Connect with us

Ian Riopel, генеральный директор и сооснователь Root.io – Серия интервью

Интервью

Ian Riopel, генеральный директор и сооснователь Root.io – Серия интервью

mm
Published
Updated

Ian Riopel, генеральный директор и сооснователь Root.io, возглавляет миссию компании по обеспечению безопасности цепочки поставок программного обеспечения с помощью облачных решений. С более чем 15-летним опытом в технологиях и кибербезопасности, он занимал руководящие должности в Slim.AI и FXP, фокусируясь на продажах для корпоративных клиентов, стратегии выхода на рынок и росте в государственном секторе. Он имеет степень ACE от MIT Sloan и является выпускником Школы разведки армии США.

Root.io – это облачная платформа безопасности, предназначенная для помощи предприятиям в обеспечении безопасности цепочки поставок программного обеспечения. Автоматизируя доверие и соблюдение требований на протяжении всего процесса разработки, Root.io позволяет осуществлять более быструю и надежную поставку программного обеспечения для современных команд DevOps.

Что вдохновило основание Root, и как появилась идея Автоматизированного устранения уязвимостей (AVR)?

Root была создана из глубокой фрустрации, с которой мы сталкивались снова и снова: организации тратили огромное количество времени и ресурсов на преследование уязвимостей, которые никогда полностью не исчезали. Триаж стал единственной защитой от быстро накапливающихся технических долгов CVE, но с темпом появления новых уязвимостей, триаж alone уже недостаточен.

Как разработчики Slim Toolkit (ранее DockerSlim), мы уже были глубоко вовлечены в оптимизацию и безопасность контейнеров. Естественно, что мы задали вопрос: что если контейнеры могли бы проактивно исправлять себя в рамках стандартного жизненного цикла разработки программного обеспечения? Автоматическое исправление, теперь известное как Автоматизированное устранение уязвимостей (AVR), было нашим решением – подход, не фокусирующийся на триаже и построении списков, а автоматически устраняющий их,直接 в вашем программном обеспечении, без введения изменений, нарушающих работу.

Root ранее была известна как Slim.AI – что спровоцировало ребрендинг, и как компания эволюционировала во время этого перехода?

Slim.AI началась как инструмент, помогающий разработчикам минимизировать и оптимизировать контейнеры. Но мы вскоре поняли, что наша технология эволюционировала в нечто гораздо более значимое: мощную платформу, способную проактивно обеспечивать безопасность программного обеспечения для производства в масштабе. Ребрендинг в Root отражает это трансформационное изменение – от инструмента оптимизации для разработчиков до прочного решения безопасности, которое позволяет любой организации удовлетворять строгим требованиям безопасности вокруг программного обеспечения с открытым исходным кодом за считанные минуты. Root воплощает нашу миссию: добраться до корня рисков программного обеспечения и устранить уязвимости, прежде чем они станут инцидентами.

У вас есть команда с глубокими корнями в кибербезопасности, от Cisco, Trustwave и Snyk. Как ваш коллективный опыт сформировал ДНК Root?

Наша команда построила сканеры безопасности, защищала глобальные предприятия и проектировала решения для некоторых из наиболее чувствительных и высокорискованных инфраструктур. Мы напрямую столкнулись с компромиссами между скоростью, безопасностью и опытом разработчиков. Этот коллективный опыт фундаментально сформировал ДНК Root. Мы одержимы автоматизацией и интеграцией – не просто выявлением проблем безопасности, а решением их быстро, не создавая новой трения. Наш опыт информирует каждое решение, гарантируя, что безопасность ускоряет инновации, а не замедляет их.

Root утверждает, что может исправить уязвимости контейнеров за считанные секунды – без перестроения, без простоя. Как работает ваша технология AVR под капотом?

AVR работает напрямую на уровне контейнеров, быстро выявляя уязвимые пакеты и исправляя или заменяя их внутри образа самого по себе – без необходимости сложных перестроений. Думайте об этом как о бесшовной горячей замене уязвимых фрагментов кода на безопасные аналоги, сохраняя ваши зависимости, слои и поведение во время выполнения. Нет необходимости ждать патчей от поставщиков, нет необходимости перестраивать ваши конвейеры. Это устранение уязвимостей на скорости инноваций.

Можете ли вы объяснить, что отличает Root от других решений безопасности, таких как Chainguard или Rapidfort? Какое у вас преимущество в этой области?

В отличие от Chainguard, который требует перестроения с использованием проверенных образов, или Rapidfort, который уменьшает поверхность атаки без прямого устранения уязвимостей, Root напрямую исправляет ваши существующие образы контейнеров. Мы без проблем интегрируемся в ваш конвейер без нарушений – без трения, без передач. Мы не здесь, чтобы заменить ваш рабочий процесс, мы здесь, чтобы ускорить и улучшить его. Каждый образ, который проходит через Root, по сути становится золотым образом – полностью защищенным, прозрачным, контролируемым – обеспечивая быструю окупаемость инвестиций, сокращая уязвимости и экономя время. Наша платформа сокращает время устранения уязвимостей с недель или дней до 120-180 секунд, позволяя компаниям в высокорегулируемых отраслях устранить месячные очереди уязвимостей за одну сессию.

Разработчикам следует сосредоточиться на построении и доставке новых продуктов – а не тратить часы на исправление уязвимостей безопасности, трудоемкого и часто страшного аспекта разработки программного обеспечения, который тормозит инновации. Хуже того, многие из этих уязвимостей не являются даже их собственными – они возникают из-за слабостей у поставщиков третьих сторон или проектов программного обеспечения с открытым исходным кодом, заставляя команды тратить ценные часы на исправление чужой проблемы.

Разработчики и команды исследований и разработок являются среди крупнейших центров затрат в любой организации, как в плане человеческих ресурсов, так и программного обеспечения и облачной инфраструктуры, которая их поддерживает. Root облегчает эту нагрузку, используя агентный ИИ, а не полагаясь на команды разработчиков, работающих круглосуточно, чтобы вручную проверять и исправлять известные уязвимости.

Как Root конкретно использует агентный ИИ для автоматизации и оптимизации процесса устранения уязвимостей?

Наш движок AVR использует агентный ИИ для воспроизведения мыслительных процессов и действий опытного инженера по безопасности – быстро оценивая влияние CVE, выявляя лучшие доступные патчи, тщательно тестируя и безопасно применяя исправления. Он выполняет за считанные секунды то, что в противном случае потребовало бы значительных ручных усилий, масштабируясь одновременно на тысячи образов. Каждое устранение учит систему, непрерывно повышая ее эффективность и адаптивность, по сути, встраивая экспертизу полноценного инженера по безопасности напрямую в ваши образы.

Как Root интегрируется в существующие рабочие процессы разработчиков без добавления трения?

Root без проблем интегрируется в существующие рабочие процессы, подключаясь напрямую к вашему реестру контейнеров или конвейеру – без ребейзинга, без новых агентов и без дополнительных сайдкаров. Разработчики отправляют образы, как обычно, и Root xửляет исправление и публикацию обновленных образов бесшовно на месте или под новыми тегами. Наше решение остается невидимым, пока не понадобится, предлагая полную видимость через подробные аудиторские следы, полные SBOM и простые варианты отката при необходимости.

Как вы балансируете автоматизацию и контроль? Для команд, которые хотят видимость и надзор, насколько настраиваем Root?

В Root автоматизация усиливает – а не уменьшает – контроль. Наша платформа высоко настраиваема, позволяя командам масштабировать уровень автоматизации в соответствии с их конкретными потребностями. Вы решаете, что применять автоматически, когда вовлекать ручной обзор и что исключать. Мы предоставляем обширную видимость через подробные представления diff, журналы изменений и анализ влияния, гарантируя, что команды безопасности остаются информированными и уполномоченными, никогда не оставаясь в темноте.

С тысячами уязвимостей, исправленных автоматически, как вы обеспечиваете стабильность и избегаете нарушения зависимостей или срыва производства?

Стабильность и надежность лежат в основе каждого действия, которое Root’s AVR выполняет. По умолчанию мы принимаем консервативный подход, тщательно отслеживая графы зависимостей, используя патчи, осведомленные о совместимости, и тщательно тестируя каждый исправленный образ против всех доступных тестовых фреймворков для проектов с открытым исходным кодом перед развертыванием. Если проблема возникает, она обнаруживается на ранней стадии, и откат является безболезненным. На практике мы поддерживали уровень неудач менее 0,1% по всем автоматическим устранениям.

Поскольку ИИ продвигается вперед, так же продвигаются и потенциальные поверхности атаки. Как Root готовится к новым угрозам безопасности в эпоху ИИ?

Мы рассматриваем ИИ как потенциальный вектор угрозы и оборонительную сверхспособность. Root проактивно встраивает устойчивость напрямую в цепочку поставок программного обеспечения, гарантируя, что контейнеризированные рабочие нагрузки – включая сложные стеки ИИ/МЛ – постоянно укрепляются. Наш агентный ИИ эволюционирует с угрозами, автономно адаптируя защиты быстрее, чем атакующие могут действовать. Наша конечная цель – автономная устойчивость цепочки поставок программного обеспечения: инфраструктура, которая защищает себя на скорости появления новых угроз.

Спасибо за отличное интервью, читателям, которые хотят узнать больше, следует посетить Root.io.

mm

Антуан - видный лидер и сооснователь Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Как серийный предприниматель, он считает, что ИИ будет столь же разрушительным для общества, как электричество, и часто увлекается потенциалом разрушительных технологий и ИИ.

Как футуролог, он посвящен изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Securities.io, платформы, ориентированной на инвестиции в передовые технологии, которые переопределяют будущее и меняют целые сектора.