als de grootste kansen en uitdagingen in het beveiligen van de softwareleveranciersketen?

Met AI-coding-assistenten en citizen developers die workflows herschikken, hebben we systemen nodig die als een “beveiligingspairprogrammeur” werken die elke pull-request in real-time controleren, beveiligde codereviews schalen en ontwikkelaars context geven die ze kunnen vertrouwen. Dat is waarom we bij Endor Labs onze MCP-server en multi-agentarchitectuur hebben gebouwd, die al helpen om klanten in het tempo van AI-natieve ontwikkeling te houden.

De uitdaging is dat de leveranciersketen zelf alleen maar complexer wordt. Vandaag is code grotendeels geassembleerd uit externe componenten, en elke nieuwe AI-tool introduceert nog een laag van afhankelijkheid. Bedrijven die hun modellen niet opnieuw overwegen, zullen zichzelf blootstellen.

We zien deze urgentie zich afspelen in real-time — Endor Labs beschermt nu meer dan 7 miljoen applicaties, scannen 1,6 miljoen pull-requests per maand en reduceert lawaai met meer dan 90% voor engineeringteams. Over vijf jaar zijn de organisaties die bovenaan komen, degenen die beveiligde coding behandelen als een kernonderdeel van ontwikkelaarsproductiviteit.

Bedankt voor het geweldige interview, lezers die meer willen leren, moeten Endor Labs bezoeken.

Related Topics:
mm

Antoine is een visionaire leider en oprichtend partner van Unite.AI, gedreven door een onwankelbare passie voor het vormgeven en promoten van de toekomst van AI en robotica. Een seriële ondernemer, hij gelooft dat AI net zo disruptief voor de samenleving zal zijn als elektriciteit, en wordt vaak betrapt op het enthousiast praten over het potentieel van disruptieve technologieën en AGI. Als een futurist, is hij toegewijd aan het onderzoeken van hoe deze innovaties onze wereld zullen vormgeven. Bovendien is hij de oprichter van Securities.io, een platform dat zich richt op investeren in cutting-edge technologieën die de toekomst opnieuw definiëren en hele sectoren herschappen.