Neatsun Ziv, cofundador e CEO da OX Security – Série de entrevistas

Neatsun Ziv, cofundador e CEO da OX Secuity, está na vanguarda da redefinição da segurança da cadeia de suprimentos de software para a era DevSecOps. Antes de fundar a OX, atuou como vice-presidente de Segurança Cibernética na Check Point, liderando iniciativas globais e orquestrando respostas rápidas a ameaças de alto perfil, como SolarWinds e NotPetya. Seu trabalho frequentemente o colocava em colaboração direta com a Interpol, CERTs nacionais e outras agências de fiscalização durante alguns dos incidentes cibernéticos mais críticos da última década.

Segurança OX é uma plataforma de segurança de aplicações projetada para se destacar, ajudando as organizações a se concentrarem na pequena porcentagem de riscos que realmente importam. Aproveitando a análise de explorabilidade, acessibilidade e impacto nos negócios, a plataforma oferece priorização baseada em evidências em todo o ciclo de vida de desenvolvimento de software. Com cobertura completa do código para a nuvem, mais de 100 integrações e fluxos de trabalho sem código, a OX incorpora a correção guiada diretamente nos fluxos de trabalho do desenvolvedor, garantindo que as medidas de segurança sejam eficazes e sem atrito.

Antes de cofundar a OX Security, você liderou a resposta a grandes incidentes na Check Point. O que o levou a decidir que era hora de abrir sua própria empresa e que lacuna você viu no setor de segurança de aplicativos?

Trabalhando na Check Point, vivenciei em primeira mão a "lacuna de velocidade corporativa" — empresas de segurança tradicionais se movem em um ritmo mais lento. Também vi como as equipes de segurança eram bastante ineficientes em vários aspectos, especialmente quando se tratava de priorizar os riscos corretamente.

Ao mesmo tempo, reconheci que a IA generativa (na época subdesenvolvida) representava o futuro da evolução das ferramentas de segurança e, de fato, ela se movia em grande velocidade. Várias mudanças críticas estavam acontecendo simultaneamente:

Aceleração dos agentes de ameaças: os invasores estavam adotando rapidamente novas tecnologias e técnicas, evoluindo mais rápido do que as soluções de segurança conseguiam acompanhar.

O fenômeno “Vibe Coding”: o termo não existia na época, mas vi desenvolvedores cada vez mais confiando em ferramentas de codificação assistidas por IA, como o Copilot, mudando fundamentalmente a maneira como o software é criado e introduzindo considerações de segurança totalmente novas.

Evolução dos ataques à cadeia de suprimentos: a aceleração dos ataques à cadeia de suprimentos de software criou uma necessidade urgente de novas abordagens para a segurança de aplicativos que as ferramentas existentes simplesmente não estavam abordando.

Melhorias incrementais nas estruturas corporativas existentes não seriam suficientes para enfrentar esses desafios em rápida evolução.

Minha percepção final foi que as ameaças estavam se espalhando rapidamente para o código – e a segurança precisava acompanhar. Precisávamos romper com as estruturas conhecidas e começar uma nova corrida rápida.

A missão principal da OX é ajudar os desenvolvedores a se concentrarem nos 5% de vulnerabilidades que realmente importam. Quando essa percepção se concretizou para você e como ela molda as decisões de produto hoje?

Tendo gerenciado operações bastante grandes de equipes de desenvolvimento, testemunhei o quão avassalador o volume de problemas relacionados à segurança pode ser. Você precisa entender o que é importante e o que não é. Percorrer listas intermináveis não leva a empresa a reduzir riscos. Em vez disso, gera frustração e até mesmo afasta as empresas da redução de riscos, pois simplesmente consome muito tempo e recursos.

Isso nos ensinou que precisamos ajudar os desenvolvedores a se concentrarem no que realmente importa – e então explicar a eles por que isso importa. Depois disso, precisamos mostrar a eles como resolver o problema facilmente, ou melhor ainda – resolver para eles – o que agora é possível por meio de ferramentas como Agente OX.

Essa percepção se tornou a base sobre a qual construímos a empresa e é o que norteia todas as nossas decisões de produtos hoje. Cada recurso, cada capacidade que desenvolvemos começa com a pergunta: "Isso ajuda os desenvolvedores a se concentrarem no que realmente importa? Isso reduz os riscos?"

A plataforma é centrada na "Projeção de Código" para mapear riscos em todo o SDLC. Você pode explicar como essa tecnologia funciona e o que a diferencia de outras ferramentas de gerenciamento de vulnerabilidades?

A Projeção de Código é fundamentalmente uma tecnologia que identifica um problema no código e sabe com antecedência como ele se comportará quando chegar à nuvem. Isso permite resolver problemas muito antes de eles serem executados em produção – quando o risco já está exposto.

Funciona entendendo que cada pedaço de código tem um processo que o constrói e o traz para a nuvem – CI/CD. Podemos ler o código e interpretar o que ele significa. Para dar um exemplo direto: o que é exposto na internet obviamente tem implicações diferentes do que não é.

A principal diferença em relação a outros produtos é que a maioria das ferramentas encerra seu trabalho com uma longa lista de problemas. Sem conseguir focar nos 5% ou menos dos riscos realmente significativos, filtrando-os, você acaba com prazos quase irrelevantes. Você também não sabe a qual desenvolvedor atribuir o problema.

Nossa abordagem muda isso completamente: não apenas identificamos problemas, mas também fornecemos contexto, priorização e propriedade clara.

Vocês oferecem integração completa entre ferramentas de escaneamento, gerenciamento de segredos, SBOM, descoberta de SaaS e muito mais. Quais foram alguns dos maiores desafios técnicos para unificar tudo isso em uma experiência de desenvolvedor perfeita?

O problema mais difícil é transformar dados em insights. Dados são tudo o que você acabou de mencionar. Mas os desenvolvedores precisam de clareza, tópicos e raciocínio. Comunicação focada. Como transformar montanhas de dados em insights acionáveis – esse é o maior desafio do setor.

Sintetizar essas informações de uma forma que contasse uma história coerente e fornecesse ações claras e priorizadas que os desenvolvedores pudessem realmente executar – esse foi o maior desafio.

PBOM (Pipeline Bill of Materials) é uma inovação da OX. Em que se diferencia do SBOM e por que é essencial para proteger as cadeias de suprimentos de software modernas?

PBOM é a capacidade de analisar tudo o que acontece com o software desde o momento em que é escrito até a sua entrada em produção. SBOM é um componente disso – ele analisa todos os pacotes de software que estão dentro de um aplicativo.

Para responder à pergunta anterior, o PBOM é, na verdade, a base que nos permite transformar dados em insights, pois analisa um panorama muito mais amplo: todos os dados. Ele captura toda a jornada e transformação do código, não apenas os componentes finais.

Essa visão abrangente é essencial porque as ferramentas de segurança tradicionais só veem o resultado final, ignorando vetores de ataque críticos, como ferramentas de compilação comprometidas, confirmações maliciosas ou manipulação de pipeline que acontecem durante o desenvolvimento e a implantação.

A OX acaba de revelar o Agent OX — uma nova arquitetura multiagente em que cada modelo de IA se concentra em tipos de vulnerabilidade e linguagens de programação específicos. O que motivou essa decisão de design e como você garante que as correções propostas sejam explicáveis e confiáveis na prática?

Criamos essa abordagem multiagente observando como os humanos desenvolvem expertise e aplicando o mesmo princípio à IA. Para ser especialista em algo, um desenvolvedor precisa ser especialista na linguagem, na arquitetura específica e na organização específica. Um único desenvolvedor não consegue resolver todos os problemas e, pela mesma lógica, um único agente de IA também não consegue atingir esse nível de expertise. Além disso, você precisa de um agente que possa lidar com a garantia de qualidade.

Assim, cada agente desenvolve profundo conhecimento em seu domínio específico, assim como os especialistas humanos.

Para confiabilidade e explicabilidade, cada agente não apenas propõe correções, mas explica seu raciocínio, mostra seu trabalho e permite que os desenvolvedores entendam exatamente por que uma solução específica foi escolhida.

O que levou você a focar na correção com um clique diretamente nos fluxos de trabalho dos desenvolvedores? E como você garante que os desenvolvedores mantenham o controle e não encontrem efeitos colaterais indesejados?

A ideia principal é reduzir o atrito e aprimorar as correções de segurança. Damos aos desenvolvedores controle total para revisar e validar a correção proposta antes de aceitá-la.

O ponto principal é que "um clique" não significa "automático" – significa simplificado. Os desenvolvedores podem ver exatamente o que será alterado, entender o porquê, revisar a solução proposta e, então, optar por aplicá-la com uma única ação. O controle e a tomada de decisões permanecem inteiramente em suas mãos, mas eliminamos o tedioso trabalho manual de pesquisar e implementar a correção.

Você conta com Microsoft, IBM e SoFi entre seus clientes. Como esses relacionamentos corporativos moldam seu roteiro e processo de feedback para ferramentas como o Agent OX?

Trabalhamos com centenas de clientes, e dezenas deles compartilham abertamente conosco os desafios que enfrentam. Essas discussões aprofundadas sobre roteiros e padrões de design são a base da nossa capacidade de aprimorar a solução proposta. Valorizamos muito os relacionamentos que mantemos com nossos clientes e os consideramos a principal prioridade para nós como empresa, e isso nos guia na compreensão das necessidades do mundo real e na criação de soluções para solucioná-las.

À medida que as ferramentas de segurança de IA se tornam mais comuns, como equilibrar a automação com a confiança e o controle do desenvolvedor? Onde você traça a linha entre assistencial e autônomo?

Como vimos em revoluções anteriores, aqueles que não embarcam na onda não sobrevivem. Estamos começando a ver organizações com as quais trabalhamos que transferiram todos os seus recursos para a adoção da IA porque entenderam que estamos testemunhando uma revolução.

Na verdade, esses são os nossos clientes mais colaborativos, pois enfrentam uma nova tensão desconhecida: seus desenvolvedores precisam se movimentar rapidamente com ferramentas de IA, mas estão preocupados em perder o controle. Eles estão até dispostos a aceitar o risco e a perda temporária de controle para obter uma vantagem competitiva, mas precisam de nós para ajudá-los a reconquistar a confiança. Nosso trabalho é dar a eles a velocidade necessária, ao mesmo tempo em que reconstruímos a confiança no processo.

Você fechou recentemente uma Série B de US$ 60 milhões. Como esse financiamento acelerará a próxima fase de crescimento da OX, seja na área de tecnologia, entrada no mercado ou expansão internacional?

O novo financiamento é fundamentalmente sobre expansão e também nos ajudará a melhorar nossas capacidades de identificação de riscos derivados de código gerado por IA, o que agora estamos começando a ver com o lançamento do Agent OX.

Já analisamos mais de 100 milhões de linhas de código diariamente para mais de 200 clientes pagantes. Este financiamento nos posiciona para escalar esse impacto globalmente, mantendo o foco nas questões centrais que sempre nos guiaram: "Isso ajuda os desenvolvedores a se concentrarem no que importa? Isso reduz os riscos?"

Obrigado pela ótima entrevista, os leitores que desejam saber mais devem visitar Segurança OX.