Connect with us

Varun Badhwar, Założyciel & CEO Endor Labs – Seria Wywiadów

Wywiady

Varun Badhwar, Założyciel & CEO Endor Labs – Seria Wywiadów

mm
Published
Updated

Varun Badhwar, Założyciel & CEO Endor Labs, jest przedsiębiorcą w dziedzinie cyberbezpieczeństwa, rozpoznawalnym za budowanie i prowadzenie firm na czele bezpieczeństwa chmury i aplikacji. Od 2021 roku stoi na czele Endor Labs, które koncentruje się na zabezpieczaniu rozwoju oprogramowania napędzanego przez sztuczną inteligencję. Wcześniej był wiceprezesem i dyrektorem generalnym Prisma Cloud w Palo Alto Networks oraz założycielem RedLock, startupu z dziedziny bezpieczeństwa chmury, który został przejęty przez Palo Alto Networks.

Endor Labs to platforma bezpieczeństwa aplikacji zbudowana na potrzeby ery sztucznej inteligencji, zaprojektowana w celu pomocy zespołom inżynierskim i bezpieczeństwa w balansowaniu prędkości i bezpieczeństwa w rozwoju oprogramowania. Platforma integruje funkcje takie jak analiza kompozycji oprogramowania oparta na zasięgu, SAST, skanowanie kontenerów, wykrywanie sekretów i ochrona potoków CI/CD w jednolitym widoku, pomagając zespołom identyfikować, które luki bezpieczeństwa są naprawdę istotne i priorytetowe naprawy. Zawiera również agenty sztucznej inteligencji, które analizują żądania pull w celu wykrycia zmian architektonicznych i wykrywania ryzyka w kodzie wygenerowanym przez sztuczną inteligencję we wczesnej fazie cyklu rozwoju.

Wcześniej budowałeś i skalowałeś duże przedsięwzięcia bezpieczeństwa — jak doświadczenia te doprowadziły do założenia Endor Labs, i jaki problem najbardziej chciałeś rozwiązać na początku?

W 2021 roku byłem w Palo Alto Networks, kiedy doszło do naruszenia zabezpieczeń SolarWinds. Było to ogromne. Każdy klient korzystający z ich oprogramowania został dotknięty, a my nie byliśmy wyjątkiem. Gdy zagłębiłem się w to, jak zarządzaliśmy własnym oprogramowaniem, zrealizowałem, że mieliśmy 450 inżynierów i 68 000 luk w zabezpieczeniach, a inżynierowie większości z nich ignorowali. Powodem było to, że aż 80-90% alertów były fałszywymi pozytywami, a tradycyjne narzędzia nie rozumiały, jak pracują deweloperzy.

Wtedy to się kliknęło: nowoczesny rozwój oprogramowania jest bardziej jak montaż niż tworzenie. Wysyłamy kod, który w większości składa się z bibliotek stron trzecich, bez gwarancji co do jakości lub bezpieczeństwa. Zobaczyłem rozłączność między zespołami bezpieczeństwa a inżynierami, dynamikę antagonistyczną i tarcie polityczne. Wiedziałem, że musimy od podstaw przemyśleć bezpieczeństwo aplikacji, co doprowadziło do założenia Endor Labs.

Endor Labs chroni teraz miliony aplikacji dla organizacji od fintech po platformy SaaS. Jakie przypadki użycia widzisz najczęściej, i dlaczego klienci zwracają się do ciebie?

Nasi klienci zwracają się do nas, aby zabezpieczyć swoje łańcuchy dostaw oprogramowania i potoki deweloperskie. Chcą zweryfikować zależności open source przed produkcją, automatycznie oznaczyć kod o wysokim ryzyku wygenerowany przez sztuczną inteligencję i ostatecznie zintegrować bezpieczeństwo bezpośrednio z workflow deweloperskim.

Większość skanerów po prostu rzuca luki w zabezpieczeniach na deweloperów i odchodzi, tworząc hałas, który inżynierowie ostatecznie ignorują. A z kodowaniem wibrującym, który jest już powszechny, ten podejście po prostu nie działa. W Endor Labs dostarczamy analizę świadomą kontekstem i działania, dzięki którym zespoły bezpieczeństwa i inżynierskie mogą sobie ponownie ufać.

Deweloperzy często stają przed napięciem między prędkością a bezpieczeństwem. Jak twoja platforma pomaga rozwiązać ten problem?

Prędkość versus bezpieczeństwo to najstarszy dylemat w rozwoju oprogramowania. Kodowanie wibrujące tylko jeszcze bardziej podkreśliło ten kompromis. Czterdzieści pięć procent deweloperów używa asystentów sztucznej inteligencji codziennie, co przyspiesza prędkość, ale również wprowadza niebezpieczny kod.

W Endor Labs osadzamy bezpieczeństwo bezpośrednio w workflow, których używają deweloperzy. Myślimy o środowiskach IDE, żądaniach pull, potokach Git. Nasza filozofia jest prosta: bezpieczeństwo to po prostu inna klasa błędu. Traktuj je jak każdy inny błąd oprogramowania, i staje się częścią naturalnego procesu rozwoju zamiast pomyślunku. Redukując hałas i dostarczając klarowne wskazówki, umożliwiamy deweloperom poruszać się szybko, jednocześnie zapewniając, że oprogramowanie, które wysyłają, jest bezpieczne.

Fałszywe pozytywy są jednym z największych bólów głowy w bezpieczeństwie. Jak podejmujesz ten problem inaczej?

Fałszywe pozytywy są ogromne. Widziałem, jak inżynierowie ignorują znaczące ilości alertów, ponieważ są one bez znaczenia. To jest niebezpieczne w świecie, w którym ataki na stronę trzecią rosną w dwucyfrowych procentach, a przeciwnicy wykorzystują boczne drzwi w potokach deweloperskich.

Nasze podejście polega na priorytetowaniu kontekstu. Zamiast dopasowywania każdego wspólnego luk w zabezpieczeniach i ekspozycji (CVE) do zależności, analizujemy ścieżkę kodu, logikę biznesową i nawet zmiany projektowe wygenerowane przez sztuczną inteligencję. Rozwinęliśmy również serwer Endor Labs Model Context Protocol (MCP), który pozwala agentom sztucznej inteligencji na wywoływanie narzędzi backendowych w celu precyzyjnych napraw zamiast urojonych. Inne narzędzia nie mogą zaoferować tego samego poziomu precyzji, ponieważ brakuje im kontekstu aplikacji. Nie wiedzą, co robi twój kod, jak twoje usługi rozmawiają ze sobą, czy jaki jest bezpieczny sposób naprawy. Rezultatem jest mniej bezsensownych alertów i bardziej pragmatyczne wskazówki, którymi deweloperzy mogą naprawdę działać.

Łańcuch dostaw oprogramowania jest teraz postrzegany jako jeden z najpilniejszych ryzyk dla przedsiębiorstw. Dlaczego ten problem jest tak krytyczny dzisiaj?

Oprogramowanie open source dominuje teraz w oprogramowaniu przedsiębiorstw, a rozwój oprogramowania przekształcił się w montaż oprogramowania. Około 90% komponentów w nowoczesnych aplikacjach jest zewnętrznych, a asystenci kodowania sztucznej inteligencji wprowadzają jeszcze więcej zależności automatycznie. To oznacza, że pojedyncza luka w zabezpieczeniach może rozprzestrzenić się na miliony aplikacji.

Stawka jest wysoka: regulatorzy teraz traktują oprogramowanie open source jako kwestię bezpieczeństwa narodowego. A ataki, takie jak niedawny wykorzystanie Shai-Hulud npm, pokazują, jak przeciwnicy aktywnie atakują te słabe punkty. Bez odpowiednich barier ochronnych przedsiębiorstwa są narażone na ogromną skalę.

Sztuczna inteligencja zmienia sposób, w jaki budowane jest oprogramowanie. Jakie nowe ryzyka to stwarza dla bezpieczeństwa aplikacji?

Asystenci sztucznej inteligencji są jak zatrudnienie tysiąca stażystów na raz — mogą zwiększyć produktywność, ale również wprowadzić chaos, gdy pozostają niezarządzani. Badania pokazują 62% kodu wygenerowanego przez sztuczną inteligencję ma problemy z bezpieczeństwem, jakością lub architekturą. Poza znanymi lukami w zabezpieczeniach obejmują one błędy logiczne, nowe punkty końcowe API lub błędy kryptograficzne, których tradycyjne narzędzia nie były zaprojektowane do wykrycia.

Nowym wyzwaniem jest skalowanie bezpiecznej recenzji kodu. Poleganie na przeciążonych starszych inżynierach, aby ręcznie sprawdzili każde żądanie pull, nie działa. Potrzebujesz zautomatyzowanych systemów, które mogą przeglądać, priorytetowo traktować i kierować deweloperami z taką samą szybkością, z jaką sztuczna inteligencja generuje kod.

Niektórzy twierdzą, że sztuczna inteligencja wprowadza więcej luk w zabezpieczeniach, niż ich zapobiega. Czy widzisz ją jako czynnik ryzyka czy korzyści w tej fazie?

Może być obie. Sztuczna inteligencja jest fantastyczna do prototypowania i eksperymentowania, ale niedoświadczeni deweloperzy polegający na sztucznej inteligencji mogą stworzyć sytuację, w której ślepy prowadzi ślepego. Sposobem na odwrócenie tej równowagi jest łączenie sztucznej inteligencji z barierami bezpieczeństwa. Z odpowiednimi systemami przeglądu i napraw MCP w miejscu, możesz przekształcić sztuczną inteligencję z czynnika ryzyka w czynnik korzyści. Bez nich ryzyko przewyższa korzyści.

Wraz ze wzrostem popularności kodu wygenerowanego przez sztuczną inteligencję, jakie zabezpieczenia powinny wdrożyć organizacje, aby zapewnić zaufanie do wdrożonego oprogramowania?

Traktuj kod wygenerowany przez sztucznej inteligencji jak każdą inną zależność stron trzecich. Oznacza to ciągłe monitorowanie, automatyczną weryfikację i bariery ochronne na każdym etapie potoku. Potrzebujesz również upewnić się, że twoje narzędzia do przeglądu sztucznej inteligencji są szkolone na wysokiej jakości, bezpiecznym kodzie — a nie tylko losowych repozytoriach GitHub.

I idź dalej poza wykrywanie. Gdy zależność o wysokim ryzyku jest oznaczona, twoje narzędzia powinny zalecać ścieżkę uaktualnienia, która unika łamania twojej aplikacji. To jest różnica między chaosem a kontrolą. Lubię myśleć o tym jako o torach buforowych w kręgle — piłka nadal porusza się szybko, ale pozostaje na torze.

Przezroczystość jest centralnym elementem twojego stylu przywództwa. Jak dzielenie się zarówno zwycięstwami, jak i niepowodzeniami wpływa na kulturę i wyniki?

Celowamy w radykalną przejrzystość w Endor Labs. Oznacza to dzielenie się zarówno dobrymi, jak i złymi wiadomościami — i nie tylko wynikami firmy, ale także rzeczami takimi jak plany akcji i ryzyko strategiczne. Pracownicy są dorosłymi ludźmi. Nasz zespół może poradzić sobie z rzeczywistością. Bycie otwartym buduje zaufanie, zaangażowanie i własność, i pomaga ludziom podejmować lepsze decyzje.

Często empowermentujesz wschodzących liderów na początku ich kariery. Jakie wskazówki dajesz menedżerom po raz pierwszy podejmującym duże odpowiedzialności?

Lubię dawać obiecującym członkom zespołu duże role wcześnie i ufać, że będą rosli na stanowisku. Z mentorstwem i wsparciem, uczą się szybko. Moja rada: przyjmij odpowiedzialność, ucz się z niepowodzeń i buduj wiarygodność poprzez działanie. Ludzie często zaskakują cię tym, czego są w stanie dokonać, gdy dasz im przestrzeń.

Spójrzając w przyszłość, pięć lat do przodu, co widzisz jako największe szanse i wyzwania w zabezpieczaniu łańcucha dostaw oprogramowania?

Z asystentami kodowania sztucznej inteligencji i citizen developers zmieniającymi workflow, będziemy potrzebować systemów, które działają jak „bezpieczny programista parowy”, który przegląda każde żądanie pull w czasie rzeczywistym, skaluje bezpieczne przeglądy kodu i daje deweloperom kontekst, któremu mogą ufać. Dlatego w Endor Labs zbudowaliśmy serwer MCP i architekturę wieloagentową, które już pomagają klientom dotrzymać kroku z natywnym rozwojem sztucznej inteligencji.

Wyzwaniem jest to, że sam łańcuch dostaw staje się coraz bardziej złożony. Dziś kod jest w dużej mierze montowany z komponentów zewnętrznych, a każde nowe narzędzie sztucznej inteligencji wprowadza kolejną warstwę zależności. Firmy, które nie zmienią swoich modeli, znajdą się narażone.

Świadczymy o tym pilność w czasie rzeczywistym — Endor Labs chroni teraz ponad 7 milionów aplikacji, skanuje 1,6 miliona żądań pull miesięcznie i redukuje hałas o ponad 90% dla zespołów inżynierskich. Pięć lat od teraz, organizacje, które wyjdą na pierwsze miejsce, są tymi, które traktują bezpieczne kodowanie jako podstawową część produktywności deweloperskiej.

Dziękuję za wspaniały wywiad, czytelnicy, którzy chcą dowiedzieć się więcej, powinni odwiedzić Endor Labs.

mm

Antoine jest wizjonerskim liderem i współzałożycielem Unite.AI, z niezachwianą pasją do kształtowania i promowania przyszłości sztucznej inteligencji i robotyki. Jako serialowy przedsiębiorca, uważa, że sztuczna inteligencja będzie tak samo przełomowa dla społeczeństwa, jak elektryczność, i często zachwycany jest potencjałem technologie przełomowych i AGI. Jako futurysta, poświęca się badaniu, jak te innowacje ukształtują nasz świat. Ponadto jest założycielem Securities.io, platformy skupiającej się na inwestowaniu w najnowocześniejsze technologie, które przeobrażają przyszłość i zmieniają całe sektory.