Connect with us

Varun Badhwar, Fondator & CEO al Endor Labs – Seria de interviuri

Interviuri

Varun Badhwar, Fondator & CEO al Endor Labs – Seria de interviuri

mm
Published
Updated

Varun Badhwar, Fondator & CEO al Endor Labs, este un antreprenor în domeniul securității cibernetice, recunoscut pentru construirea și conducerea companiilor din domeniul securității cloud și a aplicațiilor. Din 2021, el conduce Endor Labs, care se axează pe securizarea dezvoltării de software bazate pe inteligență artificială. Anterior, el a fost SVP & GM al Prisma Cloud la Palo Alto Networks și fondator al RedLock, o companie de securitate cloud achiziționată de Palo Alto Networks.

Endor Labs este o platformă de securitate a aplicațiilor construită pentru era inteligenței artificiale, proiectată pentru a ajuta echipele de ingineri și securitate să echilibreze viteza și siguranța în dezvoltarea software. Platforma integrează funcții precum analiza compoziției software bazate pe accesibilitate, SAST, scanarea containerelor, detectarea secretelor și protecția pipeline-ului CI/CD într-o vedere unificată, ajutând echipele să identifice care vulnerabilități sunt cu adevărat importante și să prioritizeze remedierile. De asemenea, include agenți inteligenți artificiali care analizează solicitările de extragere pentru modificări arhitecturale și detectează riscuri în codul generat de inteligența artificială devreme în ciclul de viață al dezvoltării.

Ai construit și scalat anterior întreprinderi majore de securitate — cum au condus aceste experiențe la fondarea Endor Labs, și care a fost problema pe care ai fost cel mai hotărât să o rezolvi de la început?

În urmă cu 2021, eram la Palo Alto Networks când a avut loc breșa SolarWinds. A fost masivă. Fiecare client care utiliza software-ul lor a fost afectat, și noi nu am fost o excepție. Când am cercetat cum gestionam propriul nostru software, am realizat că aveam 450 de ingineri și 68.000 de vulnerabilități de securitate, dar inginerii ignorau în mare parte aceste alerte. Motivul? O cifră zdrobitoare de 80–90% din alerte erau false pozitive, și instrumentele tradiționale nu înțelegeau cum lucrează dezvoltatorii.

Atunci a fost momentul în care am înțeles: dezvoltarea software modernă este mai mult o asamblare decât o creație. Expediam cod care era în mare parte biblioteci terțe, fără garanții cu privire la calitate sau securitate. Am văzut decuplarea dintre echipele de securitate și ingineri, dinamica adversă și fricțiunea politică. Știam că trebuie să reevaluăm securitatea aplicațiilor de la zero, ceea ce a condus la fondarea Endor Labs.

Endor Labs protejează acum milioane de aplicații pentru organizații care variază de la fintech la platforme SaaS. Ce tipuri de cazuri de utilizare întâlniți cel mai frecvent, și de ce vin clienții la voi?

Clienții noștri vin la noi pentru a-și securiza lanțurile de aprovizionare software și pipeline-urile dezvoltatorilor. Ei doresc să verifice dependențele de cod deschis înainte de a intra în producție, să semnaleze automat codul generat de inteligența artificială cu risc ridicat și, în final, să integreze securitatea direct în fluxurile de lucru ale dezvoltatorilor.

Majoritatea scanerelor aruncă pur și simplu vulnerabilități la dezvoltatori și pleacă, creând zgomot pe care inginerii îl ignorează inevitabil. Și cu codarea cu vibrații acum mainstream, această abordare pur și simplu nu funcționează. La Endor, oferim analize conștiente de context și informații actionabile, astfel încât echipele de securitate și ingineri să poată avea încredere unii în alții din nou.

Dezvoltatorii se confruntă adesea cu tensiunea dintre a se deplasa rapid și a rămâne în siguranță. Cum vă ajută platforma să reconcilieze această provocare?

Viteza versus siguranța este cea mai veche dilemă în dezvoltarea software. Codarea cu vibrații a făcut ca acest compromis să fie și mai accentuat. Patruzeci și cinci la sută din dezvoltatori utilizează asistenți AI zilnic, ceea ce accelerează viteza, dar introduce și cod nesigur.

La Endor Labs, încorporăm securitatea direct în fluxurile de lucru pe care le utilizează deja dezvoltatorii. Gândiți-vă la IDE-uri, solicitări de extragere, pipeline-uri Git. Filozofia noastră este simplă: securitatea este doar o clasă de bug. Tratați-o ca orice alt bug de software, și devine parte a procesului natural de dezvoltare, în loc să fie o gândire ulterioară. Prin reducerea zgomotului și oferirea de îndrumări clare, permitem dezvoltatorilor să se deplaseze rapid, în timp ce asigură că software-ul pe care îl livrează este sigur.

Falsele pozitive sunt una dintre cele mai mari puncte dureroase în securitate. Cum abordați această problemă în mod diferit?

Falsele pozitive sunt uriașe. Am văzut ingineri care ignoră alerte semnificative pentru că sunt lipsite de sens. Acest lucru este periculos într-o lume în care atacurile terțe cresc în ritm dublu și adversarii exploatează uși laterale în pipeline-urile dezvoltatorilor.

Abordarea noastră este de a prioritiza contextul. În loc de a corela fiecare vulnerabilitate comună și expunere (CVE) cu o dependență, analizăm calea codului, logica de afaceri și chiar modificările de design generate de inteligența artificială. De asemenea, am dezvoltat Serverul Protocolului de Context al Modelului (MCP) Endor Labs, care permite agenților inteligenți artificiali să apeleze unelte backend pentru remedieri precise, în loc de cele halucinate. Alte unelte nu pot oferi acest nivel de precizie, deoarece lipsește contextul aplicației. Ei nu știu ce face codul dvs., cum serviciile dvs. comunică între ele sau ce arată o remediere sigură. Rezultatul este un număr mai mic de alerte lipsite de sens și îndrumări mai practice pe care dezvoltatorii le pot urma cu adevărat.

Lanțul de aprovizionare software este acum considerat unul dintre cele mai urgente riscuri pentru întreprinderi. De ce este această problemă atât de critică astăzi?

Codul deschis domină acum software-ul întreprinderilor, și dezvoltarea software s-a transformat în asamblarea software. Aproximativ 90% din componentele aplicațiilor moderne sunt externe, și asistenții de codare AI introduc și mai multe dependențe în mod automat. Acest lucru înseamnă că o singură vulnerabilitate poate avea un efect de undă în milioane de aplicații.

Mizele sunt mari: regulatorii abordează acum codul deschis ca pe o problemă de securitate națională. Și atacuri precum recentul exploatarea Shai-Hulud npm arată cum adversarii țintesc activ aceste puncte slabe. Fără gardurile de protecție potrivite, întreprinderile sunt expuse la scară masivă.

Inteligența artificială transformă modul în care se construiește software-ul. Ce tipuri de riscuri noi creează aceasta pentru securitatea aplicațiilor?

Asistenții AI sunt ca și cum ai angaja mii de stagiari deodată — ei pot crește productivitatea, dar introduc și haos atunci când sunt lăsați nelimitați. Studiile arată că 62% din codul generat de inteligența artificială are probleme de securitate, calitate sau arhitectură. Dincolo de CVE-urile cunoscute, acestea includ erori de logică, noi puncte de terminale API sau greșeli criptografice pe care uneltele legacy nu au fost niciodată proiectate să le detecteze.

Noua provocare este scalarea revizuirii codului sigur. A te baza pe ingineri seniori supraîncărcați pentru a verifica manual fiecare solicitare de extragere nu funcționează. Aveți nevoie de sisteme automate care pot revizui, prioritiza și ghida dezvoltatorii la aceeași viteză cu care inteligența artificială generează cod.

Unii susțin că inteligența artificială introduce mai multe vulnerabilități decât le prevenire. Îl vedeți ca pe un risc net sau un beneficiu net în acest stadiu?

Poate fi ambele. Inteligența artificială este fantastică pentru prototipare și experimentare, dar dezvoltatorii neexperimentați care se bazează pe inteligența artificială pot crea o situație în care orbii conduc orbii.

Modalitatea de a inversa această ecuație este prin asocierea inteligenței artificiale cu gardurile de securitate. Cu sistemele de revizuire și remedieri MCP conduse în loc, puteți transforma inteligența artificială dintr-un risc net într-un beneficiu net. Fără ele, riscurile depășesc beneficiile.

Cum ar trebui organizațiile să pună în aplicare garduri pentru a asigura încrederea în ceea ce livrează, odată ce codul generat de inteligența artificială devine mai frecvent?

Tratați codul generat de inteligența artificială ca orice altă dependență terță. Acest lucru înseamnă monitorizare continuă, verificare automată și garduri la fiecare etapă a pipeline-ului. De asemenea, trebuie să vă asigurați că uneltele dvs. de revizuire AI sunt antrenate pe cod sigur și de înaltă calitate — și nu doar pe repository-uri aleatorii de pe GitHub.

Și apoi mergeți dincolo de detectare. Când o dependență riscantă este semnalizată, uneltele dvs. ar trebui să recomande calea de actualizare care evită deteriorarea aplicației dvs. Acesta este diferența dintre haos și control. Îmi place să o consider ca pe benzi de siguranță la bowling: mingea se mișcă rapid, dar rămâne pe pistă.

Transparența este centrală în stilul dvs. de conducere. Cum afectează împărtășirea atât a succeselor, cât și a eșecurilor cultura și performanța?

Ne străduim pentru transparență radicală la Endor Labs. Acest lucru înseamnă împărtășirea atât a bunelor, cât și a problemelor — și nu doar performanța companiei, ci și lucruri precum planurile de acțiuni și riscurile strategice. Angajații sunt adulți. Echipa noastră poate face față realității. Deschiderea construiește încredere, implicare și proprietate, și ajută oamenii să ia decizii mai bune.

Adesea împuterniciți lideri emergenți de la începutul carierei lor. Ce îndrumări oferiți managerilor pentru prima dată care preiau responsabilități majore?

Îmi place să ofer roluri importante membrilor echipei promițătoare de la început și să-i las să crească în funcție. Cu mentorat și sprijin, ei învață repede. Sfaturile mele: îmbrățișați responsabilitatea, învățați din eșecuri și construiți credibilitate prin acțiune. Oamenii adesea te surprind cu ceea ce pot realiza atunci când le oferi spațiul.

Privind înainte cinci ani, ce oportunități și provocări majore vedeți în securizarea lanțului de aprovizionare software?

Cu asistenții de codare AI și dezvoltatorii cetățeni care redefinesc fluxurile de lucru, vom avea nevoie de sisteme care să acționeze ca un “programator de securitate pe pereche” care să revizuiască fiecare solicitare de extragere în timp real, să scaleze revizuiri de cod sigure și să ofere dezvoltatorilor contextul în care pot avea încredere. De aceea, la Endor Labs, am construit serverul nostru MCP și arhitectura multi-agent, care deja ajută clienții noștri să țină pasul cu dezvoltarea nativă AI.

Provocarea este că lanțul de aprovizionare însuși devine și mai complex. Astăzi, codul este în mare parte asamblat din componente externe, și fiecare nouă unealtă AI introduce un strat suplimentar de dependență. Companiile care nu-și reevaluează modelele vor găsi că sunt expuse.

Asistăm la această urgență care se desfășoară în timp real — Endor Labs protejează acum peste 7 milioane de aplicații, scanând 1,6 milioane de solicitări de extragere pe lună și reducând zgomotul cu peste 90% pentru echipele de ingineri. În cinci ani de acum înainte, organizațiile care vor ieși pe primul loc sunt cele care tratează codarea sigură ca o parte integrantă a productivității dezvoltatorilor.

Mulțumim pentru interviul excelent; cititorii care doresc să afle mai multe trebuie să viziteze Endor Labs.

mm

Antoine este un lider vizionar și partener fondator al Unite.AI, condus de o pasiune neclintita pentru a da forma și a promova viitorul inteligenței artificiale și al roboticii. Un antreprenor serial, el crede că inteligența artificială va fi la fel de disruptivă pentru societate ca și electricitatea, și este adesea prins vorbind cu entuziasm despre potențialul tehnologiilor disruptive și al inteligenței artificiale generale.

Ca futurist, el este dedicat explorării modului în care aceste inovații vor modela lumea noastră. În plus, el este fondatorul Securities.io, o platformă axată pe investiții în tehnologii de ultimă generație care redefinesc viitorul și reshapă întregi sectoare.