Varun Badhwar, grunnlegger og CEO av Endor Labs – Intervju-serie

Varun Badhwar, grunnlegger og CEO av Endor Labs, er en cybersecurity-entrepreneur som er kjent for å bygge og lede selskaper i forkant av sky- og applikasjonssikkerhet. Siden 2021 har han ledet Endor Labs, som fokuserer på å sikre AI-drevet programvareutvikling. Tidligere var han SVP og GM av Prisma Cloud i Palo Alto Networks og grunnlegger av RedLock, en sky-sikkerhetsstartup som ble kjøpt av Palo Alto Networks.

Endor Labs er en applikasjonssikkerhetsplattform bygget for AI-æraen, designet for å hjelpe utviklings- og sikkerhetsteam å balansere hastighet og sikkerhet i programvareutvikling. Plattformen integrerer funksjoner som reachability-basert programvare-sammensetningsanalyse, SAST, container-scanning, hemmelig oppdaging og CI/CD-pipeline-beskyttelse i en samlet visning, som hjelper team å identifisere hvilke sårbarheter som virkelig betyr noe og prioritere fikser. Den inkluderer også AI-agenter som analyserer pull-forespørsler for arkitektur-endringer og oppdager risikoer i AI-generert kode tidlig i utviklingslivssyklusen.

Du bygde og skalaet tidligere store sikkerhetsprosjekter — hvordan ledet disse erfaringene til å grunnlegge Endor Labs, og hva problem var du mest bestemt på å løse fra starten?

Tilbake i 2021 var jeg i Palo Alto Networks da SolarWinds-bruddet skjedde. Det var massivt. Hver eneste kunde som brukte deres programvare var berørt, og vi var ingen unntak. Når jeg gravde dyptere i hvordan vi håndterte vår egen programvare, innsett jeg at vi hadde 450 ingeniører og 68 000 sikkerhets-sårbarheter, men ingeniørene ignorerte mesteparten av dem. Grunnen? En overveldende 80-90% av varslingene var falske positiver, og tradisjonelle verktøy forstod ikke hvordan utviklere faktisk arbeidet.

Det var da det gikk opp for meg: moderne programvareutvikling er mer som montering enn skapelse. Vi leverer kode som for det meste består av tredjeparts-biblioteker, uten noen garantier om kvalitet eller sikkerhet. Jeg så frakoplingen mellom sikkerhetsteam og ingeniører, de motstridende dynamikkene og den politiske friksjonen. Jeg visste vi måtte tenke om applikasjonssikkerhet fra bunnen av, noe som ledet til å grunnlegge Endor Labs.

Endor Labs beskytter nå millioner av applikasjoner for organisasjoner som spenner fra fintech til SaaS-plattformer. Hva slags brukstilfeller ser du mest ofte, og hvorfor vender kundene seg til deg?

Våre kunder kommer til oss for å sikre sine programvare-forsyningskjeder og utvikler-pipelines. De ønsker å verifisere åpne kildeavhengigheter før produksjon, automatisk flagge høyrisiko AI-generert kode og til slutt integrere sikkerhet direkte i utvikler-arbeidsflyten.

De fleste skannere kaster bare sårbarheter mot utviklere og går sin vei, og skaper støy som ingeniørene uunngåelig ignorerer. Og med vibe-koding nå mainstream, fungerer denne tilnærmingen ikke lenger. Hos Endor tilbyr vi kontekst-bevisst analyse og handlebare innsikter, så sikkerhets- og utviklingsteam kan faktisk stole på hverandre igjen.

Utviklere møter ofte spenning mellom å flytte raskt og å holde seg sikre. Hvordan hjelper din plattform å løse denne utfordringen?

Hastighet versus sikkerhet er den eldste dilemmaet i programvareutvikling. Vibe-koding har bare gjort dette valget mer tydelig. Femti prosent av utviklere bruker AI-assistenter daglig, noe som akselererer hastighet, men også introduserer usikker kode.

Hos Endor Labs integrerer vi sikkerhet direkte i arbeidsflytene utviklerne allerede bruker. Tenk IDEer, pull-forespørsler, Git-pipelines. Vår filosofi er enkel: sikkerhet er bare en annen type feil. Behandle det som noe annet programvare-feil, og det blir en del av den naturlige utviklingsprosessen i stedet for en ettertanke. Ved å redusere støy og gi klart veiledning, ermögiler vi utviklere å flytte raskt mens de fortsatt sikrer at programvaren de sender er trygg.

Falske positiver er ett av de største smerte-punkter i sikkerhet. Hvordan nærmer du deg dette problemet annerledes?

Falske positiver er enorme. Jeg har sett ingeniører ignorere betydelige varslings-avsnitt fordi de er meningsløse. Det er farlig i en verden der tredjeparts-angrep vokser i to-sifret tall og motstandere utnytter side-dører i utvikler-pipelines.

Vår tilnærming er å prioritere kontekst. I stedet for å matche hver Common Vulnerability and Exposure (CVE) til en avhengighet, analyserer vi kode-stien, forretnings-logikken og selv AI-genererte design-endringer. Vi har også utviklet Endor Labs Model Context Protocol (MCP) Server, som lar AI-agenter ringe inn i bakende-verktøy for presise fikser i stedet for hallucinerte fikser. Andre verktøy kan ikke tilby denne nivået av presisjon fordi de mangler applikasjons-kontekst. De vet ikke hva din kode gjør, hvordan dine tjenester snakker med hverandre, eller hva en trygg fiksering ser ut som. Resultatet er færre meningsløse varslings-avsnitt og mer pragmatisk veiledning utviklere faktisk kan handle på.

Programvare-forsyningskjeden sees nå som en av de mest kritiske risikoene for bedrifter. Hvorfor er dette problemet så kritisk i dag?

Åpne kilde-komponenter dominerer nå bedrifts-programvare, og programvareutvikling har forvandlet seg til programvare-montering. Omtrent 90 prosent av komponenter i moderne applikasjoner er eksterne, og AI-kode-assistenter introduserer enda flere avhengigheter automatisk. Det betyr at en enkelt sårbarhet kan spre seg over millioner av applikasjoner.

Innsatsen er høy: regulatorer rammer nå åpne kilde-komponenter som en nasjonal sikkerhets-utfordring. Og angrep som det nylige Shai-Hulud npm-angrepet viser hvordan motstandere aktivt tar sikte på disse svake punktene. Uten riktige vegger, er bedrifter utsatt i en enorm skala.

AI transformerer hvordan programvare bygges. Hva slags nye risikoer skaper dette for applikasjonssikkerhet?

AI-assistenter er som å ansette tusenvis av intern-studenter på en gang — de kan øke produktiviteten, men også introdusere kaos hvis de ikke håndteres riktig. Studier viser 62 prosent av AI-generert kode har sikkerhets-, kvalitets- eller arkitektur-problemer. Forbi kjente CVE-er inkluderer disse logiske feil, nye API-endepunkter eller kryptografiske feil som legacy-verktøy aldri var designet til å fange.

Den nye utfordringen er å skalerer sikker kode-gjennomgang. Å stole på overbelastede senior-ingeniører til å manuelt sjekke hver pull-forespørsel fungerer ikke. Du trenger automatiserte systemer som kan gjennomgå, prioritere og veilede utviklere i samme hastighet som AI genererer kode.

Noen hevder AI introduserer flere sårbarheter enn det forebygger. Ser du på det som en nett-risiko eller en nett-gevinst på dette stadiet?

Det kan være begge deler. AI er fantastisk for prototyping og eksperimentering, men uerfarne utviklere som beror på AI kan skape en blind som leder den blinde-scenario. Måten å snu denne ligningen på er ved å pare AI med sikkerhets-vegger. Med riktige gjennomgangssystemer og MCP-drevne fikser på plass, kan du omdanne AI fra en nett-risiko til en nett-gevinst. Uten dem, overveier risikoene fordeler.

Med AI-generert kode som blir mer vanlig, hva slags sikkerhetsforanstaltninger bør organisasjoner sette i verk for å sikre tillit til hva de distribuerer?

Behandle AI-generert kode som noen annen tredjeparts-avhengighet. Det betyr kontinuerlig overvåking, automatisert verifisering og vegger på hver stadium av pipeline-en. Du må også sikre at dine AI-gjennomgangs-verktøy er trent på høykvalitets, sikker kode — ikke bare tilfeldige GitHub-repositorier.

Og gå utenfor oppdaging. Når en risikabel avhengighet er flagget, bør dine verktøy anbefale oppgraderings-stien som unngår å bryte din app. Det er forskjellen mellom kaos og kontroll. Jeg liker å tenke på det som bumper-veger i bowling: ballen beveger seg fortsatt raskt, men den holder seg på sporet.

Gjennomsiktighet er sentral i din ledelsesstil. Hvordan påvirker deling av både seirer og tilbakeslag kulturen og ytelsen?

Vi sikter mot radikal gjennomsiktighet i Endor Labs. Det betyr å dele både det gode og det dårlige — og ikke bare selskaps-ytelse, men også ting som aksje-planer og strategiske risikoer. Ansattene er voksne. Vårt team kan håndtere realiteten. Å være åpen bygger tillit, engasjement og eierskap, og det hjelper mennesker å ta bedre beslutninger.

Du ofte gir fremvoksende ledere tidlig i deres karriere stor ansvar. Hva råd gir du til første-gangs-ledere som tar på seg store ansvar?

Jeg liker å gi lovende team-medlemmer store roller tidlig og stole på at de vokser inn i stillingen. Med veiledning og støtte, lærer de raskt. Min råd: omfavne ansvar, lære av feil, og bygge troverdighet gjennom handling. Mennesker overrasker ofte med hva de kan oppnå når du gir dem rommet.

Ser du for deg de største mulighetene og utfordringene i å sikre programvare-forsyningskjeden de neste fem årene?

Med AI-kode-assistenter og citizen-utviklere som omdefinere arbeidsflyter, vil vi trenge systemer som fungerer som en “sikkerhets-par-programmerer” som gjennomgår hver pull-forespørsel i sanntid, skalerer sikker kode-gjennomgang og gir utviklere kontekst de kan stole på. Det er hvorfor vi bygde vår MCP-server og multi-agent-arkitektur i Endor Labs, som allerede hjelper kunder å holde tritt med AI-nativ utvikling.

Utfordringen er at forsyningskjeden selv blir mer kompleks. I dag er kode for det meste sammensatt av eksterne komponenter, og hver ny AI-verktøy introduserer et nytt lag av avhengighet. Selskaper som ikke tenker om modellene sine, vil finne seg utsatt.

Vi ser denne urgensen utspille seg i sanntid — Endor Labs beskytter nå over 7 millioner applikasjoner, scannar 1,6 millioner pull-forespørsler per måned og reduserer støy med over 90 prosent for utviklings-team. Fem år fra nå, er organisasjonene som kommer ut på toppen de som behandler sikker kode som en integrert del av utvikler-produktivitet.

Takk for det flotte intervjuet, lesere som ønsker å lære mer bør besøke Endor Labs.