Sam King, CEO da Veracode – Série de entrevistas

Sam King é o CEO da veracode e um especialista reconhecido em gestão de negócios e segurança cibernética. Membro fundador da Veracode, Sam desempenhou um papel significativo na trajetória de crescimento da empresa nos últimos 17 anos, ajudando a amadurecê-la de uma pequena startup a uma empresa com mais de US$ 2.5 bilhões em avaliação.

Veracode é um aPplicação compania de segurança. Fundada em 2006, fornece segurança de aplicativos SaaS que integra a análise de aplicativos aos pipelines de desenvolvimento.

Você está envolvido com segurança cibernética há mais de 2 décadas, o que inicialmente o atraiu para o setor?

Meu interesse em segurança cibernética surgiu vários anos depois de minha carreira em tecnologia. Trabalhei muito tempo com informática e tecnologia e por volta de 2000 um conhecido meu fundou uma empresa de segurança cibernética e me convidou para fazer parte dela. Anteriormente, eu tinha pouco conhecimento sobre segurança cibernética, mas depois que me envolvi, o resto é história.

Inicialmente, você começou sua carreira na Veracode como vice-presidente de prestação de serviços em 2006 e, desde então, trabalhou até chegar a CEO. Quais foram algumas das principais conclusões dessa experiência?

Sinto-me privilegiado por ter estado nesta jornada. Trabalhei em quase todas as funções na Veracode ao longo dos meus 17 anos na empresa e a principal conclusão para mim é que o crescimento de um negócio de sucesso é — acima de tudo — um esporte de equipe. Progredindo de vice-presidente de prestação de serviços a CEO, aprendi que não é uma pessoa, mas o tecido conjuntivo e os esforços coletivos em toda a organização que governam a velocidade e a escala de suas realizações. Também ganhei empatia pelas demandas de diferentes funções, tendo que desempenhar a maioria delas desde nossos dias anteriores à receita até a organização global que somos agora.

A Veracode prevê um mundo onde o software é desenvolvido com segurança desde o início. Você pode discutir por que as empresas devem integrar a segurança de aplicativos no início do ciclo de vida do desenvolvimento de software?

O software é a estrutura subjacente das organizações e as empresas precisam perceber que integrar a segurança de aplicativos no início do ciclo de vida de desenvolvimento de software (SDLC) não é apenas a coisa certa a fazer, mas também é a coisa inteligente a fazer. O custo de espera para descobrir e corrigir vulnerabilidades nos estágios posteriores do SDLC ou após o lançamento do aplicativo é extremamente alto. De acordo com o NIST, é 30 vezes o custo para corrigir vulnerabilidades na produção do que antes. Além disso, torna-se uma experiência frustrante para um desenvolvedor quando ele está tentando lançar uma funcionalidade no mercado, e as verificações de segurança atrasam o processo. O processo ideal inclui testes no IDE e no pipeline de CI/CD. O próprio processo de desenvolvimento de código torna-se o processo de desenvolvimento de código seguro quando o teste de segurança e a correção são integrados profundamente na cadeia de ferramentas SDLC.

A Veracode ajuda as empresas a criar e executar programas escalonáveis ​​de AppSec e DevSecOps. Para os leitores que não estão familiarizados com esses termos, você poderia defini-los para nós?

AppSec é a abreviação de “segurança de aplicativos” e refere-se às ferramentas, políticas e práticas que podem ser usadas para desenvolver um programa que garante a segurança do código no desenvolvimento interno de software, bem como em aplicativos de terceiros, código-fonte aberto e fornecimento estendido de software corrente. DevSecOps, também conhecido como “devops seguros”, é a mentalidade de que a segurança está integrada em todo o SDLC, desde os requisitos até a arquitetura e design, codificação, teste, lançamento e implantação. Essencialmente, isso significa que todos os envolvidos no desenvolvimento de software são responsáveis ​​pela segurança do aplicativo. Os dois andam de mãos dadas, pois compartilham o objetivo de tomar melhores decisões de segurança e fornecer software mais seguro com maior velocidade e eficiência.

Você poderia discutir brevemente algumas das diferentes soluções oferecidas, como Veracode SAST, Veracode SCA e Veracode DAST?

Análise estática do Veracode (SAST), que incorpora a segurança em todo o SDLC de uma organização para que os desenvolvedores possam escrever código seguro em seu ambiente de desenvolvimento integrado (IDE), automatiza verificações em seu pipeline de integração contínua e integração contínua/implantação contínua (CI/CD) e garante a conformidade com as políticas antes implantando. Ele ajuda a gerenciar o risco ao escanear o código e encontrar falhas – então faz a triagem das descobertas e fornece aos desenvolvedores orientação contextual para priorizar o esforço, corrigir falhas críticas e reduzir o risco.

Análise de composição de software da Veracode (SCA) automatiza a localização de todos os componentes que compõem um aplicativo e prescreve ações para gerenciar riscos dentro deles. Os recursos de aprendizado de máquina e correção automática do SCA prescrevem correções – com o objetivo de fazer isso com o mínimo de interrupção de produção possível.

Por último, Análise Dinâmica (DAST) é a parte da plataforma de segurança de software inteligente da Veracode que permite que as equipes de segurança descubram superfícies de ataque que nunca souberam que existiam, encontrem vulnerabilidades em ambientes de tempo de execução e obtenham uma visão abrangente da postura de segurança de seus aplicativos da web e APIs.

Em abril 18, 2023, Veracode apresenta segurança de software inteligente com o lançamento do Veracode Fix, uma ferramenta que aproveita o poder da tecnologia GPT (Generative Pre-trained Transformer). Por que o GPT foi um avanço tão importante na segurança cibernética?

As equipes de desenvolvimento de software e segurança têm corrido apenas para ficar paradas. Durante anos, a segurança de software girou em torno de testes para encontrar problemas, mas para cada problema encontrado, há uma tarefa manual a ser corrigida. Os desenvolvedores geralmente têm a tarefa de gastar um tempo que não têm, corrigindo falhas de segurança que não entendem, em código que não criaram... apenas para descobrir que, no tempo que leva para corrigir uma falha, outras duas são criadas em outro lugar. A necessidade de transformação é evidente.

O Veracode Fix oferece essa transformação, mudando o paradigma de localização para correção e marcando o advento da segurança de software inteligente. Ao aproveitar o poder da inteligência artificial (IA) para gerar automaticamente correções para software inseguro, o Veracode Fix finalmente traz automação para correção de falhas e reequilibra o cenário de segurança de software. Ao contrário da maioria das ferramentas de codificação de IA generativas, o Veracode Fix não é treinado em código-fonte aberto ou código em estado selvagem e não usa ou retém dados do cliente para treinar o modelo.

Em vez disso, treinamos o Veracode Fix em um conjunto de dados proprietário e curado com aprendizado e alinhamento supervisionados de nossa equipe de pesquisadores de segurança líderes e consultores de segurança de aplicativos para fornecer a experiência agregada e o conhecimento do Veracode em uma experiência simples e poderosa: o poder do Veracode ao seu alcance.

A ferramenta Veracode Fix muda o paradigma da IA ​​apenas identificando problemas para corrigi-los. Você pode discutir alguns dos benefícios de dimensionamento que isso oferece? 

As organizações tiveram que escolher entre remediar falhas de segurança de software e cumprir prazos agressivos para colocar o código em produção. Alimentado por IA e pelo conjunto de dados proprietário da Veracode, o Veracode Fix economiza o tempo dos desenvolvedores, permitindo que eles escrevam códigos mais seguros rapidamente. Isso significa que falhas que levariam horas para serem corrigidas e durariam meses agora podem ser corrigidas em minutos. O benefício de dimensionamento é claro – os desenvolvedores agora podem criar mais softwares com mais rapidez e, assim, inovar com segurança.

Quanta intervenção humana é necessária antes que um problema seja resolvido e onde, na imagem, os humanos influenciam esse tipo de segurança cibernética?

Apesar da automação no processo de desenvolvimento de software, a correção de falhas de segurança – particularmente no código de terceiros – depende exclusivamente do esforço manual de desenvolvedores sobrecarregados e com pouco suporte. Até agora.

O Veracode Fix usa aprendizado de máquina para gerar correções sugeridas que os desenvolvedores podem revisar e implementar sem escrever nenhum código.

É importante observar que o Veracode Fix não corrige o código automaticamente, mas sugere correções. O desenvolvedor revisa e implementa as correções sem escrever nenhum código. Isso economiza tempo dos desenvolvedores, acelera o desenvolvimento seguro e torna possível gerenciar riscos e pagar dívidas de segurança em escala com menos esforço e custo.

Há mais alguma coisa que você gostaria de compartilhar sobre o Veracode?

A tecnologia está em constante evolução e a Veracode também, mas o objetivo permanece o mesmo desde 2006: proteger o software em escala. Assim como a Veracode foi pioneira no AppSec há mais de 17 anos, agora somos pioneiros na segurança de software inteligente. Nossos produtos e inovações, como o Veracode Fix, são uma prova disso.

A Veracode foi fundada por Chris Wysopal, um ex-hacker de chapéu branco que se tornou um influenciador de políticas cibernéticas. Em 1998, como parte do coletivo de hackers L0pht, Chris testemunhou perante um Comitê do Senado dos EUA que investigava questões cibernéticas do governo, dizendo que os fornecedores cibernéticos precisam fazer melhor - eles precisam ser os donos do problema.

Desde a sua fundação, a Veracode cresceu de uma start-up para um negócio global com mais de 2,600 clientes – e que jornada incrível tem sido assistir ao desenrolar de todos esses anos. É graças ao nosso compromisso em ajudar os clientes com seus maiores desafios: integrar a segurança ao SDLC; desenvolver a competência de segurança do desenvolvedor; proteger o fornecimento de software; gerenciamento de risco de superfície de ataque de aplicativo da web; e proteger o desenvolvimento de aplicativos nativos da nuvem. Somos 10 vezes líderes no Gartner Magic Quadrant para testes de segurança de aplicativos – uma das avaliações mais aprofundadas do nosso setor – e recebemos vários elogios do setor ao longo dos anos.

Uma área da qual estamos particularmente orgulhosos é a cultura que cultivamos ao longo de nossa história. No ano passado, a Veracode foi nomeada uma das melhores empresas para trabalhar em 2022 pelo The Boston Globe e uma das melhores empresas para trabalhar nos EUA em 2023 pela Energage. Ficamos honrados e honrados por receber esses prêmios porque nos orgulhamos de uma cultura inclusiva que promove o talento e permite que os funcionários tenham o melhor desempenho.

Obrigado pela ótima entrevista, os leitores que desejam saber mais devem visitar veracode.