Javed Hasan, CEO e Co-Fundador, Lineaje – Série de Entrevistas

Javed Hasan, CEO e co-fundador da Lineaje, é um veterano executivo de segurança cibernética e software empresarial com décadas de experiência de liderança em empresas como Oracle, Symantec, McAfee e Trellix. Ao longo de sua carreira, Hasan liderou equipes de produto, engenharia e estratégia de grande escala, focadas em segurança de endpoint, infraestrutura de nuvem, transformação SaaS e inovação em segurança cibernética empresarial. Na Lineaje, ele está focado em resolver um dos desafios de crescimento mais rápido da indústria: proteger a cadeia de suprimentos de software moderna, fornecendo às organizações visibilidade sobre os componentes de código aberto e de terceiros incorporados em aplicativos de software.

Lineaje é uma empresa de segurança cibernética especializada em segurança da cadeia de suprimentos de software, ajudando as organizações a identificar, proteger e gerenciar os riscos ocultos dentro das dependências de software modernas. Sua plataforma se concentra fortemente na tecnologia de Lista de Materiais de Software (SBOM), que atua como uma lista de ingredientes para software, catalogando cada componente, biblioteca e dependência usada em um aplicativo. A empresa fornece ferramentas para análise de risco contextual, remediação de vulnerabilidades automatizada, gerenciamento de conformidade e fluxos de trabalho de “autocura” de cadeia de suprimentos de software impulsionados por IA, projetados para identificar e corrigir automaticamente fraquezas de segurança antes do deploy. A tecnologia da Lineaje é cada vez mais relevante, à medida que as empresas e os governos enfrentam ameaças crescentes relacionadas a vulnerabilidades de código aberto, ataques à cadeia de suprimentos de software e mandatos de conformidade em torno da transparência da SBOM.

Você ocupou cargos de liderança sênior em empresas como Oracle, McAfee, Symantec e Trellix, ajudando a moldar produtos de segurança cibernética empresarial por décadas. Quais experiências nesses papéis o levaram a co-fundar a Lineaje em 2022, e qual é o problema central que você estava determinado a resolver com a empresa?

Com mais de três décadas em segurança cibernética, eu construí e escalei mais de 50 produtos de segurança empresarial, incluindo liderar a transição da Symantec para a nuvem com o Integrated Cyber Defense Manager (ICDM) e lançar uma das maiores plataformas de segurança de endpoint SaaS globalmente. Ao longo dessas experiências na Oracle, McAfee, Symantec e Trellix, eu vi um padrão consistente: as organizações estavam sendo solicitadas a confiar em software que elas não entendiam completamente.

A indústria havia otimizado para velocidade, mas não para visibilidade. Componentes de código aberto, componentes de terceiros, automação e agora código gerado por IA tornaram o software mais rápido para construir, mas mais difícil de entender. A confiança se tornou presumida em vez de verificada.

A IA não criou esse problema; ela o acelerou e expôs um problema que já existia. É isso que nos levou a co-fundar a Lineaje em 2022: para dar às organizações uma compreensão contínua e de ciclo de vida completo do que está em seu software e agora na IA, de onde veio e como governá-lo antes que se torne um risco de segurança ou conformidade.

Os ataques à cadeia de suprimentos de software se tornaram uma das ameaças de segurança cibernética de crescimento mais rápido, frequentemente se espalhando por meio de dependências de código aberto e código de terceiros. Por que as ferramentas de segurança tradicionais lutam para abordar esses riscos de forma eficaz?

As ferramentas de segurança tradicionais foram construídas para um modelo de operação diferente. A segurança legada foi construída para aplicativos. O risco moderno vive em ecossistemas. Elas foram projetadas para inspecionar aplicativos estáticos, eventos de perímetro ou vulnerabilidades conhecidas em isolamento. Como resultado, muitas organizações ainda operam de forma reativa, enquanto o risco agora está distribuído por dependências, sistemas de construção, repositórios de pacotes, contêineres, bibliotecas de código aberto transitivas e componentes de terceiros, frequentemente introduzidos muito antes da produção.

A maioria das ferramentas legadas carece da linhagem profunda, visibilidade contínua e compreensão contextual necessárias para determinar se um componente arriscado é realmente explorável, como ele entrou no ambiente e o que ele se conecta a jusante. Isso deixa as organizações reagindo em um cenário que cada vez mais exige controle de ciclo de vida completo e contínuo.

A Lineaje se concentra na segurança da cadeia de suprimentos de software de ciclo de vida completo, ajudando as organizações a entender exatamente quais componentes existem em seus aplicativos e quão vulneráveis eles podem ser. Por que esse nível de transparência se tornou tão crítico na era do software gerado por IA?

A IA comprime o tempo entre criação e exposição. Ela acelera a criação de código sem aumentar automaticamente a proveniência, rastreabilidade ou confiança. Quando os desenvolvedores e assistentes de IA podem produzir código e fluxos de trabalho a uma velocidade sem precedentes, a organização ainda precisa saber exatamente quais modelos, bibliotecas, agentes e serviços externos estão sendo introduzidos no ambiente.

Sem essa visibilidade, você não pode governar o que está sendo construído, validar a conformidade e enviar software aos clientes com confiança. No mundo impulsionado por IA de hoje, as organizações devem ser capazes de rastrear cada dependência e interação de modelo, de onde veio e se é seguro.

A Lineaje está introduzindo o UnifAI, um controlador de política de IA autônomo projetado para governar e proteger aplicativos de IA agêntica no momento da construção. Qual é a lacuna no ecossistema de desenvolvimento de IA atual que esse produto visa abordar?

As empresas estão migrando da experimentação de IA para a implantação de agentes autônomos em fluxos de trabalho reais. Em resumo, elas precisam de um plano de controle de segurança e conformidade para IA agêntica. No entanto, a maioria delas ainda não tem um plano de controle central para descobrir esses ativos de IA, definir políticas consistentes e impor guardrails de segurança e conformidade à medida que esses sistemas são construídos.

UnifAI foi projetado para preencher essa lacuna. Ele atua como um orquestrador de política de IA autônomo que incorpora governança diretamente no fluxo de trabalho de desenvolvimento. Além disso, ele descobre continuamente ativos de IA, cria uma Lista de Materiais de IA (AI BOM), deriva políticas e aplica guardrails antes que os aplicativos atinjam a produção.

Muitas organizações estão correndo para implantar agentes de IA e aplicativos gerados por IA, mas as equipes de segurança se preocupam com riscos como injeção de prompt, bibliotecas de código aberto vulneráveis e problemas de conformidade. Quão graves são esses riscos hoje, e onde as empresas estão mais expostas?

Esses riscos são muito reais e graves hoje. Talvez o maior desafio com a IA agêntica seja que a superfície de ataque é mais ampla e menos previsível do que com software estático. Você tem injeção de prompt, vazamento de dados, dependências de código aberto vulneráveis e aplicação fraca de políticas, manipulação de razão, derivação de autorização e tomada de decisão invisível em ambientes de baixo código e sem código.

Na minha visão, as empresas estão mais expostas porque a velocidade superou a governança, especialmente quando as equipes de negócios podem montar fluxos de trabalho de IA poderosos sem um quadro de segurança unificado, ou quando as organizações não podem ver todos os modelos, agentes, habilidades e conexões de dados operando em seu ambiente. O sistema pode não falhar tecnicamente; ele pode se comportar corretamente, mas raciocinar seu caminho para um resultado inseguro. É aí que o risco oculto se acumula mais rapidamente.

Um dos desafios que as empresas enfrentam é equilibrar a produtividade do desenvolvedor com a governança de segurança. Como ferramentas como o UnifAI podem incorporar controles de segurança em fluxos de trabalho de desenvolvimento sem retardar a inovação?

A abordagem certa é tornar a governança operacional onde os desenvolvedores já trabalham. O UnifAI foi construído para integrar-se diretamente com assistentes de codificação e plataformas de IA agêntica de baixo código ou sem código, para que as políticas possam ser aplicadas à medida que os aplicativos são criados, em vez de por meio de revisão manual após o fato.

Ele pode descobrir automaticamente ativos, recomendar ou derivar políticas, traduzir documentos de governança interna em controles executáveis e aplicar guardrails no próprio fluxo de trabalho. Isso significa que a política se torna executável por máquina, em vez de ser aplicada em camadas. Quando feito bem, os desenvolvedores se movem mais rapidamente porque não param para interpretar a conformidade do zero, e as equipes de segurança ganham consistência sem se tornarem um gargalo.

A Lineaje tem construído ferramentas impulsionadas por IA para analisar cadeias de suprimentos de software e remediar vulnerabilidades automaticamente. Como a IA muda a forma como as organizações gerenciam riscos em comparação com a análise estática tradicional ou revisões de segurança manuais?

A IA muda a gestão de riscos tornando-a contínua, contextual e cada vez mais autônoma. A análise estática tradicional e a revisão manual ainda têm valor, mas são muito lentas e muito fragmentadas para a escala e a velocidade do desenvolvimento de software e IA modernos. O objetivo não é mais alertas. O objetivo é eliminar a exposição antes do deploy. A IA pode mapear continuamente ambientes, correlacionar dependências, avaliar riscos em contexto, recomendar políticas e, em muitos casos, impulsionar a remediação automaticamente.

Em vez de esperar que um ser humano descubra um problema, triage-o e decida o que fazer em seguida, as organizações podem se mover em direção a sistemas que identificam problemas mais cedo, entendem seu impacto provável e tomam ação corretiva muito mais rapidamente. Essa é a base da segurança de IA baseada em resultados: mover de detecção para prevenção e, em última análise, para eliminação.

À medida que a IA começa a gerar porções maiores de código de aplicativo, como as organizações devem repensar sua abordagem para a proveniência, rastreabilidade e confiança no que elas enviam aos clientes?

As organizações precisam tratar a proveniência como um requisito de primeira classe. Em um modelo de desenvolvimento assistido por IA, a rastreabilidade deve abranger a cadeia completa de entradas, incluindo código, dependências de código aberto, modelos, agentes e políticas aplicadas durante o desenvolvimento e o deploy. Isso requer listas de materiais dinâmicas, atestação mais forte e um modelo operacional em que a confiança é continuamente verificada em vez de presumida.

O padrão deve se tornar: se você não pode rastreá-lo, governá-lo e explicá-lo, você não deve enviá-lo.

Regulamentações e mandatos de conformidade estão cada vez mais moldando como as empresas protegem sistemas de software e IA. Como você vê os quadros regulamentares globais influenciando a adoção de tecnologias de governança de IA pelas empresas nos próximos anos?

A regulação será um grande acelerador. À medida que os requisitos em torno da garantia de software e da governança de IA se tornam mais explícitos, a governança está se tornando infraestrutura operacional, e não um exercício de conformidade de back-office. As empresas precisarão de sistemas que possam operacionalizar políticas em vez de gerenciar a conformidade por meio de planilhas e auditorias pontuais.

As organizações já estão tentando se alinhar com quadros emergentes, como o Ato de IA da UE, e orientações estabelecidas, como o OWASP Top Ten para IA, mas elas precisam de tecnologia que possa traduzir esses requisitos em controles executáveis dentro dos ambientes de desenvolvimento e runtime.

Nos próximos anos, as plataformas de governança se moverão de serem um “bom ter” para serem parte da pilha de controle empresarial central, porque os reguladores, os clientes e os conselhos de administração todos esperarão provas demonstráveis de supervisão. A prova de supervisão se tornará obrigatória.

Olhando para o futuro, como o futuro da governança de aplicativos impulsionada por IA parece? Você espera que os sistemas autônomos gerenciem grandes partes do ciclo de vida de segurança de software por conta própria?

Sim, eu acredito que os sistemas autônomos gerenciarão uma parte muito maior do ciclo de vida de segurança de software, mas com supervisão humana focada em política, tolerância a riscos e tratamento de exceções. As equipes de segurança não podem mais perseguir todos os problemas em ecossistemas de software e IA em expansão. A governança precisa operar à velocidade da IA.

O futuro é um modelo em que os humanos definem a intenção e a política, enquanto os sistemas autônomos executam continuamente. Plataformas inteligentes descobrirão continuamente ativos, manterão listas de materiais dinâmicas, detectarão ameaças, imporão políticas e remediarão problemas em tempo real. As equipes humanas ainda definirão a direção e tomarão decisões de alto impacto, mas a governança contínua, a aplicação autônoma e a confiança operacional ao vivo se tornarão a base. Essa é a única maneira sustentável de governar software e IA agêntica à velocidade que as organizações agora esperam construir.

Obrigado pela ótima entrevista, leitores que desejam aprender mais devem visitar Lineaje.