Connect with us

Varun Badhwar, Основатель и Генеральный Директор Endor Labs – Серия Интервью

Интервью

Varun Badhwar, Основатель и Генеральный Директор Endor Labs – Серия Интервью

mm
Published
Updated

Varun Badhwar, Основатель и Генеральный Директор Endor Labs, является предпринимателем в области кибербезопасности, признанным за создание и руководство компаниями, находящимися на переднем крае облачной и прикладной безопасности. С 2021 года он возглавляет Endor Labs, которая фокусируется на обеспечении безопасности разработки программного обеспечения, основанной на ИИ. Ранее он был старшим вице-президентом и генеральным менеджером Prisma Cloud в Palo Alto Networks и основателем RedLock, стартапа в области облачной безопасности, приобретенного Palo Alto Networks.

Endor Labs является платформой прикладной безопасности, построенной для эры ИИ, предназначенной для того, чтобы помочь командам инженеров и безопасности сбалансировать скорость и безопасность в разработке программного обеспечения. Платформа интегрирует функции, такие как анализ состава программного обеспечения на основе досягаемости, SAST, сканирование контейнеров, обнаружение секретов и защита конвейеров CI/CD, в едином представлении, giúpая командам определить, какие уязвимости действительно имеют значение, и расставить приоритеты в исправлениях. Она также включает в себя агенты ИИ, которые анализируют запросы на извлечение для архитектурных изменений и обнаруживают риски в коде, сгенерированном ИИ, на ранней стадии жизненного цикла разработки.

Ранее вы создавали и масштабировали крупные проекты в области безопасности — как эти опыт привели к созданию Endor Labs, и какую проблему вы были наиболее решительно настроены решить в начале?

В 2021 году, когда я был в Palo Alto Networks, произошла утечка данных SolarWinds. Она была огромной. Каждый клиент, использующий их программное обеспечение, был затронут, и мы не были исключением. Когда я глубже изучил, как мы управляли нашим собственным программным обеспечением, я понял, что у нас было 450 инженеров и 68 000 уязвимостей безопасности, но инженеры в основном игнорировали их. Причина? Огромные 80-90% оповещений были ложными положительными, и традиционные инструменты не понимали, как работают разработчики.

Тогда все стало ясно: современная разработка программного обеспечения больше похожа на сборку, чем на создание. Мы поставляем код, который в основном состоит из библиотек третьих сторон, без гарантий качества или безопасности. Я увидел разрыв между командами безопасности и инженерами, враждебную динамику и политическую трение. Я знал, что нам нужно заново подумать о безопасности программного обеспечения с нуля, что привело к созданию Endor Labs.

Endor Labs теперь защищает миллионы приложений для организаций, начиная от финтех и заканчивая платформами SaaS. Какие случаи использования вы видите чаще всего, и почему клиенты обращаются к вам?

Наши клиенты обращаются к нам, чтобы защитить свои цепочки поставок программного обеспечения и конвейеры разработчиков. Они хотят проверить зависимости от открытого исходного кода перед производством, автоматически пометить код, сгенерированный ИИ, с высоким риском, и в конечном итоге интегрировать безопасность直接 в рабочие процессы разработчиков.

Большинство сканеров просто бросают уязвимости разработчикам и уходят, создавая шум, который инженеры в конечном итоге игнорируют. И с кодированием настроек, которое сейчас стало мейнстримом, такой подход просто не работает. В Endor мы предоставляем контекстно-зависимый анализ и действенные идеи, чтобы команды безопасности и инженерии могли действительно доверять друг другу.

Разработчики часто сталкиваются с напряженностью между быстрой работой и безопасностью. Как ваша платформа помогает примирить эту проблему?

Скорость против безопасности — это старейшая дилемма в разработке программного обеспечения. Кодирование настроек только усилило этот компромисс. Сорок пять процентов разработчиков используют помощников ИИ ежедневно, что ускоряет скорость, но также вводит незащищенный код.

В Endor Labs мы встраиваем безопасность直接 в рабочие процессы, которые разработчики уже используют. Думайте об IDE, запросах на извлечение, конвейерах Git. Наша философия проста: безопасность — это просто еще один класс ошибок. Относитесь к ней как к любой другой ошибке программного обеспечения, и она становится частью естественного процесса разработки, а не после мысли. Уменьшая шум и предоставляя четкие рекомендации, мы позволяем разработчикам быстро работать, сохраняя при этом безопасность программного обеспечения, которое они поставляют.

Ложные положительные результаты являются одной из самых больших проблем в безопасности. Как вы подходите к этой проблеме по-другому?

Ложные положительные результаты огромны. Я видел, как инженеры игнорируют значительные участки оповещений, потому что они бессмысленны. Это опасно в мире, где атаки третьих сторон растут в двузначных темпах, а противники эксплуатируют боковые двери в конвейерах разработчиков.

Наш подход заключается в том, чтобы уделять приоритетное внимание контексту. Вместо того, чтобы сопоставлять каждую уязвимость с зависимостью, мы анализируем путь кода, бизнес-логику и даже изменения, сгенерированные ИИ. Мы также разработали сервер протокола контекста модели Endor Labs (MCP), который позволяет агентам ИИ обращаться к инструментам бэкэнда для точных исправлений, а не воображаемых. Другие инструменты не могут предложить такой уровень точности, потому что им не хватает контекста приложения. Они не знают, что делает ваш код, как общаются ваши сервисы, или как выглядит безопасное исправление. Результатом являются меньше бессмысленных оповещений и более практические рекомендации, которые разработчики могут действительно выполнить.

Цепочка поставок программного обеспечения теперь считается одной из самых срочных рисков для предприятий. Почему эта проблема так критична сегодня?

Открытый исходный код теперь доминирует в программном обеспечении предприятий, а разработка программного обеспечения превратилась в сборку программного обеспечения. Приблизительно 90% компонентов современных приложений являются внешними, а помощники кодирования ИИ вводят еще больше зависимостей автоматически. Это означает, что одна уязвимость может распространиться на миллионы приложений.

Ставки высоки: регулирующие органы теперь рассматривают открытый исходный код как вопрос национальной безопасности. И атаки, такие как недавний эксплойт Shai-Hulud npm, показывают, как противники активно нацеливаются на эти слабые точки. Без правильных ограничений предприятия подвергаются риску в огромном масштабе.

ИИ преобразует, как строится программное обеспечение. Какие новые риски это создает для безопасности приложений?

Помощники ИИ похожи на то, как если бы вы наняли тысячи стажеров одновременно — они могут повысить производительность, но также ввести хаос, если их не контролировать. Исследования показывают, что 62% кода, сгенерированного ИИ, имеет проблемы с безопасностью, качеством или архитектурой. Помимо известных уязвимостей, это включает ошибки логики, новые точки API или криптографические ошибки, которые традиционные инструменты не были разработаны для обнаружения.

Новая задача заключается в масштабировании безопасного обзора кода. Полагаться на перегруженных старших инженеров, чтобы вручную проверить каждый запрос на извлечение, не работает. Вам нужны автоматизированные системы, которые могут проверить, расставить приоритеты и направить разработчиков с той же скоростью, с которой ИИ генерирует код.

Некоторые утверждают, что ИИ вводит больше уязвимостей, чем предотвращает. Видите ли вы его как чистый риск или чистую выгоду на этом этапе?

Он может быть и тем, и другим. ИИ фантастически подходит для прототипирования и экспериментов, но неопытные разработчики, полагающиеся на ИИ, могут создать сценарий “слепой ведет слепого”. Способ перевернуть это уравнение — сопоставить ИИ с ограничениями безопасности. С правильными системами обзора и исправлений MCP в месте, вы можете превратить ИИ из чистого риска в чистую выгоду. Без них риски перевешивают выгоды.

С кодом, сгенерированным ИИ, становящимся более распространенным, какие меры предосторожности должны принять организации, чтобы обеспечить доверие к тому, что они развертывают?

Относитесь к коду, сгенерированному ИИ, как к любой другой зависимости третьих сторон. Это означает непрерывный мониторинг, автоматическую проверку и ограничения на каждом этапе конвейера. Вам также нужно обеспечить, чтобы ваши инструменты обзора ИИ были обучены на высококачественном, безопасном коде — а не просто на случайных репозиториях GitHub.

И затем перейдите за пределы обнаружения. Когда обнаружена зависимость с высоким риском, ваши инструменты должны рекомендовать путь обновления, который избегает поломки вашего приложения. Это разница между хаосом и контролем. Мне нравится думать об этом как о бамперных полосах в боулинге: шар все еще движется быстро, но он остается на трассе.

Прозрачность является центральной частью вашего стиля руководства. Как делиться как победами, так и неудачами влияет на культуру и производительность?

Мы стремимся к радикальной прозрачности в Endor Labs. Это означает делиться как хорошим, так и плохим — и не только результатами компании, но и такими вещами, как планы акций и стратегические риски. Сотрудники — взрослые. Наша команда может справиться с реальностью. Быть открытым строит доверие, вовлеченность и собственность, и помогает людям принимать лучшие решения.

Вы часто наделяете властью восходящих лидеров на ранней стадии их карьеры. Какой совет вы даете руководителям, принимающим на себя большие обязанности?

Мне нравится давать перспективным членам команды большие роли рано и доверять им, чтобы они выросли в позицию. С наставничеством и поддержкой они быстро учатся. Мой совет: принимайте ответственность, учитеся на ошибках и строите авторитет через действия. Люди часто удивляют вас тем, чего они могут достичь, когда вы даете им пространство.

Оглядываясь вперед на пять лет, какие самые большие возможности и проблемы вы видите в обеспечении безопасности цепочки поставок программного обеспечения?

С помощью помощников кодирования ИИ и гражданских разработчиков, меняющих рабочие процессы, нам понадобятся системы, которые действуют как “парный программист безопасности”, проверяющий каждый запрос на извлечение в режиме реального времени, масштабирующий безопасный обзор кода и предоставляющий разработчикам контекст, которому они могут доверять. Это почему в Endor Labs мы построили наш сервер MCP и многоагентную архитектуру, которые уже помогают клиентам идти в ногу с разработкой, родной для ИИ.

Проблема заключается в том, что сама цепочка поставок становится только более сложной. Сегодня код в основном собирается из внешних компонентов, и каждый новый инструмент ИИ вводит еще один слой зависимости. Компании, которые не переосмысливают свои модели, обнаружат, что они подвергаются риску.

Мы видим, как эта срочность разыгрывается в реальном времени — Endor Labs теперь защищает более 7 миллионов приложений, сканирует 1,6 миллиона запросов на извлечение в месяц и снижает шум более чем на 90% для команд инженеров. Через пять лет организации, которые выйдут на первое место, — это те, которые будут относиться к безопасному кодированию как к核心 части производительности разработчиков.

Спасибо за отличный интервью. Читателям, которые хотят узнать больше, следует посетить Endor Labs.

mm

Антуан - видный лидер и сооснователь Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Как серийный предприниматель, он считает, что ИИ будет столь же разрушительным для общества, как электричество, и часто увлекается потенциалом разрушительных технологий и ИИ.

Как футуролог, он посвящен изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Securities.io, платформы, ориентированной на инвестиции в передовые технологии, которые переопределяют будущее и меняют целые сектора.