intervjuer

Sam King, administrerende direktør i Veracode – Intervjuserie

oppdatert on Juni 7, 2023

Sam King er administrerende direktør i Vera kode og en anerkjent ekspert på bedriftsledelse og cybersikkerhet. Som et grunnleggende medlem av Veracode, har Sam spilt en betydelig rolle i selskapets vekstbane de siste 17 årene, og bidratt til å modne det fra en liten oppstart til et selskap med en verdi på 2.5 milliarder dollar pluss.

Veracode er en aPROGRAM sikkerhetsselskap. Grunnlagt i 2006, gir det SaaS-applikasjonssikkerhet som integrerer applikasjonsanalyse i utviklingspipelines.

Du har vært involvert i cybersikkerhet i over 2 tiår, hva tiltrakk deg først til bransjen?

Min interesse for cybersikkerhet kom ikke før flere år inn i min teknologikarriere. Jeg jobbet lenge med datamaskiner og teknologi, og rundt 2000 grunnla noen jeg kjente et cybersikkerhetsselskap og inviterte meg til dem. Jeg hadde tidligere lite kunnskap om cybersikkerhet, men når jeg først ble involvert, er resten historie.

Du begynte din karriere med Veracode som VP of Service Delivery i 2006 og har siden jobbet deg opp til administrerende direktør. Hva har vært noen viktige ting fra denne opplevelsen?

Jeg føler meg privilegert som har vært på denne reisen. Jeg har jobbet i nesten alle funksjoner hos Veracode i løpet av mine 17 år i selskapet, og det viktigste for meg er at det å vokse en suksessrik virksomhet er – fremfor alt – en lagsport. Da jeg gikk fra VP of Service Delivery til CEO, lærte jeg at det ikke er én person, men bindevevet og den kollektive innsatsen på tvers av organisasjonen som styrer hastigheten og omfanget av prestasjonene dine. Jeg fikk også empati for kravene til forskjellige roller etter å ha måttet utføre de fleste av dem fra dagene før inntektene våre til den globale organisasjonen vi er nå.

Veracode ser for seg en verden der programvare utvikles sikkert fra starten. Kan du diskutere hvorfor bedrifter bør integrere applikasjonssikkerhet tidlig i programvareutviklingens livssyklus?

Programvare er den underliggende strukturen til organisasjoner og bedrifter må innse at integrering av applikasjonssikkerhet tidlig i programvareutviklingslivssyklusen (SDLC) ikke bare er den rette tingen å gjøre, men det er også den smarte tingen å gjøre. Kostnaden for å vente med å oppdage og fikse sårbarheter i de senere stadiene av SDLC eller etter at applikasjonen har gått live er ekstremt høy. Ifølge NIST er det 30 ganger kostnaden å fikse sårbarheter i produksjonen enn tidligere. Videre gir det en frustrerende opplevelse for en utvikler når de prøver å få funksjonalitet ut på markedet, og sikkerhetssjekker holder opp prosessen. Den ideelle prosessen inkluderer testing i IDE og CI/CD-rørledningen. Selve prosessen med å utvikle kode blir prosessen med å utvikle sikker kode når sikkerhetstesting og utbedring er dypt integrert i SDLC-verktøykjeden.

Veracode hjelper bedrifter med å bygge og utføre skalerbare AppSec- og DevSecOps-programmer. For lesere som ikke er kjent med disse begrepene, kan du definere dem for oss?

AppSec er forkortelse for "applikasjonssikkerhet" og refererer til verktøyene, retningslinjene og praksisene som kan brukes til å utvikle et program som sikrer at koden er sikker på tvers av intern programvareutvikling så vel som tredjepartsapplikasjoner, åpen kildekode og den utvidede programvareforsyningen kjede. DevSecOps, også kjent som "secure devops", er tankegangen om at sikkerhet er integrert gjennom hele SDLC, fra krav til arkitektur og design, koding, testing, utgivelse og distribusjon. I hovedsak betyr dette at alle som er involvert i programvareutvikling er ansvarlige for applikasjonssikkerhet. De to går hånd i hånd når de deler målet om å ta bedre sikkerhetsbeslutninger og levere tryggere programvare med større hastighet og effektivitet.

Kan du kort diskutere noen av de forskjellige løsningene som tilbys, for eksempel Veracode SAST, Veracode SCA og Veracode DAST?

Veracodes statiske analyse (SAST), som bygger inn sikkerhet gjennom hele en organisasjons SDLC slik at utviklere kan skrive sikker kode i sitt integrerte utviklingsmiljø (IDE), automatiserer skanninger i sin kontinuerlige integrering og kontinuerlige integrering/kontinuerlige utrulling (CI/CD) pipeline og sikrer overholdelse av retningslinjer før utplassering. Den hjelper til med å håndtere risiko ved å skanne kode og finne feil – deretter tester den funn og gir utviklere kontekstuell veiledning for å prioritere innsats, fikse kritiske feil og redusere risiko.

Veracodes programvaresammensetningsanalyse (SCA) automatiserer å finne alle komponentene som utgjør en applikasjon og foreskriver handlinger for å håndtere risiko i dem. SCAs maskinlærings- og autoremedieringsfunksjoner foreskriver rettelser – med målet om å gjøre det med minst mulig produksjonsavbrudd.

Til slutt, Dynamisk analyse (DAST) er den delen av Veracodes intelligente programvaresikkerhetsplattform som gjør det mulig for sikkerhetsteam å avdekke angrepsoverflater de aldri visste eksisterte, finne sårbarheter i runtime-miljøer og få en omfattende oversikt over sikkerhetsposisjonen til deres webapplikasjoner og APIer.

I april 18, 2023, Veracode introduserte intelligent programvaresikkerhet med lanseringen av Veracode Fix, et verktøy som utnytter kraften til GPT-teknologi (Generative Pre-trained Transformer). Hvorfor var GPT et så viktig gjennombrudd innen cybersikkerhet?

Programvareutvikling og sikkerhetsteam har spurtet bare for å stå stille. I årevis har programvaresikkerhet dreid seg om testing for å finne problemer, men for hvert problem som er funnet, er det en manuell oppgave å fikse. Utviklere får ofte i oppgave å bruke tid de ikke har, fikse sikkerhetsfeil de ikke forstår, i kode som de ikke har laget... bare for å finne ut av tiden det tar å fikse én feil, to til opprettes andre steder. Behovet for transformasjon er åpenbart.

Veracode Fix leverer denne transformasjonen, skifter paradigmet fra å finne til å fikse og markerer fremveksten av intelligent programvaresikkerhet. Ved å utnytte kraften til kunstig intelligens (AI) for automatisk å generere rettelser for usikker programvare, bringer Veracode Fix endelig automatisering til feilretting og balanserer programvaresikkerhetslandskapet på nytt. I motsetning til de fleste generative AI-kodingsverktøy, er ikke Veracode Fix trent på åpen kildekode eller kode i naturen og bruker eller beholder ikke kundedata for å trene modellen.

I stedet trente vi Veracode Fix på et proprietært, kuratert datasett med overvåket læring og justering fra vårt team av ledende sikkerhetsforskere og applikasjonssikkerhetskonsulenter for å levere Veracodes samlede erfaring og ekspertise i en enkel, kraftig opplevelse: kraften til Veracode til fingerspissene.

Veracode Fix-verktøyet skifter paradigmet fra AI bare å identifisere problemer til å fikse problemer. Kan du diskutere noen av skaleringsfordelene dette gir?

Organisasjoner har måttet velge mellom å utbedre programvaresikkerhetsfeil og møte aggressive tidsfrister for å presse kode i produksjon. Drevet av AI og Veracodes proprietære datasett sparer Veracode Fix utviklere tid ved å la dem skrive sikrere kode raskt. Dette betyr at feil som vil ta timer å utbedre og ellers vare i flere måneder, nå kan fikses på minutter. Skaleringsfordelen er klar – utviklere kan nå lage mer programvare raskere og dermed innovere på en sikker måte.

Hvor mye menneskelig intervensjon er nødvendig før et problem løses, og hvor i bildet tar mennesker inn i denne typen nettsikkerhet?

Til tross for automatisering i programvareutviklingsprosessen, har fiksing av sikkerhetsfeil – spesielt i førstepartskode – utelukkende vært avhengig av manuell innsats fra overbelastede og understøttede utviklere. Inntil nå.

Veracode Fix bruker maskinlæring for å generere foreslåtte rettelser som utviklere kan gjennomgå og implementere uten å skrive noen kode.

Det er viktig å merke seg at Veracode Fix ikke automatisk fikser kode, men foreslår rettelser. Utvikleren gjennomgår deretter og implementerer rettelsene uten å skrive noen kode. Dette sparer utviklere for tid, akselererer sikker utvikling og gjør det mulig å håndtere risiko og betale ned sikkerhetsgjeld i stor skala med mindre innsats og kostnader.

Er det noe annet du vil dele om Veracode?

Teknologien er i stadig utvikling og Veracode er det også, men målet har vært det samme siden 2006: å sikre programvare i stor skala. Akkurat som Veracode var banebrytende for AppSec for mer enn 17 år siden, er vi nå banebrytende for intelligent programvaresikkerhet. Våre produkter og innovasjoner, som Veracode Fix, er et bevis på det.

Veracode ble grunnlagt av Chris Wysopal, en tidligere white hat-hacker som ble påvirket av cyberpolitikk. I 1998, som en del av hackerkollektivet L0pht, vitnet Chris foran en amerikansk senatskomité som undersøkte regjeringens cyberspørsmål og sa at cyberleverandører må gjøre det bedre – de må eie problemet.

Siden grunnleggelsen har Veracode vokst fra en oppstart til en global virksomhet med mer enn 2,600 kunder – og for en fantastisk reise det har vært å se utfolde seg gjennom alle disse årene. Det er takket være vår forpliktelse til å hjelpe kunder med deres største utfordringer: integrering av sikkerhet i SDLC; bygningsutviklers sikkerhetskompetanse; beskyttelse av programvareforsyningen; håndtering av overflaterisiko for nettappangrep; og sikre skybasert applikasjonsutvikling. Vi er en 10X leder i Gartner Magic Quadrant for Application Security Testing – en av bransjens mest dyptgående evalueringer av vår bransje – og har mottatt en rekke bransjeutmerkelser gjennom årene.

Et område vi er spesielt stolte av er kulturen vi har pleiet gjennom vår historie. Bare det siste året ble Veracode kåret til en 2022 Top Place to Work av The Boston Globe og en 2023 Top Workplaces USA av Energage. Vi ble beæret og ydmyket over å bli tildelt disse utmerkelsene fordi vi er stolte av en inkluderende kultur som fremmer talent og gjør det mulig for ansatte å yte sitt beste.

Takk for det flotte intervjuet, lesere som ønsker å lære mer bør besøke Vera kode.