Сэм Кинг, генеральный директор Veracode – серия интервью

Сэм Кинг — главный исполнительный директор Veracode и признанный эксперт в области управления бизнесом и кибербезопасности. Один из основателей Veracode, Сэм сыграл значительную роль в траектории роста компании за последние 17 лет, помогая превратить ее из небольшого стартапа в компанию с оценочной стоимостью более 2.5 миллиардов долларов.

Веракод — это aРИМЕНЕНИЕ охранное предприятие. Основанная в 2006 году, она обеспечивает безопасность приложений SaaS, интегрируя анализ приложений в конвейеры разработки.

Вы занимаетесь кибербезопасностью более 2 лет. Что изначально привлекло вас в этой отрасли?

Мой интерес к кибербезопасности появился только через несколько лет моей карьеры в сфере технологий. Я долгое время работал в области компьютеров и технологий, и примерно в 2000 году один из моих знакомых основал компанию по кибербезопасности и пригласил меня присоединиться к ним. Раньше у меня было мало знаний о кибербезопасности, но как только я ввязался, все остальное стало историей.

Вы начали свою карьеру в Veracode в качестве вице-президента по предоставлению услуг в 2006 году и с тех пор прошли путь до генерального директора. Каковы основные выводы из этого опыта?

Я чувствую себя привилегией быть в этом путешествии. За 17 лет работы в компании я работал почти во всех функциях Veracode, и главный вывод для меня заключается в том, что развитие успешного бизнеса — это, прежде всего, командный вид спорта. Пройдя путь от вице-президента по предоставлению услуг до генерального директора, я понял, что не один человек, а соединительная ткань и коллективные усилия всей организации определяют скорость и масштаб ваших достижений. Я также проникся сочувствием к требованиям различных ролей, поскольку мне приходилось выполнять большинство из них, начиная с дней, предшествующих получению дохода, и заканчивая глобальной организацией, которой мы являемся сейчас.

Veracode представляет собой мир, в котором программное обеспечение разрабатывается безопасно с самого начала. Можете ли вы обсудить, почему предприятия должны интегрировать безопасность приложений на ранних этапах жизненного цикла разработки программного обеспечения?

Программное обеспечение — это основа организации, и предприятия должны понимать, что интеграция безопасности приложений на ранних этапах жизненного цикла разработки программного обеспечения (SDLC) — это не только правильно, но и разумно. Стоимость ожидания обнаружения и устранения уязвимостей на более поздних этапах SDLC или после запуска приложения чрезвычайно высока. По данным NIST, устранение уязвимостей в производственной среде обходится в 30 раз дороже, чем раньше. Кроме того, это создает разочарование для разработчика, когда он пытается вывести функциональность на рынок, а проверки безопасности задерживают этот процесс. Идеальный процесс включает тестирование в среде IDE и в конвейере CI/CD. Сам процесс разработки кода становится процессом разработки безопасного кода, когда тестирование безопасности и исправление глубоко интегрированы в набор инструментов SDLC.

Veracode помогает предприятиям создавать и выполнять масштабируемые программы AppSec и DevSecOps. Для читателей, которые не знакомы с этими терминами, не могли бы вы дать нам их определение?

AppSec — это сокращение от «безопасность приложений» и относится к инструментам, политикам и практикам, которые можно использовать для разработки программы, обеспечивающей безопасность кода при разработке внутреннего программного обеспечения, а также сторонних приложений, открытого исходного кода и расширенного программного обеспечения. цепь. DevSecOps, также известный как «безопасный devops», представляет собой концепцию, согласно которой безопасность интегрирована во весь SDLC, от требований до архитектуры и дизайна, кодирования, тестирования, выпуска и развертывания. По сути, это означает, что все, кто участвует в разработке программного обеспечения, несут ответственность за безопасность приложений. Они идут рука об руку, поскольку их общая цель состоит в том, чтобы принимать лучшие решения в области безопасности и предоставлять более безопасное программное обеспечение с большей скоростью и эффективностью.

Не могли бы вы кратко рассказать о некоторых предлагаемых решениях, таких как Veracode SAST, Veracode SCA и Veracode DAST?

Статический анализ Veracode (SAST), который обеспечивает безопасность всего SDLC организации, чтобы разработчики могли писать безопасный код в своей интегрированной среде разработки (IDE), автоматизирует сканирование в конвейере непрерывной интеграции и непрерывной интеграции/непрерывного развертывания (CI/CD) и обеспечивает соответствие политикам перед развертывание. Он помогает управлять рисками, сканируя код и находя недостатки, а затем сортирует результаты и предоставляет разработчикам контекстные рекомендации по расстановке приоритетов, исправлению критических недостатков и снижению рисков.

Анализ состава программного обеспечения Veracode (SCA) автоматизирует поиск всех компонентов, составляющих приложение, и прописывает действия по управлению рисками внутри них. Возможности машинного обучения и автоматического исправления SCA предписывают исправления – с целью сделать это с наименьшими возможными сбоями в производстве.

Наконец, Динамический анализ (DAST) — это часть интеллектуальной платформы Veracode для обеспечения безопасности программного обеспечения, которая позволяет специалистам по безопасности выявлять поверхности для атак, о существовании которых они никогда не подозревали, находить уязвимости в средах выполнения и получать всестороннее представление о состоянии безопасности своих веб-приложений и API-интерфейсов.

В апреле 18, 2023, Veracode представила интеллектуальную систему безопасности программного обеспечения с запуском Veracode Fix, инструмента, использующего возможности технологии GPT (Generative Pre-trained Transformer). Почему GPT стал таким важным прорывом в кибербезопасности?

Команды разработчиков программного обеспечения и безопасности бежали только для того, чтобы стоять на месте. В течение многих лет безопасность программного обеспечения вращалась вокруг тестирования с целью поиска проблем, но для каждой обнаруженной проблемы существует ручная задача, которую необходимо исправить. Перед разработчиками часто ставят задачу тратить время, которого у них нет, на исправление брешей в безопасности, которых они не понимают, в коде, который они не создавали… только для того, чтобы обнаружить, что за время, необходимое для исправления одной уязвимости, появляются еще две в другом месте. Необходимость трансформации очевидна.

Veracode Fix обеспечивает это преобразование, меняя парадигму от поиска к исправлению и знаменуя собой появление интеллектуальной безопасности программного обеспечения. Используя возможности искусственного интеллекта (ИИ) для автоматической генерации исправлений для небезопасного программного обеспечения, Veracode Fix, наконец, обеспечивает автоматизацию устранения недостатков и перебалансировку ландшафта безопасности программного обеспечения. В отличие от большинства инструментов генеративного кодирования ИИ, Veracode Fix не обучается на коде с открытым исходным кодом или коде в дикой природе, а также не использует и не сохраняет данные клиентов для обучения модели.

Вместо этого мы обучили Veracode Fix работе с проприетарным курируемым набором данных под наблюдением и согласованием нашей команды ведущих исследователей безопасности и консультантов по безопасности приложений, чтобы передать совокупный опыт и знания Veracode в простом и мощном опыте: мощь Veracode у вас под рукой.

Инструмент Veracode Fix меняет парадигму с искусственного интеллекта, просто определяющего проблемы, на их исправление. Можете ли вы обсудить некоторые из преимуществ масштабирования, которые это предлагает? 

Организациям приходилось выбирать между устранением недостатков безопасности программного обеспечения и соблюдением жестких сроков запуска кода в производство. Veracode Fix, основанный на искусственном интеллекте и собственном наборе данных Veracode, экономит время разработчиков, позволяя им быстро писать более безопасный код. Это означает, что недостатки, на исправление которых ушли бы часы, а в противном случае они сохранялись бы месяцами, теперь можно исправить за считанные минуты. Преимущество масштабирования очевидно: теперь разработчики могут создавать больше программного обеспечения быстрее и, таким образом, безопасно внедрять инновации.

Сколько человеческого вмешательства необходимо, чтобы проблема была устранена, и где в общей картине люди влияют на этот тип кибербезопасности?

Несмотря на автоматизацию процесса разработки программного обеспечения, исправление недостатков безопасности — особенно в собственном коде — зависело исключительно от ручных усилий перегруженных и недостаточно поддерживаемых разработчиков. До настоящего времени.

Veracode Fix использует машинное обучение для создания предлагаемых исправлений, которые разработчики могут просматривать и внедрять без написания кода.

Важно отметить, что Veracode Fix не исправляет код автоматически, а предлагает исправления. Затем разработчик просматривает и внедряет исправления без написания кода. Это экономит время разработчиков, ускоряет безопасную разработку и позволяет управлять рисками и погашать задолженность по безопасности в масштабе с меньшими усилиями и затратами.

Есть ли что-то еще, что вы хотели бы рассказать о Veracode?

Технологии постоянно развиваются, и Veracode тоже, но цель остается неизменной с 2006 года: обеспечить безопасность программного обеспечения в любом масштабе. Точно так же, как Veracode стала пионером AppSec более 17 лет назад, сейчас мы являемся пионером в области интеллектуальной безопасности программного обеспечения. Наши продукты и инновации, такие как Veracode Fix, являются тому подтверждением.

Veracode был основан Крисом Вайсопалом, бывшим хакером в белой шляпе, который стал влиятельным лицом в области киберполитики. В 1998 году, в составе хакерского коллектива L0pht, Крис дал показания перед комитетом Сената США по расследованию правительственных киберпроблем, заявив, что поставщики кибербезопасности должны работать лучше — они должны брать на себя проблему.

С момента своего основания Veracode превратилась из стартапа в глобальный бизнес с более чем 2,600 клиентами — и за все эти годы было удивительно наблюдать за развитием событий. Это благодаря нашему стремлению помогать клиентам в решении их самых сложных задач: интеграции безопасности в SDLC; формирование компетенции разработчиков в области безопасности; защита поставки программного обеспечения; управление поверхностным риском атаки на веб-приложение; и обеспечение безопасности разработки облачных приложений. Мы являемся 10-кратным лидером в магическом квадранте Gartner по тестированию безопасности приложений — одной из самых глубоких отраслевых оценок нашей отрасли — и за эти годы получили множество отраслевых наград.

Мы особенно гордимся культурой, которую мы взращивали на протяжении всей нашей истории. Только в прошлом году Veracode был назван лучшим местом для работы 2022 года по версии The Boston Globe и лучшим местом для работы в США 2023 года по версии Energage. Для нас большая честь получить эти награды, потому что мы гордимся инклюзивной культурой, которая способствует развитию талантов и позволяет сотрудникам работать с максимальной отдачей.

Спасибо за отличное интервью, читатели, которые хотят узнать больше, должны посетить Veracode.