Neatsun Ziv, Co-Fundador e CEO da OX Security – Série de Entrevistas

Neatsun Ziv, Co-Fundador e CEO da OX Security, está à frente da redefinição da segurança da cadeia de suprimentos de software para a era DevSecOps. Antes de fundar a OX, ele atuou como VP de Segurança Cibernética da Check Point, liderando iniciativas globais e orquestrando respostas rápidas a ameaças de alto perfil, como SolarWinds e NotPetya. Seu trabalho frequentemente o colocou em colaboração direta com a Interpol, CERTs nacionais e outras agências de aplicação da lei durante alguns dos incidentes cibernéticos mais críticos da última década.

OX Security é uma plataforma de segurança de aplicativos projetada para cortar o barulho, ajudando as organizações a se concentrar nos riscos que realmente importam. Com base na análise da explorabilidade, alcance e impacto nos negócios, a plataforma fornece priorização baseada em evidências em todo o ciclo de vida do desenvolvimento de software. Com cobertura completa de código para nuvem, 100+ integrações e fluxos de trabalho sem código, a OX incorpora remediação guiada diretamente nos fluxos de trabalho dos desenvolvedores, garantindo que as medidas de segurança sejam eficazes e sem atrito.

Antes de co-fundar a OX Security, você liderou respostas a incidentes importantes na Check Point. O que o fez decidir que era hora de começar sua própria empresa, e qual foi a lacuna que você viu no espaço de segurança de aplicativos?

Trabalhando na Check Point, eu vivenciei pessoalmente a “Lacuna de Velocidade Corporativa” – as empresas de segurança tradicionais se movem em um ritmo mais lento. Eu também vi como as equipes de segurança eram ineficientes de várias maneiras, especialmente quando se tratava de priorizar riscos corretamente.

Ao mesmo tempo, eu reconheci que a inteligência artificial gerativa (na época, subdesenvolvida) representava o futuro de como as ferramentas de segurança precisavam evoluir, e de fato, elas se moviam a uma grande velocidade. Várias mudanças críticas estavam acontecendo simultaneamente:

Aceleração de Ataques de Atores: Os atacantes estavam adotando rapidamente novas tecnologias e técnicas, se movendo mais rápido do que as soluções de segurança podiam acompanhar.

O Fenômeno de “Codificação por Vibração”: O termo não existia na época, mas eu vi os desenvolvedores cada vez mais confiando em ferramentas de codificação assistidas por IA, como o Copilot, fundamentalmente mudando a forma como o software é construído e introduzindo considerações de segurança completamente novas.

Evolução de Ataques à Cadeia de Suprimentos: A aceleração dos ataques à cadeia de suprimentos de software criou uma necessidade urgente de novas abordagens para a segurança de aplicativos que as ferramentas existentes simplesmente não estavam abordando.

Melhorias incrementais dentro das estruturas corporativas existentes não seriam suficientes para lidar com esses desafios em rápida evolução.

Minha última realização foi que as ameaças estavam se movendo rapidamente para o código – e a segurança precisava seguir. Nós precisávamos romper com os quadros conhecidos e começar a correr em uma nova corrida rápida.

A missão central da OX é ajudar os desenvolvedores a se concentrar nos 5% de vulnerabilidades que realmente importam. Quando essa percepção se cristalizou para você, e como isso molda as decisões de produto hoje?

Tendo gerenciado operações de equipes de desenvolvimento de grande porte, eu testemunhei como o volume de problemas relacionados à segurança pode ser esmagador. Você precisa entender o que é importante e o que não é. Passar por listas intermináveis não avança a empresa em direção à redução de riscos. Em vez disso, cria frustração e até mesmo afasta as empresas da redução de riscos, pois simplesmente consome muito tempo e recursos.

Isso nos ensinou que precisamos ajudar os desenvolvedores a se concentrar no que realmente importa – e então explicar a eles por quê. Depois disso, precisamos mostrar a eles como resolver facilmente, ou melhor ainda – resolver por eles – o que agora é possível com ferramentas como Agent OX.

Essa percepção se tornou a base sobre a qual construímos a empresa, e é o que guia todas as nossas decisões de produto hoje. Cada recurso, cada capacidade que desenvolvemos começa com a pergunta: “Isso ajuda os desenvolvedores a se concentrar no que realmente importa? Isso reduz o risco?”

A plataforma é centrada na “Projeção de Código” para mapear riscos em todo o SDLC. Você pode explicar como essa tecnologia funciona e o que a torna diferente de outras ferramentas de gerenciamento de vulnerabilidades?

A Projeção de Código é fundamentalmente uma tecnologia que vê um problema no código e sabe antecipadamente como ele se comportará quando o código alcançar a nuvem. Isso permite resolver problemas muito antes de eles estarem em execução em produção – quando o risco já está exposto.

Ela funciona entendendo que cada pedaço de código tem um processo que o constrói e o leva à nuvem – CI/CD. Podemos ler o código e interpretar o que ele significa. Para dar um exemplo direto – o que é exposto à internet obviamente tem implicações diferentes do que não é exposto.

A diferença-chave em relação a outros produtos é que a maioria das ferramentas termina seu trabalho com uma longa lista de problemas. Sem ser capaz de se concentrar nos 5% ou menos de riscos realmente significativos, filtrar esses – você acaba com prazos que são quase irrelevantes. Você também não sabe a qual desenvolvedor atribuir o problema.

Nossa abordagem muda isso completamente – não apenas identificamos problemas, mas também fornecemos contexto, priorização e clara propriedade.

Você oferece integração completa em ferramentas de digitalização, gerenciamento de segredos, SBOM, descoberta de SaaS e mais. Quais foram alguns dos desafios técnicos mais difíceis em unificar todos esses em uma experiência de desenvolvedor sem interrupções?

O problema mais difícil é transformar dados em insights. Dados são todas as coisas que você mencionou. Mas os desenvolvedores precisam de clareza, pontos principais e raciocínio. Comunicação focada. Como transformar montanhas de dados em insights ações que os desenvolvedores possam realmente executar – esse é o maior desafio na indústria.

Sintetizar essa informação de uma maneira que conte uma história coerente e forneça ações claras e priorizadas que os desenvolvedores possam realmente executar – esse foi o maior desafio.

PBOM (Lista de Materiais do Pipeline) é uma inovação da OX. Como ele é diferente do SBOM, e por que é essencial para garantir a segurança das cadeias de suprimentos de software modernas?

PBOM é a capacidade de olhar para tudo o que acontece com o software desde o momento em que é escrito até que esteja em produção. SBOM é um componente dentro disso – ele olha para todos os pacotes de software que estão dentro de um aplicativo.

Para responder à pergunta anterior – PBOM é na verdade a base que nos permite transformar dados em insights, porque ele olha para uma imagem muito mais ampla – todos os dados. Ele captura a jornada completa e transformação do código, não apenas os componentes finais.

Essa visão abrangente é essencial porque as ferramentas de segurança tradicionais apenas veem o resultado final, perdendo vetores de ataque críticos como ferramentas de construção comprometidas, commits maliciosos ou manipulação de pipeline que ocorrem durante o desenvolvimento e implantação.

A OX acabou de lançar o Agent OX – uma nova arquitetura multi-agente onde cada modelo de IA é focado em tipos específicos de vulnerabilidades e linguagens de programação. O que impulsionou essa decisão de design, e como você garante que as soluções que ele propõe sejam explicáveis e confiáveis na prática?

Nós criamos essa abordagem multi-agente olhando para como os humanos desenvolvem expertise e aplicando o mesmo princípio à IA. Para ser um especialista em algo, um desenvolvedor precisa ser um especialista na linguagem, na arquitetura específica e na organização específica. Um desenvolvedor único não pode resolver todos os problemas, e pela mesma lógica, um agente de IA único também não pode alcançar esse nível de expertise. Além disso, você quer um agente que possa lidar com garantia de qualidade.

Então, cada agente desenvolve uma expertise profunda em seu domínio específico, assim como os especialistas humanos.

Para confiabilidade e explicabilidade, cada agente não apenas propõe soluções, mas também explica seu raciocínio, mostra seu trabalho e permite que os desenvolvedores entendam exatamente por que uma solução particular foi escolhida.

O que o levou a se concentrar na remediação de um clique diretamente dentro dos fluxos de trabalho dos desenvolvedores? E como você garante que os desenvolvedores mantenham o controle e não encontrem efeitos colaterais não intencionais?

A ideia principal é reduzir a fricção e melhorar as soluções de segurança. Nós damos aos desenvolvedores o controle total para revisar e validar a solução proposta antes de aceitá-la.

A chave é que “um clique” não significa “automático” – significa otimizado. Os desenvolvedores podem ver exatamente o que será alterado, entender por quê, revisar a solução proposta e então escolher aplicá-la com uma ação única. O controle e a tomada de decisão permanecem inteiramente em suas mãos, mas eliminamos o tedioso trabalho manual de pesquisar e implementar a solução.

Você conta com a Microsoft, IBM e SoFi entre seus clientes. Como essas relações empresariais moldam o seu roadmap e o processo de feedback para ferramentas como o Agent OX?

Nós trabalhamos com centenas de clientes, e dezenas deles compartilham abertamente conosco os desafios que enfrentam. Essas discussões profundas sobre roadmap e padrões de design são a pedra angular de nossa capacidade de afinar a solução proposta. Nós valorizamos muito as relações que temos com nossos clientes e as vemos como prioridade máxima para nós como empresa, e que nos guia à medida que entendemos as necessidades do mundo real e criamos soluções para resolvê-las.

À medida que as ferramentas de segurança de IA se tornam mais mainstream, como você equilibra a automação com a confiança e o controle do desenvolvedor? Onde você traça a linha entre assistente e autônomo?

Como vimos em revoluções anteriores, aqueles que não pulam no vagão não sobrevivem. Estamos começando a ver organizações com as quais trabalhamos que transferiram todos os seus recursos para a adoção de IA porque entendem que estamos testemunhando uma revolução.

Esses são, na verdade, nossos clientes mais colaborativos porque eles estão enfrentando uma nova tensão inexplorada: seus desenvolvedores precisam se mover rapidamente com ferramentas de IA, mas estão preocupados em perder o controle. Eles estão dispostos a aceitar o risco e a perda temporária de controle para ganhar uma vantagem competitiva, mas precisam que os ajudemos a reconquistar a confiança. Nosso trabalho é permitir que eles tenham a velocidade de que precisam, enquanto reconstruímos a confiança no processo.

Você recentemente fechou uma rodada de financiamento de $60M em série B. Como esse financiamento acelerará a próxima fase de crescimento da OX – seja em tecnologia, go-to-market ou expansão internacional?

O novo financiamento é fundamentalmente sobre expansão e também nos ajudará a melhorar nossas capacidades em identificar riscos derivados de código gerado por IA, que agora estamos começando a ver com o lançamento do Agent OX.

Nós já analisamos mais de 100 milhões de linhas de código diariamente para mais de 200 clientes pagantes. Esse financiamento nos permitirá escalar esse impacto globalmente, mantendo nosso foco nas questões centrais que sempre nos guiaram: “Isso ajuda os desenvolvedores a se concentrar no que realmente importa? Isso reduz o risco?”

Obrigado pela grande entrevista, leitores que desejam aprender mais devem visitar OX Security.