Connect with us

Interviuri

Ronen Slavin, CTO și Co-fondator, Cycode – Seria de interviuri

mm
Published
Updated

Ronen Slavin, CTO și Co-fondator, Cycode, este un antreprenor serial și fost ofițer al Unității 8200 din cadrul Forțelor de Apărare ale Israelului. Înainte de a lansa Cycode în 2019, el a co-fondat FileLock, care a fost achiziționat de Reason Security în 2018, și a ocupat funcția de Șef al Departamentului de Cercetare la Reason Cybersecurity. Cu o expertiză profundă în detectarea malware, cercetarea vulnerabilităților și exploatarea acestora, Slavin și-a construit o carieră la intersecția dintre cercetarea avansată de securitate și inovarea produselor.

Cycode este o platformă de securitate a aplicațiilor native AI care unește echipele de securitate și dezvoltare cu contextul acțiunilor de la cod la runtime. Prin convergența AST, ASPM și a securității lanțului de aprovizionare cu software, aceasta securizează atât codul generat de AI, cât și cel generat de oameni. Propulsat de Risk Intelligence Graph (RIG), scanneri proprietari și integrări, Cycode oferă detectare instantanee a riscurilor, analiză a impactului schimbărilor (CIA) și soluții de remediere conduse de AI – închizând lacunele de vizibilitate, accelerând remedierea și reducând costurile de la început.

Ce v-a motivat să începeți Cycode, și care a fost problema cheie de securitate a software-ului pe care ați încercat să o rezolvați de la început?

Ideea pentru Cycode a apărut din ceva pe care l-am observat în mod repetat; codul sursă a fost furat sau scurs involuntar în mâinile greșite. După ce am petrecut ani în domeniul securității cibernetice și al spațiului de securitate ofensivă și am condus protecția punctelor finale la Reason, am realizat cât de critic este codul sursă – nu doar ca linii de cod, ci și ca una dintre cele mai valoroase active ale unei companii. Nu primea securitatea pe care o merita.

Această realizare revelatoare este ceea ce m-a inspirat să încep Cycode. De la început, misiunea noastră a fost clară: protejați codul sursă la fiecare etapă, de la momentul în care este scris până la momentul în care este expediat, fără a împiedica dezvoltatorii să-și păstreze impulsul și tracțiunea. Ne-am propus să asigurăm că securitatea și ingineria pot lucra împreună, cu securitatea integrată perfect în fluxul de lucru zilnic, și nu ca un obstacol.

Ceea ce a contat mai mult a fost să oferim echipelor vizibilitatea, responsabilitatea și colaborarea de care aveau nevoie. Dezvoltatorii nu ar trebui să sacrifice productivitatea pentru securitate, iar echipele de securitate nu ar trebui să opereze fără context sau control. Cycode a fost creat pentru a face posibilă ambele lucruri.

Cum a influențat experiența dvs. anterioară ca antreprenor în domeniul securității cibernetice și serviciul dvs. în unitatea de inteligență de elită a Israelului, Unitatea 8200, abordarea dvs. tehnică la Cycode?

Perioada mea petrecută în ecosistemul de securitate cibernetică al Israelului, în special în medii tehnice de elită, mi-a insuflat o mentalitate de precizie, adaptabilitate și curiozitate nelimitată. Indiferent dacă eram la Unitatea 8200 sau în primele mele zile de antreprenor, am învățat să gândesc atât ca atacator, cât și ca apărător. Această perspectivă duală a fost fundamentală pentru modul în care am construit Cycode.

Ca antreprenor în domeniul securității cibernetice, am văzut cum peisajul de securitate a devenit fragmentat și reactiv. Uneltele de securitate erau adesea atașate după fapt, lăsând dezvoltatorii să navigheze printr-o labirint de alerte fără context. Asta am încercat să schimb.

La Cycode, am adoptat o abordare la nivel de sistem, tratând codul sursă ca pe un activ critic și integrând securitatea în ciclul de viață al dezvoltării software de la început. Experiența mea mi-a învățat că securitatea trebuie să fie proactivă, contextuală și prietenoasă cu dezvoltatorii. De aceea ne concentrăm atât de mult pe automatizare, vizibilitate și reducerea decalajului dintre securitate și dezvoltarea software. Nu este vorba doar despre identificarea vulnerabilităților, ci și despre remedierea problemelor importante, rapid.

Cycode combină multiple straturi de protecție, inclusiv AST (Testare de securitate a aplicațiilor) și ASPM (Managementul posturii de securitate a aplicațiilor). Pentru cei care nu sunt familiarizați, puteți explica cum funcționează aceste elemente împreună – și ce face abordarea Cycode unică?

Cu siguranță. La Cycode, securizarea software-ului modern necesită mai mult decât doar scanarea codului; necesită o înțelegere holistică a modului în care codul este construit, implementat și întreținut. Ca platformă de securitate a aplicațiilor native AI, abordarea noastră este un diferențiator datorită convergenței Testării de securitate a aplicațiilor (AST), Managementului posturii de securitate a aplicațiilor (ASPM) și securității lanțului de aprovizionare cu software (SSCS).

Uneltele AST, cum ar fi SAST, DAST și SCA, sunt eficiente în identificarea vulnerabilităților în cod, dependențe și infrastructură. Dar ele adesea operează în silozuri, generând alerte fără context. Aici intervine ASPM. ASPM conectează punctele cheie de-a lungul întregului ciclu de viață al dezvoltării software. Acesta oferă vizibilitate în postura de securitate a aplicației, cu prioritatea riscurilor și remedierea cu acțiuni concrete, SSCS securizează pipeline-urile CI/CD.

Ce face Cycode unic este modul în care unificăm aceste straturi și stabilim un nou standard pentru întreprinderi. Astăzi, în această eră a inteligenței artificiale, securitatea va trebui să devină mai inteligentă. Am construit pe baza noastră cu AST, ASPM și SSCS, cu agenți AI pentru a ajuta la prioritizarea și remedierea problemelor importante, mai rapid, închizând decalajul de securitate pe care l-am menționat anterior.

Cum integrează Cycode cu pipeline-urile moderne DevOps, cum ar fi GitHub, GitLab sau Azure DevOps, pentru a detecta riscuri mai devreme în ciclul de viață?

Cycode a fost construit cu DevOps modern în minte. Ne integrăm direct în platforme precum GitHub, GitLab și Azure DevOps pentru a încorpora securitatea în fiecare fază a ciclului de viață al dezvoltării software, fără a încetini echipele.

Platforma noastră se conectează la controlul sursă și sistemele CI/CD pentru a monitoriza continuu codul, configurațiile și fluxurile de lucru. Scanează și solicitările de pull în timp real, astfel încât dezvoltatorii primesc feedback imediat despre vulnerabilități înainte ca codul să fie unit. De asemenea, analizăm istoricul commit-urilor și metadatele pentru a atribui problemele persoanelor potrivite, reducând astfel fricțiunea și accelerând remedierea.

În abordarea noastră, nu doar afișăm alerte; oferim context complet. Acesta include originea problemei, impactul său potențial și pașii pentru a o rezolva. Și deoarece ne integrăm cu unelte precum JIRA, putem crea și urmări automat bilețele, ținând echipele de securitate și inginerie în sincron.

În cele din urmă, scopul nostru este să deplasăm securitatea mai devreme, într-un mod controlat și prietenos cu dezvoltatorii, astfel încât riscurile să fie identificate devreme, abordate prompt și să nu devină blocaje mai târziu în pipeline.

Puteți explica cum ajută Graficul de inteligență a riscurilor (RIG) de la Cycode echipele să conecteze amenințările de-a lungul codului, containere, infrastructură și runtime?

Da, este o funcționalitate pe care suntem mândri să o oferim. Graficul de inteligență a riscurilor, pe care îl numim RIG, este motorul din spatele capacității Cycode de a corela și contextualiza datele de securitate de-a lungul întregului lanț de aprovizionare cu software.

Gândiți-vă la RIG ca la o hartă dinamică care leagă împreună totul, de la codul sursă și dependențele open-source până la pipeline-urile CI/CD, registrele de artefacte și mediile de runtime. Nu doar colectează date – înțelege relațiile. Așadar, atunci când se găsește o vulnerabilitate într-un container, RIG poate urmări aceasta până la linia exactă de cod, dezvoltatorul care a făcut commit-ul, pipeline-ul care l-a construit și infrastructura pe care rulează.

Această vizibilitate este critică. Permite echipelor de securitate să prioritizeze riscurile în funcție de impactul lor real, și nu doar de scorurile de gravitate. Cu AI încorporat, oferă dezvoltatorilor informații cu acțiuni concrete și context complet, permițându-le să remedieze problemele mai rapid și cu mai multă încredere.

Este important de remarcat că RIG nu este doar un tablou de bord; este un instrument de luare a deciziilor. Ajută echipele să treacă de la detectare la rezolvare la viteza DevOps, conectând punctele cheie de-a lungul sistemelor fragmentate și aducând la suprafață riscurile care contează cu adevărat.

Cum detectează și gestionează Cycode riscurile legate de codul generat de AI și integrările cu servicii precum OpenAI sau Hugging Face?

Codul generat de AI introduce un nou strat de complexitate și risc, în special atunci când provine din servicii externe precum OpenAI sau Hugging Face. La Cycode, am construit capacități special pentru a aborda acest peisaj de amenințări în evoluție. De curând, am lansat Agentul nostru de Exploatabilitate AI și Serverul MCP pentru a securiza fluxurile de lucru de dezvoltare AI și codare.

În ceea ce privește platforma noastră, oferim un Inventar centralizat de active de aplicații care hartă toate componentele dintr-un ecosistem de software, incluzând modele AI, biblioteci AI terțe și integrări cu servicii precum OpenAI sau Hugging Face. Acesta oferă echipelor o vizibilitate completă asupra modului în care se utilizează AI, chiar și atunci când este profund încorporat în stivă.

În al doilea rând, utilizăm unelte de analiză a codului proprietare care merg dincolo de simpla potrivire a șablonului. Aceste unelte pot detecta modele de cod generate de AI și identifica biblioteci sau cadre asociate cu învățarea automată, NLP sau AI generativă – chiar și atunci când nu sunt explicit marcate ca atare.

De asemenea, scanează continuu pentru vulnerabilități specifice AI, cum ar fi suprafețele de atac advers, riscurile de otrăvire a datelor și amenințările de extragere a modelului. Acestea sunt vectori emergenți pe care uneltele AST tradiționale adesea îi ratează. Prioritizăm aceste riscuri în funcție de gravitate și impactul asupra afacerii și oferim orientări de remediere adaptate contextului AI.

În cele din urmă, ajutăm organizațiile să respecte reglementările precum Actul AI al UE, prin automatizarea documentației și oferirea de transparență asupra modului în care se utilizează AI în aplicații. Acesta include generarea de rapoarte despre componente AI, scopul și impactul lor potențial, ceea ce este critic atât pentru guvernanța internă, cât și pentru auditurile externe.

În sinteză, Cycode nu doar detectează riscurile legate de AI; ajută la gestionarea lor cu context complet, responsabilitate și conformitate în minte.

Care sunt cele mai mari provocări în detectarea secretelor în medii SDLC moderne, și cum le rezolvă Cycode?

Detectarea secretelor este una dintre cele mai critice și neglijate provocări în dezvoltarea software modernă. Secretele, cum ar fi cheile API, token-urile și credențialele, sunt adesea încorporate în codul sursă, pipeline-urile CI/CD și fișierele de configurare. Și cu apariția echipelor distribuite, dependențelor open-source și ciclurilor rapide de lansare, aceste secrete pot scăpa cu ușurință în depozite publice sau fi exploatate de atacatori.

Provocarea constă în faptul că secretele nu se mai află doar în cod. Ele sunt peste tot, în mediile de construire, registrele de artefacte și chiar în uneltele terțe. Scannerele tradiționale adesea le ratează sau generează zgomot excesiv, făcând dificilă pentru echipe să ia măsuri.

La Cycode, abordăm securitatea în mod holistic. Platforma noastră scanează întregul SDLC, de la depozitele de cod până la pipeline-urile CI/CD și mediile de runtime, pentru a detecta secrete expuse în timp real. Corelăm rezultatele cu context, astfel încât echipele să știe nu doar ce a fost expus, ci și unde, de către cine și cât de critic este.

De asemenea, impunem accesul cu privilegii minime și configurăm pipeline-urile în mod securizat pentru a preveni utilizarea abuzivă a secretelor. Și deoarece ne integrăm cu sistemele de urmărire a problemelor și fluxurile de lucru ale dezvoltatorilor, remedierea este rapidă și fără fricțiune.

În cele din urmă, detectarea secretelor nu este doar despre găsirea scurgerii, ci și despre securizarea întregului “fabric” de software. Acesta este ceea ce platforma Cycode este construită să facă.

Cum asigurați acuratețea și reduceți falsurile pozitive atunci când scanați pentru vulnerabilități sau secrete?

A face față falselor pozitive poate fi incredibil de frustrant pentru dezvoltatori. Când echipele sunt bombardate constant cu alerte irelevante, este ușor să înceapă să le ignore, și exact atunci când amenințările reale pot trece neobservate. Prin motorul nostru SAST, ajutăm echipele să identifice slăbiciuni de cod, să obțină acuratețe și să se concentreze pe adevăratele pozitive pentru a economisi timp și a accelera livrarea software-ului. În testele de benchmark OWASP, Cycode a obținut un rata de fals pozitive de 2,1%, reprezentând o reducere de peste 94% comparativ cu metodele alternative.

Mai întâi, ne concentrăm pe corelarea contextuală. În loc să semnalăm doar o posibilă problemă și să trecem mai departe, platforma noastră asociază aceasta cu imaginea de ansamblu a lanțului de aprovizionare cu software al unei organizații. Prin urmare, dacă un secret este descoperit într-un commit, asociem această descoperire cu pipeline-ul care l-a construit, mediul în care a fost implementat și dezvoltatorul care l-a adăugat. Acest context suplimentar ne ajută să determinăm dacă reprezintă un risc real sau este doar inofensiv.

Următorul, algoritmii noștri de scanare proprietari fac mult mai mult decât doar potrivirea șablonului de bază. Uneltele noastre de detectare a secretelor analizează modele, entropie și modul în care șirul este utilizat, permițându-ne să distingem între secrete autentice și entități similare, cum ar fi datele de test sau textul de umplere.

Ne integrăm, de asemenea, cu sistemele de urmărire a problemelor și fluxurile de lucru ale dezvoltatorilor pentru a menține totul conectat. Când o vulnerabilitate sau un secret este confirmat și remediat, feedback-ul acesta ne ajută să facem modelele noastre mai inteligente. Prin atribuirea problemelor pe baza proprietății codului, ajutăm să se asigure că problemele sunt direcționate către persoanele potrivite fără duplicare inutilă.

În cele din urmă, scopul nostru este simplu. Ne propunem să facem securitatea ceva în care echipele pot avea încredere: mai puține false alarme, descoperiri mai precise și rezolvări mai rapide. Astfel, echipele pot se concentra asupra rezolvării problemelor reale care contează cel mai mult.

Care este valoarea uneltelor de securitate “dezvoltator-prima”, și cum evită Cycode să perturbe fluxurile de lucru?

La bază, securitatea “dezvoltator-prima” înseamnă a face protecția rapidă, relevantă și vizibilă doar atunci când este necesar. Acesta este modul în care menținem dezvoltarea înainte, menținând în același timp securitatea software.

Dacă uneltele de securitate încetinesc dezvoltatorii sau îi copleșesc cu prea multe alerte, aceste unelte riscă să fie ignorate. De aceea, Cycode a fost conceput pentru a ajuta dezvoltatorii, nu pentru a-i împiedica.

Adevărata valoare vine din aducerea securității direct în fluxul de lucru zilnic al dezvoltatorilor. Cu Cycode, verificările de securitate au loc instantaneu, acolo unde dezvoltatorii scriu și revizuiesc codul, cum ar fi în IDE sau în timpul solicitărilor de pull. Acest lucru înseamnă că dezvoltatorii primesc feedback în momentul în care au nevoie, făcându-le ușor să identifice problemele de la început și să construiască obiceiuri de codare sigure fără probleme suplimentare.

Contextul este, de asemenea, cheia. În loc să trimitem alerte vagi, Cycode oferă dezvoltatorilor detalii precise: ce este vulnerabilitatea, de unde provine, cine este responsabil și cum să o rezolve. Aceste informații ajută la reducerea confuziei și permit echipelor să rezolve problemele mai eficient.

Prin integrarea cu unelte CI/CD populare și urmărirea problemelor, cum ar fi JIRA, Cycode asigură că securitatea devine o parte integrantă a procesului de dezvoltare a software-ului, și nu ceva separat sau deconectat. Dezvoltatorii pot rămâne concentrați asupra sarcinilor lor, iar echipele de securitate primesc supravegherea de care au nevoie.

Ce tipuri de atacuri sau vulnerabilități anticipați că vor crește pe măsură ce mai multe companii adoptă AI în fluxurile lor de dezvoltare?

Pe măsură ce AI devine o parte din ce în ce mai importantă a fluxurilor de dezvoltare, ne vom confrunta cu un nou set de vulnerabilități. Acestea nu vor fi doar provocări tehnice; unele vor veni din modul în care oamenii și echipele interacționează cu aceste unelte.

Unul dintre cele mai semnificative riscuri este că dezvoltatorii pot deveni prea dependenți de codul generat de AI. În timp ce AI poate ajuta la accelerarea procesului, nu este perfect. Dacă dezvoltatorii presupun că fiecare sugestie AI este corectă, pot introduce accidental bug-uri sau probleme de securitate. Deoarece linia responsabilității poate deveni neclară atunci când codul provine de la o mașină, aceste probleme pot trece neobservate.

Există, de asemenea, o preocupare crescândă legată de atacurile asupra lanțului de aprovizionare care vizează în mod special modelele și API-urile AI. De exemplu, dacă servicii de încredere precum OpenAI sau Hugging Face sunt compromise, sau dacă cineva introduce un model malign într-un flux de lucru, atacatorii ar putea modifica ieșirile sau fura informații sensibile.

O altă amenințare emergentă este otrăvirea datelor. În acest scenariu, atacatorii fac modificări subtile, strategice ale datelor de antrenament care pot afecta ulterior modul în care funcționează modelul AI. Acest tip de atac este deosebit de periculos în domenii precum detectarea fraudelor sau controlul accesului, unde securitatea este crucială.

La Cycode, dezvoltăm unelte care ajută echipele să identifice riscurile specifice AI, cum ar fi vulnerabilitățile adversarilor, abuzul de modele și integrările nesigure. De asemenea, ne asigurăm că dezvoltatorii rămân responsabili pentru codul pe care îl expediază, indiferent dacă este scris de o persoană sau generat în mod autonom.

Privind în următorii cinci ani, cum anticipați că va evolua rolul AI în securizarea lanțurilor de aprovizionare cu software?

AI este deja pe cale să transforme modul în care abordăm securitatea aplicațiilor, dar influența sa completă asupra lanțului de aprovizionare cu software abia începe să se manifeste. În următorii cinci ani, cred că AI va deveni o parte integrantă a modului în care identificăm, prioritizăm și abordăm riscurile de-a lungul întregului proces de dezvoltare.

Mai întâi, AI va ajuta la apropiera echipele de securitate și dezvoltare. În prezent, există adesea tensiuni, deoarece uneltele de securitate pot întrerupe fluxurile de lucru sau pot lipsi contextul esențial. AI are potențialul de a netezi aceste muchii, transformând descoperirile de securitate în informații cu acțiuni concrete, recomandând remedieri automate și generând soluții de cod securizat adaptate fluxului de lucru al fiecărei echipe.

AI va deveni, de asemenea, din ce în ce mai important pentru înțelegerea a ceea ce se întâmplă în timp real. Va monitoriza mediile de construire, containerele și API-urile, identificând activitățile neobișnuite pe măsură ce apar. Acest tip de monitorizare în timp real va fi esențial pe măsură ce atacurile asupra lanțului de aprovizionare devin din ce în ce mai sofisticate și mai greu de detectat doar cu scanarea tradițională.

În plus, AI va ajuta companiile să navigheze labirintul în creștere al reglementărilor. Pe măsură ce guvernele introduc mai multe reguli despre cum ar trebui să fie utilizat AI-ul, organizațiile vor avea nevoie de unelte care pot explica raționamentul din spatele fiecărei decizii AI, pot urmări de unde provin modelele și pot impune responsabilitatea în sisteme complexe.

Totuși, odată cu toate aceste progrese, supravegherea umană va rămâne critică. AI nu este aici pentru a înlocui oamenii, ci pentru a-i împuternici. Dezvoltatorii și echipele de securitate vor trebui întotdeauna să-și asume responsabilitatea, mai ales atunci când codul generat de AI ar putea introduce noi riscuri. Acesta este un motiv major pentru care suntem dedicați construirii uneltelor care fac AI-ul cât mai transparent, inteligibil și responsabil posibil.

În cele din urmă, AI va deveni firul conductor care face lanțurile de aprovizionare cu software mai sigure, dar doar dacă îl vom utiliza cu grijă și vom păstra oamenii implicați în fiecare etapă.

Mulțumim pentru acest interviu excelent. Citiitorii care doresc să afle mai multe despre Cycode ar trebui să viziteze Cycode.

Related Topics:
mm

Antoine este un lider vizionar și partener fondator al Unite.AI, condus de o pasiune neclintita pentru a da forma și a promova viitorul inteligenței artificiale și al roboticii. Un antreprenor serial, el crede că inteligența artificială va fi la fel de disruptivă pentru societate ca și electricitatea, și este adesea prins vorbind cu entuziasm despre potențialul tehnologiilor disruptive și al inteligenței artificiale generale.

Ca futurist, el este dedicat explorării modului în care aceste inovații vor modela lumea noastră. În plus, el este fondatorul Securities.io, o platformă axată pe investiții în tehnologii de ultimă generație care redefinesc viitorul și reshapă întregi sectoare.