Connect with us

Интервью

Ronen Slavin, CTO и сооснователь, Cycode – Интервью

mm
Published
Updated

Ronen Slavin, CTO и сооснователь Cycode, является серийным предпринимателем и бывшим офицером подразделения 8200 израильских сил обороны. До запуска Cycode в 2019 году он стал сооснователем FileLock, который был приобретен Reason Security в 2018 году, и занимал должность главы исследовательского отдела в Reason Cybersecurity. Благодаря глубокому опыту в области обнаружения вредоносного ПО, исследований уязвимостей и эксплуатации, Славин построил карьеру на пересечении передовых исследований безопасности и инноваций в области продукции.

Cycode представляет собой платформу безопасности приложений, родную для ИИ, которая объединяет команды безопасности и разработчиков с помощью действенного контекста от кода до runtime. Объединяя AST, ASPM и безопасность цепочки поставок программного обеспечения, она защищает как код, сгенерированный ИИ, так и код, написанный человеком. Благодаря своей графе Risk Intelligence (RIG), проприетарным сканерам и интеграциям, Cycode обеспечивает мгновенное обнаружение рисков, анализ воздействия изменений (CIA) и исправления, управляемые ИИ — закрывая пробелы в видимости, ускоряя исправление и снижая затраты с первого дня.

Что мотивировало вас начать Cycode, и какую ключевую проблему в области безопасности программного обеспечения вы стремились решить с самого начала?

Идея Cycode возникла из того, что мы наблюдали повторно; исходный код был украден или непреднамеренно утечен в неправильные руки. После того, как мы провели годы в области кибербезопасности и области наступательной безопасности, и возглавляли защиту конечных точек в Reason, мы пришли к выводу, насколько критически важен исходный код — не только как строки кода, но и как один из наиболее ценных активов компании. Это не получало безопасности, которую оно заслуживало.

Эта открывающая глаза реализация вдохновила меня начать Cycode. С самого начала наша миссия была ясна: защитить исходный код на каждом этапе, от момента его написания до момента его доставки, все без препятствования для работы разработчиков. Мы стремились обеспечить, чтобы безопасность и инженерия могли работать бок о бок, с безопасностью, безупречно интегрированной в повседневную рабочую деятельность, а не являющейся препятствием.

Что имело наибольшее значение, так это предоставление командам необходимой видимости, подотчетности и сотрудничества. Разработчикам не следует жертвовать своей производительностью ради безопасности, а командам безопасности не следует работать без контекста или контроля. Cycode был создан, чтобы сделать возможным и то, и другое.

Как ваш предыдущий опыт в качестве кибербезопасного предпринимателя и ваша служба в элитном разведывательном подразделении Израиля, Unit 8200, сформировали ваш технический подход в Cycode?

Мое время в израильском экосистеме кибербезопасности, особенно в элитных технических средах, привило мне мышление, характеризующееся точностью, адаптивностью и неустанной любопытством. Будь то в Unit 8200 или в мои ранние дни как предприниматель, я научился думать как и атакующий, и защитник. Этот двойной взгляд стал основой для того, как мы построили Cycode.

Как кибербезопасный предприниматель, я увидел лично, насколько фрагментированной и реактивной стала ландшафт безопасности. Инструменты безопасности часто прикреплялись после факта, оставляя разработчиков ориентироваться в лабиринте предупреждений без контекста. Это было тем, что мы стремились изменить.

В Cycode мы приняли системный подход, рассматривая исходный код как критически важный актив и строя безопасность в жизненный цикл разработки программного обеспечения с нуля. Мой опыт научил меня, что безопасность должна быть проактивной, контекстной и дружественной к разработчикам. Поэтому мы фокусируемся так сильно на автоматизации, видимости и сокращении разрыва между безопасностью и разработкой программного обеспечения. Это не только о том, чтобы находить уязвимости, но и о том, чтобы исправлять то, что имеет значение, быстро.

Cycode объединяет несколько слоев защиты, включая AST (тестирование безопасности приложений) и ASPM (управление постурой безопасности приложений). Для тех, кто не знаком, можете ли вы объяснить, как эти элементы работают вместе — и что делает подход Cycode уникальным?

Определенно. В Cycode безопасность современного программного обеспечения требует больше, чем просто сканирование кода; она требует всестороннего понимания того, как код построен, развернут и обслуживается. Как платформа безопасности приложений, родная для ИИ, наш подход является дифференциатором благодаря объединению тестирования безопасности приложений (AST), управления постурой безопасности приложений (ASPM) и безопасности цепочки поставок программного обеспечения (SSCS).

Инструменты AST, такие как SAST, DAST и SCA, эффективны в выявлении уязвимостей в коде, зависимостях и инфраструктуре. Но они часто работают в изоляции, генерируя предупреждения без контекста. Именно здесь ASPM соединяет точки по всей цепочке разработки программного обеспечения. Это обеспечивает видимость в постуре безопасности приложения с приоритизацией рисков и действенными рекомендациями по исправлению, SSCS обрамляет платформу, чтобы обеспечить безопасность конвейеров CI/CD.

Что делает Cycode уникальным, так это то, как мы объединяем эти слои и устанавливаем новый корпоративный стандарт. Сегодня в эпоху ИИ безопасность должна стать умнее. Мы построили на нашей основе с AST, ASPM и SSCS с помощью агентов ИИ, чтобы помочь расставить приоритеты и исправить то, что имеет значение, быстрее, закрывая тот разрыв в безопасности, о котором я упоминал ранее.

Как Cycode интегрируется с современными конвейерами DevOps, такими как GitHub, GitLab или Azure DevOps, чтобы обнаружить риски раньше в жизненном цикле?

Cycode был построен с учетом современных DevOps. Мы интегрируемся напрямую с платформами, такими как GitHub, GitLab и Azure DevOps, чтобы встроить безопасность в каждую фазу жизненного цикла разработки программного обеспечения, не замедляя команды.

Наша платформа соединяется с системами контроля исходного кода и CI/CD, чтобы непрерывно контролировать код, конфигурации и рабочие процессы. Мы сканируем и анализируем запросы на вытягивание в реальном времени, поэтому разработчики получают немедленную обратную связь о уязвимостях до слияния кода. Мы также анализируем историю коммитов и метаданные, чтобы назначить проблемы правильным владельцам, снижая трение и ускоряя исправление.

В нашем подходе мы не просто выводим предупреждения; мы предоставляем полный контекст. Это включает в себя происхождение проблемы, ее потенциальное воздействие и шаги по ее решению. И поскольку мы интегрируемся с инструментами, такими как JIRA, мы можем автоматически создавать и отслеживать задачи, сохраняя безопасность и инженерию в синхронизации.

В конечном итоге, наша цель — сдвинуть безопасность влево в контролируемом, дружественном к разработчикам порядке, чтобы риски были выявлены рано, решены оперативно и не стали препятствиями позже в конвейере.

Можете ли вы пройти со мной через то, как граф Risk Intelligence от Cycode помогает командам соединить угрозы по всему коду, контейнерам, инфраструктуре и runtime?

Да, это функция, которой мы гордимся. Граф Risk Intelligence, который мы называем RIG, является двигателем за способностью Cycode коррелировать и контекстуализировать данные безопасности по всей цепочке поставок программного обеспечения.

Представьте себе RIG как динамическую карту, которая связывает все — от исходного кода и открытых зависимостей до конвейеров CI/CD, реестров артефактов и runtime-окружений. Это не просто собирает данные — оно понимает отношения. Итак, когда уязвимость обнаружена в контейнере, RIG может отслеживать ее до exactной строки кода, разработчика, который ее сделал, конвейера, который ее построил, и инфраструктуры, на которой она работает.

Эта видимость имеет решающее значение. Она позволяет командам безопасности расставлять приоритеты рисков на основе их фактического воздействия, а не только по баллам тяжести. С ИИ, встроенным внутри, это обеспечивает разработчикам действенные идеи и полный контекст, позволяя им исправлять проблемы быстрее и с большей уверенностью.

Важно отметить, что RIG не просто панель; это инструмент для принятия решений. Это помогает командам перейти от обнаружения к решению со скоростью DevOps, соединяя точки по фрагментированным системам и выводя на поверхность риски, которые действительно имеют значение.

Как Cycode обнаруживает и управляет рисками, связанными с кодом, сгенерированным ИИ, и интеграциями с сервисами, такими как OpenAI или Hugging Face?

Код, сгенерированный ИИ, вводит новый слой сложности и риска, особенно когда он исходит из внешних сервисов, таких как OpenAI или Hugging Face. В Cycode мы построили возможности, специально предназначенные для решения этой эволюционирующей угрозы. Недавно мы представили агент эксплуатации ИИ и сервер MCP для защиты разработки и рабочих процессов кодирования.

Что касается нашей платформы, мы предоставляем централизованную инвентаризацию активов приложения, которая картографирует все компоненты экосистемы программного обеспечения, включая модели ИИ, библиотеки ИИ и интеграции с сервисами, такими как OpenAI или Hugging Face. Это обеспечивает командам полную видимость того, где используется ИИ, даже если он глубоко встроен в стек.

Во-вторых, мы используем проприетарные инструменты анализа кода, которые делают больше, чем просто сопоставление шаблонов. Эти инструменты могут обнаружить закономерности кода, сгенерированного ИИ, и выявить библиотеки или фреймворки, обычно связанные с машинным обучением, NLP или генеративным ИИ — даже если они не явно помечены как таковые.

В-третьих, Cycode непрерывно сканирует на предмет уязвимостей, специфичных для ИИ, таких как поверхностные уязвимости, риски взлома моделей и не безопасные интеграции. Эти векторы часто упускаются из виду традиционными инструментами AST. Мы расставляем приоритеты этих рисков на основе тяжести и бизнес-воздействия и предоставляем рекомендации по исправлению, адаптированные к контексту ИИ.

Наконец, мы помогаем организациям соблюдать нормативные акты, такие как Закон ИИ ЕС, автоматизируя документацию и предоставляя прозрачность в том, как ИИ используется по всему приложению. Это включает в себя генерацию отчетов об компонентах ИИ, их назначении и потенциальном воздействии, что является критически важным как для внутреннего управления, так и для внешних аудитов.

Вкратце, Cycode не только обнаруживает риски, связанные с ИИ; он помогает управлять ими с полным контекстом, подотчетностью и соблюдением нормативных актов.

Каковы самые большие проблемы в обнаружении секретов по всему современному SDLC, и как Cycode решает их?

Обнаружение секретов является одной из наиболее критических и упущенных проблем в современной разработке программного обеспечения. Секреты, такие как ключи API, токены и учетные данные, часто кодируются в исходный код, конвейеры CI/CD и файлы конфигурации. И с ростом распределенных команд, открытых зависимостей и быстрых циклов выпуска эти секреты могут легко утечь в публичные репозитории или быть эксплуатированы атакующими.

Проблема заключается в том, что секреты больше не находятся только в коде. Они повсюду — в средах сборки, реестрах артефактов и даже в сторонних инструментах. Традиционные сканеры часто пропускают их или генерируют чрезмерный шум, что затрудняет командам принятие мер.

В Cycode мы принимаем всесторонний подход к безопасности. Наша платформа сканирует весь SDLC, от репозиториев кода до конвейеров CI/CD и runtime-окружений, чтобы обнаружить открытые секреты в реальном времени. Мы коррелируем результаты с контекстом, поэтому команды знают не только то, что было раскрыто, но и где, кем и насколько критично это.

Мы также обеспечиваем соблюдение наименьших привилегий и безопасных конфигураций конвейеров, чтобы предотвратить неправильное использование секретов. И поскольку мы интегрируемся с системами отслеживания проблем и рабочими процессами разработчиков, исправление происходит быстро и без трения.

В конечном итоге, обнаружение секретов не только о том, чтобы найти утечку, но и о том, чтобы обеспечить безопасность всей фабрики программного обеспечения. Это то, для чего платформа Cycode была построена.

Как вы обеспечиваете точность и снижаете ложные положительные результаты при сканировании на наличие уязвимостей или секретов?

Борьба с ложными положительными результатами может быть чрезвычайно раздражающей для разработчиков. Когда команды постоянно бомбардируются нерелевантными предупреждениями, легко начать их игнорировать, и именно тогда реальные угрозы могут проскользнуть незамеченными. Через наш движок SAST мы помогаем командам выявить слабости кода, достичь точности и сосредоточиться на истинных положительных результатах, чтобы сэкономить время и ускорить поставку программного обеспечения. В тестах бенчмарка OWASP Cycode достигла показателя ложных положительных результатов в 2,1%, что представляет собой снижение более чем на 94% по сравнению с альтернативными методами.

Сначала мы фокусируемся на контекстной корреляции. Вместо того, чтобы просто флагировать потенциальную проблему и двигаться дальше, наша платформа сопоставляет ее с более широкой картиной цепочки поставок программного обеспечения организации. Следовательно, если секрет обнаружен в коммите, мы ассоциируем это обнаружение с конвейером, который его построил, окружением, в котором он был развернут, и разработчиком, который его добавил. Этот дополнительный контекст помогает нам определить, представляет ли это реальный риск или просто безобидный элемент.

Далее, наши проприетарные алгоритмы сканирования делают гораздо больше, чем просто сопоставление шаблонов. Наш движок обнаружения секретов анализирует закономерности, энтропию и то, как используется строка, позволяя нам различать настоящие секреты и подобные сущности, такие как тестовые данные или текст-заполнители.

Мы также интегрируемся с системами отслеживания проблем и рабочими процессами разработчиков, чтобы сохранить все связанным. Когда уязвимость или секрет подтверждается и исправляется, эта обратная связь помогает нам сделать наши модели умнее. Присваивая проблемы на основе владения кодом, мы помогаем обеспечить, чтобы проблемы были направлены правильным людям без ненужного дублирования.

В конечном итоге, наша цель проста. Мы стремимся сделать безопасность чем-то, на что команды могут положиться: меньше ложных сигналов, более точные результаты и более быстрые исправления. Таким образом, команды могут сосредоточиться на решении реальных проблем, которые имеют наибольшее значение.

Какова ценность “разработчико-ориентированных” инструментов безопасности, и как Cycode избегает нарушения рабочих процессов?

В своей основе разработчико-ориентированная безопасность заключается в том, чтобы сделать защиту быстрой, релевантной и только настолько видимой, насколько это необходимо. Это то, как мы сохраняем разработку в движении, сохраняя программное обеспечение в безопасности.

Если инструменты безопасности замедляют разработчиков или перегружают их слишком большим количеством предупреждений, эти инструменты рискуют быть проигнорированными. Это то, почему Cycode был разработан, чтобы помочь разработчикам, а не препятствовать им.

Настоящая ценность заключается в том, чтобы привнести безопасность直接 в повседневную рабочую деятельность разработчиков. С Cycode проверки безопасности происходят мгновенно, прямо там, где разработчики пишут и проверяют код, например, в IDE или во время запросов на вытягивание. Это означает, что разработчики получают обратную связь в тот момент, когда им это нужно, что делает легко поймать проблемы на ранней стадии и выработать безопасные привычки кодирования без дополнительных проблем.

Контекст также является ключевым. Вместо того, чтобы отправлять расплывчатые предупреждения, Cycode предоставляет разработчикам точные детали: что такое уязвимость, где она возникла, кто за нее ответственный, и как ее исправить. Этот тип информации помогает снизить путаницу и позволяет командам решать проблемы более эффективно.

Интегрируясь с популярными инструментами CI/CD и отслеживания проблем, такими как JIRA, Cycode обеспечивает, чтобы безопасность стала неотъемлемой частью процесса разработки программного обеспечения, а не чем-то отдельным или отключенным. Разработчики могут оставаться сосредоточенными на своей работе, а команды безопасности получают необходимый им надзор.

Какие виды атак или уязвимостей, по вашему мнению, увеличатся, поскольку все больше компаний принимают ИИ в своих рабочих процессах разработки?

По мере того, как ИИ становится все более неотъемлемой частью повседневной разработки, мы, вероятно, столкнемся с новым набором уязвимостей. Эти уязвимости не будут только техническими проблемами — некоторые из них возникнут из того, как люди и команды взаимодействуют с этими инструментами.

Одним из наиболее значительных рисков является то, что разработчики могут стать слишком зависимыми от кода, сгенерированного ИИ. Хотя ИИ может помочь ускорить процесс, он не идеален. Если разработчики предполагают, что каждое предложение ИИ является правильным, они могут непреднамеренно ввести скрытые ошибки или проблемы безопасности. Поскольку линии ответственности могут стать размытыми, когда код исходит от машины, эти проблемы могут остаться незамеченными.

Также существует растущая обеспокоенность по поводу атак на цепочку поставок, которые специально нацелены на модели ИИ и API. Например, если доверенные сервисы, такие как OpenAI или Hugging Face, скомпрометированы, или если кто-то проникает в рабочий процесс с вредоносной моделью, атакующие могут изменить выводы или украсть конфиденциальную информацию.

Другой возникающий угрозой является отравление данных. В этом сценарии атакующие делают тонкие, стратегические изменения в обучающих данных, которые могут позже повлиять на поведение модели ИИ. Этот тип атаки особенно опасен в областях, таких как обнаружение мошенничества или контроль доступа, где безопасность имеет решающее значение.

Кроме того, компании столкнутся с растущим давлением в отношении объяснимости и соблюдения нормативных актов. Новые нормативные акты, такие как Закон ИИ ЕС, будут требовать от организаций объяснять, как их системы ИИ принимают решения и на чем основаны эти решения. Это может быть очень сложно, если модели являются черными ящиками или если команды используют сторонние инструменты, которые не обеспечивают прозрачность.

В Cycode мы разрабатываем инструменты, которые помогают командам выявить риски, специфичные для ИИ, такие как уязвимости, злоупотребление моделями и не безопасные интеграции. Мы также хотим обеспечить, чтобы разработчики оставались ответственными за код, который они доставляют, независимо от того, написан он человеком или сгенерирован автоматически.

Оглядываясь вперед на пять лет, как вы видите эволюцию роли ИИ в обеспечении безопасности цепочки поставок программного обеспечения?

ИИ уже преобразует, как мы подходим к безопасности приложений, но его полное влияние на цепочку поставок программного обеспечения только начинается. В течение следующих пяти лет я считаю, что ИИ станет неотъемлемой частью того, как мы выявляем, расставляем приоритеты и решаем риски на протяжении всего процесса разработки.

Сначала ИИ поможет объединить команды безопасности и разработчиков. В настоящее время существует напряженность, поскольку инструменты безопасности могут прерывать рабочие процессы или лишены необходимого контекста. ИИ имеет потенциал сгладить эти края, преобразуя результаты безопасности в действенные идеи, автоматически рекомендуя исправления и даже генерируя безопасные решения кода, адаптированные к рабочему процессу каждой команды.

ИИ также станет все более важным в понимании того, что происходит в реальном времени. Он будет контролировать среды сборки, контейнеры и API, выявляя необычную активность по мере ее возникновения. Этот мониторинг в реальном времени будет иметь решающее значение, поскольку атаки на цепочку поставок становятся все более сложными и трудными для обнаружения с помощью традиционного сканирования.

Кроме того, ИИ поможет компаниям ориентироваться в все более сложном лабиринте нормативных актов. По мере того, как правительства вводят больше правил о том, как следует использовать ИИ, организации будут нуждаться в инструментах, которые могут объяснить рассуждения, лежащие в основе каждого решения ИИ, отслеживать, откуда берутся модели, и обеспечивать подотчетность. Я вижу ИИ, входящий в создание документации, картографирование зависимостей и обеспечение соблюдения политик по всему сложному ландшафту.

Однако с всеми этими достижениями человеческий надзор останется критически важным. ИИ не приходит, чтобы заменить людей, а чтобы расширить их возможности. Разработчики и команды безопасности всегда должны нести ответственность, особенно когда код, сгенерированный ИИ, может ввести новые риски. Это большая причина, почему мы посвящены построению инструментов, которые делают ИИ столь же прозрачным, понятным и подотчетным, сколько это возможно.

В конечном итоге, ИИ станет связующим звеном, которое сделает цепочки поставок программного обеспечения более безопасными, но только если мы будем использовать его вдумчиво и сохранять людей вовлеченными на каждом этапе.

Related Topics:
mm

Антуан - видный лидер и сооснователь Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Как серийный предприниматель, он считает, что ИИ будет столь же разрушительным для общества, как электричество, и часто увлекается потенциалом разрушительных технологий и ИИ.

Как футуролог, он посвящен изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Securities.io, платформы, ориентированной на инвестиции в передовые технологии, которые переопределяют будущее и меняют целые сектора.