Connect with us

Varun Badhwar, Fundador e CEO da Endor Labs – Série de Entrevistas

Entrevistas

Varun Badhwar, Fundador e CEO da Endor Labs – Série de Entrevistas

mm
Published
Updated

Varun Badhwar, Fundador e CEO da Endor Labs, é um empreendedor de segurança cibernética reconhecido por construir e liderar empresas à vanguarda da segurança de nuvem e aplicativos. Desde 2021, ele lidera a Endor Labs, que se concentra em proteger o desenvolvimento de software impulsionado por IA. Anteriormente, ele foi SVP e GM da Prisma Cloud na Palo Alto Networks e fundador da RedLock, uma startup de segurança de nuvem adquirida pela Palo Alto Networks.

Endor Labs é uma plataforma de segurança de aplicativos construída para a era da IA, projetada para ajudar equipes de engenharia e segurança a equilibrar velocidade e segurança no desenvolvimento de software. A plataforma integra recursos como análise de composição de software baseada em alcance, SAST, verificação de contêiner, detecção de segredos e proteção de pipeline CI/CD em uma visão unificada, ajudando as equipes a identificar quais vulnerabilidades realmente importam e priorizar correções. Ela também inclui agentes de IA que analisam solicitações de pull para alterações arquitetônicas e detectam riscos em código gerado por IA no início do ciclo de vida de desenvolvimento.

Você construiu e escalou grandes empreendimentos de segurança — como essas experiências o levaram a fundar a Endor Labs, e qual problema você estava mais determinado a resolver no início?

Em 2021, eu estava na Palo Alto Networks quando ocorreu o vazamento de SolarWinds. Foi massivo. Todos os clientes que usavam o software foram afetados, e não éramos exceção. Quando investiguei como estávamos gerenciando nosso próprio software, percebi que tínhamos 450 engenheiros e 68.000 vulnerabilidades de segurança, mas os engenheiros estavam basicamente ignorando-as. O motivo? Um impressionante 80-90% dos alertas eram falsos positivos, e as ferramentas tradicionais não entendiam como os desenvolvedores realmente trabalhavam.

Foi então que entendi: o desenvolvimento de software moderno é mais como montagem do que criação. Estamos enviando código que é principalmente bibliotecas de terceiros, sem garantias de qualidade ou segurança. Eu vi a desconexão entre as equipes de segurança e engenheiros, a dinâmica adversária e a fricção política. Eu sabia que precisávamos repensar a segurança de aplicativos desde o início, o que levou à fundação da Endor Labs.

A Endor Labs agora protege milhões de aplicativos para organizações que variam de fintech a plataformas SaaS. Quais são os principais casos de uso que você está vendo, e por que os clientes estão se voltando para você?

Nossos clientes nos procuram para proteger suas cadeias de suprimento de software e pipelines de desenvolvedores. Eles querem verificar dependências de código aberto antes da produção, sinalizar automaticamente código gerado por IA de alto risco e, em última análise, integrar segurança diretamente nos fluxos de trabalho dos desenvolvedores.

A maioria dos scanners apenas joga vulnerabilidades nos desenvolvedores e se afasta, criando ruído que os engenheiros inevitavelmente ignoram. E com a codificação vibe agora em alta, essa abordagem simplesmente não funciona. Na Endor, fornecemos análise sensível ao contexto e insights ações, para que as equipes de segurança e engenharia possam realmente confiar umas nas outras.

Desenvolvedores frequentemente enfrentam tensão entre se mover rapidamente e permanecer seguro. Como sua plataforma ajuda a reconciliar esse desafio?

Velocidade versus segurança é o dilema mais antigo no desenvolvimento de software. A codificação vibe apenas tornou essa troca mais pronunciada. Quarenta e cinco por cento dos desenvolvedores usam assistentes de IA diariamente, o que acelera a velocidade, mas também introduz código inseguro.

Na Endor Labs, incorporamos segurança diretamente nos fluxos de trabalho que os desenvolvedores já usam. Pense em IDEs, solicitações de pull, pipelines Git. Nossa filosofia é simples: segurança é apenas uma classe de bug. Trate-a como qualquer outro bug de software, e ela se torna parte do processo de desenvolvimento natural, em vez de uma afterthought. Reduzindo o ruído e fornecendo orientação clara, habilitamos os desenvolvedores a se moverem rapidamente, enquanto ainda garantem que o software que eles enviam é seguro.

Falsos positivos são um dos principais pontos de dor na segurança. Como você está abordando esse problema de forma diferente?

Falsos positivos são enormes. Eu vi engenheiros ignorarem alertas significativos porque eles são insignificantes. Isso é perigoso em um mundo onde ataques de terceiros estão crescendo em dígitos duplos e adversários estão explorando portas laterais nos pipelines de desenvolvedores.

Nossa abordagem é priorizar o contexto. Em vez de corresponder a cada Vulnerabilidade e Exposição Comum (CVE) a uma dependência, analisamos o caminho do código, a lógica de negócios e até mesmo as alterações de design geradas por IA. Também desenvolvemos o Protocolo de Contexto do Modelo (MCP) do Servidor Endor Labs, que permite que os agentes de IA chamem as ferramentas de back-end para correções precisas, em vez de correções alucinadas. Outras ferramentas não podem oferecer esse nível de precisão porque falta contexto de aplicativo. Eles não sabem o que o seu código faz, como os serviços se comunicam entre si ou como uma correção segura parece. O resultado é menos alertas insignificantes e orientação mais pragmática que os desenvolvedores podem realmente agir.

A cadeia de suprimento de software agora é vista como um dos riscos mais urgentes para as empresas. Por que essa questão é tão crítica hoje?

O código aberto agora domina o software empresarial, e o desenvolvimento de software se transformou em montagem de software. Aproximadamente 90% dos componentes em aplicativos modernos são externos, e os assistentes de codificação de IA estão introduzindo ainda mais dependências automaticamente. Isso significa que uma única vulnerabilidade pode se espalhar por milhões de aplicativos.

As apostas são altas: os reguladores agora enquadram o código aberto como uma questão de segurança nacional. E ataques como o recente exploit Shai-Hulud npm mostram como os adversários estão ativamente visando esses pontos fracos. Sem as barreiras certas, as empresas estão expostas em uma escala massiva.

A IA está transformando como o software é construído. Quais são os novos riscos que isso cria para a segurança de aplicativos?

Os assistentes de IA são como contratar milhares de estagiários de uma vez — eles podem aumentar a produtividade, mas também introduzir caos quando não gerenciados. Estudos mostram 62% do código gerado por IA tem problemas de segurança, qualidade ou arquitetura. Além das CVEs conhecidas, isso inclui falhas de lógica, novos pontos de extremidade de API ou erros criptográficos que as ferramentas legadas nunca foram projetadas para capturar.

O novo desafio é escalar a revisão de código segura. Confiar em engenheiros seniores sobrecarregados para verificar manualmente cada solicitação de pull não funciona. Você precisa de sistemas automatizados que possam revisar, priorizar e orientar os desenvolvedores à mesma velocidade que a IA está gerando código.

Alguns argumentam que a IA introduz mais vulnerabilidades do que previne. Você vê isso como um risco líquido ou um benefício líquido nessa fase?

Pode ser ambos. A IA é fantástica para prototipagem e experimentação, mas desenvolvedores inexperientes que confiam na IA podem criar um cenário de “cego liderando o cego”. A maneira de inverter essa equação é emparelhando a IA com barreiras de segurança. Com os sistemas de revisão e correções MCP impulsionados certos, você pode transformar a IA de um risco líquido em um benefício líquido. Sem eles, os riscos superam os ganhos.

Com o código gerado por IA se tornando mais comum, quais salvaguardas as organizações devem implementar para garantir confiança no que elas implantam?

Trate o código gerado por IA como qualquer outra dependência de terceiros. Isso significa monitoramento contínuo, verificação automatizada e barreiras em cada estágio do pipeline. Você também precisa garantir que as ferramentas de revisão de IA sejam treinadas em código seguro e de alta qualidade — não apenas repositórios aleatórios do GitHub.

E então vá além da detecção. Quando uma dependência de risco é sinalizada, suas ferramentas devem recomendar o caminho de atualização que evita quebrar o aplicativo. Essa é a diferença entre caos e controle. Eu gosto de pensar nisso como faixas de boliche: a bola ainda se move rapidamente, mas permanece nos trilhos.

Transparência é central para o seu estilo de liderança. Como compartilhar tanto vitórias quanto reveses afeta a cultura e o desempenho?

Visamos transparência radical na Endor Labs. Isso significa compartilhar tanto o bom quanto o ruim — e não apenas o desempenho da empresa, mas também coisas como planos de ações e riscos estratégicos. Os funcionários são adultos. Nossa equipe pode lidar com a realidade. Ser aberto constrói confiança, engajamento e propriedade, e ajuda as pessoas a tomar decisões melhores.

Você frequentemente empodera líderes em ascensão no início de suas carreiras. Qual é o conselho que você dá a gerentes iniciantes que assumem grandes responsabilidades?

Eu gosto de dar a membros promissores da equipe papéis importantes cedo e confiar neles para crescer no cargo. Com mentorias e apoio, eles aprendem rapidamente. Meu conselho: abrace a responsabilidade, aprenda com falhas e construa credibilidade por meio de ações. As pessoas frequentemente surpreendem você com o que podem alcançar quando você lhes dá espaço.

Olhando para os próximos cinco anos, quais são as principais oportunidades e desafios na segurança da cadeia de suprimento de software?

Com os assistentes de codificação de IA e os desenvolvedores cidadãos redefinindo os fluxos de trabalho, precisaremos de sistemas que atuem como um “programador de segurança em par” que revisam cada solicitação de pull em tempo real, escalando revisões de código seguras e dando aos desenvolvedores contexto em que possam confiar. É por isso que na Endor Labs construímos o servidor MCP e a arquitetura de multiagente, que já estão ajudando os clientes a acompanhar o desenvolvimento nativo de IA.

O desafio é que a própria cadeia de suprimento está se tornando mais complexa. Hoje, o código é amplamente montado a partir de componentes externos, e cada nova ferramenta de IA introduz outra camada de dependência. As empresas que não repensam seus modelos encontrarão-se expostas.

Estamos vendo essa urgência se desenrolar em tempo real — a Endor Labs agora protege mais de 7 milhões de aplicativos, verifica 1,6 milhão de solicitações de pull por mês e reduz o ruído em mais de 90% para as equipes de engenharia. Cinco anos à frente, as organizações que sairão por cima são aquelas que tratam a codificação segura como parte integrante da produtividade do desenvolvedor.

Obrigado pela grande entrevista, leitores que desejam aprender mais devem visitar Endor Labs.

Related Topics:
mm

Antoine é um líder visionário e sócio-fundador da Unite.AI, impulsionado por uma paixão inabalável em moldar e promover o futuro da IA e da robótica. Um empreendedor serial, ele acredita que a IA será tão disruptiva para a sociedade quanto a eletricidade, e é frequentemente pego falando sobre o potencial das tecnologias disruptivas e da AGI. Como um futurista, ele está dedicado a explorar como essas inovações moldarão nosso mundo. Além disso, ele é o fundador da Securities.io, uma plataforma focada em investir em tecnologias de ponta que estão redefinindo o futuro e remodelando setores inteiros.