Röportajlar

Javed Hasan, Lineaje CEO ve Kurucu Ortağı – Röportaj Serisi

mm
Published

Javed Hasan, Lineaje’nin CEO ve kurucu ortağı, Oracle, Symantec, McAfee ve Trellix gibi şirketlerde liderlik deneyimine sahip bir siber güvenlik ve企业 yazılım yöneticisidir. Hasan, kariyeri boyunca büyük ölçekli ürün, mühendislik ve strateji ekiplerini yönetmiş ve endpoint güvenlik, bulut altyapısı, SaaS dönüşümü ve企业 siber güvenlik yeniliklerine odaklanmıştır. Lineaje’de, modern yazılım tedarik zincirini güvence altına almak için organizasyonlara açık kaynak ve üçüncü taraf bileşenlerin yazılımlar içindeki görünürlüğünü sağlamaya odaklanmaktadır.

Lineaje, yazılım tedarik zinciri güvenliği konusunda uzmanlaşmış bir siber güvenlik şirketidir. Şirket, organizasyonlara modern yazılım bağımlılıklarındaki riskleri tanımlama, güvence altına alma ve yönetme konusunda yardımcı olur. Lineaje’nin platformu, yazılımların içindeki her bir bileşen, kütüphane ve bağımlılığı kataloglayarak bir tür “malzeme listesi” oluşturan SBOM (Software Bill of Materials) teknolojisine odaklanmaktadır. Şirket, bağlamsal risk analizi, otomatik güvenlik açığı düzeltme, uyumluluk yönetimi ve AI destekli “kendini iyileştirme” yazılımları sunmaktadır.

Oracle, McAfee, Symantec ve Trellix gibi şirketlerde üst düzey liderlik rollerinde bulunmuş bir yönetici olarak, Lineaje’yi 2022’de kurma kararınıza yol açan deneyimler nelerdi ve şirketle hangi temel sorunu çözmeye karar verdiniz?

30 yılı aşkın bir süredir siber güvenlik sektöründe bulunuyorum ve 50’den fazla企业 güvenlik ürününü geliştirdim ve ölçeklendirdim. Oracle, McAfee, Symantec ve Trellix’deki deneyimlerimde, organizasyonların tam olarak anlamadıkları yazılımlara güvenmek zorunda kaldıklarını gördüm.

Sektör, hızı优先larken, görünürlüğü优先lendirmemiştir. Açık kaynak, üçüncü taraf bileşenler, otomasyon ve şimdi AI tarafından üretilen kod, yazılımların daha hızlı geliştirilmesini sağlasa da, anlaşılmasını daha zor hale getirmiştir. Güven, doğrulanmak yerine varsayılmaya başlandı.

AI, bu sorunu yaratmadı, ancak var olan bir sorunu hızlandırdı ve ortaya çıkardı. Bu, bizi 2022’de Lineaje’yi kurmaya yöneltti: organizasyonlara yazılımlarındaki ve AI’deki her şeyin sürekli ve tam yaşam döngüsü anlaşılmasını sağlamak.

Yazılım tedarik zinciri saldırıları, açık kaynak bağımlılıkları ve üçüncü taraf kodları yoluyla yayılan en hızlı büyüyen siber güvenlik tehditlerinden biri haline geldi. Geleneksel güvenlik araçları bu riskleri etkili bir şekilde neden çözemiyor?

Geleneksel güvenlik araçları farklı bir işletim modeli için tasarlandı. Miras güvenlik, uygulamalar için tasarlandı. Modern risk, ekosistemlerde yaşar. Uygulamaları, çevre olaylarını veya bilinen güvenlik açıklarını izole olarak incelemeye yönelik olarak tasarlandı. Bu nedenle, birçok organizasyon hala reaktif olarak çalışırken, risk artık bağımlılıklar, derleme sistemleri, paket depoları, konteynırlar, açık kaynak kütüphaneleri ve üçüncü taraf bileşenler aracılığıyla dağıtılmaktadır.

Çoğu miras aracı, riskli bir bileşenin gerçekten sömürülebileceğini, nasıl ortamda bulunduğunu ve hangi akışlara bağlı olduğunu belirlemek için gerekli derin soy, sürekli görünürlük ve bağlamsal anlayışı sağlamaktan yoksundur. Bu, organizasyonların sürekli ve tam yaşam döngüsü kontrolü talep eden bir ortamda reaktif olarak çalışmasına neden olur.

Lineaje, yazılım tedarik zinciri güvenliği konusunda uzmanlaşmış bir şirket olarak, organizasyonlara yazılımlarındaki bileşenleri ve bunların nasıl riskli olabileceğini anlamalarına yardımcı oluyor. AI tarafından üretilen yazılımlar çağında bu düzeyde şeffaflık neden bu kadar kritik hale geldi?

AI, yaratma ve maruz kalma arasındaki zamanı sıkıştırır. Kod oluştururken, otomatik olarak provenans, izlenebilirlik veya güvenliği artırmaz. Geliştiriciler ve AI asistanları, organizasyonun henüz görmediği kod ve iş akışları üretebilirler.

Bu görünürlük olmadan, organizasyonlar neyin inşa edildiğini, uyumluluğu doğrulayamayacaklarından ve yazılımları müşterilere güvenle teslim edemeyeceklerdir. AI destekli bir dünyada, organizasyonların her bir bağımlılığı ve model etkileşimini izlemeleri, nereden geldiğini ve güvenli olup olmadığını bilmeleri gerekir.

Lineaje, UnifAI adlı bir AI politikası kontrolörünü tanıtıyor. Bu ürün, AI uygulamalarını inşa etme aşamasında güvenliğini ve yönetimini sağlamak için tasarlandı. Mevcut AI geliştirme ekosisteminde hangi boşluğu doldurmayı amaçlıyor?

Şirketler, AI deneylerinden gerçek iş akışlarına AI ajanlarını dağıtmaya doğru ilerlemektedir. Kısa sürede, AI varlıklarını keşfetmek, tutarlı politikalar tanımlamak ve güvenlik ve uyumluluk önlemlerini uygulamak için bir kontrol düzlemine ihtiyaç duyacaklardır.

UnifAI, bu boşluğu doldurmak için tasarlandı. Geliştirme iş akışına doğrudan entegre edilen bir AI politikası orkestratörü olarak çalışır. Ayrıca, AI varlıklarını sürekli olarak keşfeder, AI Malzeme Listesi (AI BOM) oluşturur, politikalar tanımlar ve üretim öncesi güvenlik ve uyumluluk önlemlerini uygular.

Çok sayıda organizasyon, AI ajanlarını ve AI tarafından üretilen uygulamaları dağıtmaya çalışırken, güvenlik ekipleri,.prompt enjeksiyonu, açık kaynaklı kütüphanelerin güvenlik açıkları ve uyumluluk sorunları gibi risklerden endişe etmektedir. Bu riskler bugün ne kadar ciddi ve şirketler nerede en çok maruz kalıyorlar?

Bu riskler bugün çok gerçek ve ciddi. AI tarafından üretilen kodun en büyük zorluğu, saldırı yüzeyinin statik yazılımlardan daha geniş ve daha öngörülemez olmasıdır. Prompt enjeksiyonu, veri sızıntısı, açık kaynaklı bağımlılıkların güvenlik açıkları, zayıf politika uygulaması, akıl yürütme manipülasyonu, yetki kayması ve düşük kod veya kod içermeyen ortamlarda görünmez karar alma gibi riskler bulunmaktadır.

Görüşüme göre, şirketler en çok, hızın yönetimden daha hızlı olduğu yerlerde maruz kalıyorlar. İş birimleri, birleşik bir güvenlik çerçevesi olmadan güçlü AI iş akışları oluşturabiliyorlar veya şirketler, ortamda çalışan tüm modelleri, ajanları, becerileri ve veri bağlantılarını göremeyebiliyorlar. Sistem teknik olarak başarısız olmayabilir, ancak güvenli olmayan bir sonuca ulaşabilir. Bu, gizli riskin en hızlı biriktığı yerdir.

Geliştirici verimliliğini güvenlik yönetimıyla dengeleme, şirketler için bir zorluk teşkil etmektedir. UnifAI gibi araçlar, güvenlik kontrollerini geliştirme iş akışlarına nasıl entegre edebilir ve bu sayede inovasyonu yavaşlatmadan güvenlik yönetimini sağlayabilir?

Doğru yaklaşım, yönetimi geliştiricilerin zaten çalıştığı yerde operasyonel hale getirmektir. UnifAI, kod asistanlarıyla ve düşük kodlu veya kod içermeyen AI platformlarıyla doğrudan entegre olmak için tasarlandı, böylece politika, uygulamalar oluşturulurken uygulanabilir.

Otomatik olarak varlıkları keşfeder, politikalar önerir veya tanımlar, iç yönetim belgelerini uygulanabilir kontrollere çevirir ve iş akışında güvenlik önlemlerini uygular. Bu, politikanın insan tarafından yorumlanmak yerine makine tarafından uygulanabilir hale gelmesi demektir. Güvenlik ekipleri, geliştiricilerin compliance’ı yorumlamak için duraklamadan daha hızlı hareket etmelerini sağlar ve güvenlik ekipleri, engelleme olmadan tutarlılık kazanırlar.

Lineaje, yazılım tedarik zincirini analiz etmek ve güvenlik açıklarını otomatik olarak düzeltmek için AI destekli araçlar geliştirmektedir. AI, geleneksel statik analiz veya manuel güvenlik incelemelerine kıyasla risk yönetimini nasıl değiştirir?

AI, risk yönetimini sürekli, bağlamsal ve giderek daha otonom hale getirir. Geleneksel statik analiz ve manuel inceleme masih değerlidir, ancak modern yazılım ve AI geliştirme hızına ve ölçeğine yetişmek için çok yavaştır. Hedef, daha fazla uyarı değildir. Hedef, maruz kalma öncesi güvenlik açıklarını ortadan kaldırmaktır. AI, ortamları sürekli olarak haritalayabilir, bağımlılıkları ilişkilendirebilir, riski bağlamında değerlendirebilir, politika önerabilir ve çoğu durumda otomatik olarak düzeltme yapabilir.

AI, uygulamaların daha büyük kısımlarını oluşturmaya başladığında, şirketlerin yazılımlarının provenansı, izlenebilirliği ve müşterilere teslim ettikleri yazılımlara güveni nasıl yeniden düşünmeleri gerekir?

Şirketlerin provenansı birincil bir gereksinim olarak ele almaları gerekir. AI destekli geliştirme modelinde, izlenebilirlik, kod, açık kaynaklı bağımlılıklar, modeller, ajanlar ve politika uygulamalarını kapsayan tüm girdileri içermelidir. Bu, dinamik malzeme listeleri, daha güçlü kimlik doğrulama ve güvenin sürekli olarak doğrulandığı bir işletim modeli gerektirir.

Standart, “anlayamadığınız veya açıklamadığınız bir şeyi teslim etmemelisiniz” olmalıdır.

Düzenlemeler ve uyumluluk zorunlulukları, şirketlerin yazılımları ve AI sistemlerini güvence altına alma şeklini giderek daha fazla etkilemektedir. AI yönetim teknolojilerinin şirketlerin benimsenmesini önümüzdeki yıllarda nasıl etkileyeceğini öngörüyorsunuz?

Düzenleme, bir hızlandırıcı olacaktır. Yazılım güvencesi ve AI yönetimine ilişkin gereksinimler daha açık hale geldikçe, yönetim, arka ofis uyumluluk egzersizi olmaktan çıkıp operasyonel altyapı haline gelecektir. Şirketler, politika uygulamak için sistemlere ihtiyaç duyacaklardır.

Şirketler, AI Yasası gibi ortaya çıkan çerçevelere ve OWASP Top Ten for AI gibi mevcut rehberlere uymaya çalışırken, bu gereksinimleri geliştirme ve çalışma zamanı ortamlarında uygulanabilir kontrollere çevirebilecek teknolojiye ihtiyaç duyacaklardır.

Gelecek birkaç yıl içinde, yönetim platformları, iyi bir şeyden çok, core entreprise kontrol yığınında bir parçası haline gelecektir, çünkü düzenleyiciler, müşteriler ve yönetim kurulları, denetim kanıtlarını bekleyecektir. Denetim kanıtı zorunlu hale gelecektir.

İleriye bakıldığında, AI destekli uygulama yönetiminin geleceği nedir? Autonomous sistemlerin, güvenlik yaşam döngüsünün büyük bir kısmını kendileri yöneteceğini öngörüyor musunuz?

Evet, insan denetimi altında politika, risk toleransı ve istisna işlemlerine odaklanarak, otonom sistemlerin güvenlik yaşam döngüsünün daha büyük bir kısmını yöneteceğini düşünüyorum. Güvenlik ekipleri, artık her sorunu yazılımlar ve AI ekosistemleri boyunca takip edemez. Yönetim, AI hızında çalışmalıdır.

Gelecek, insanların niyet ve politikayı tanımladığı, otonom sistemlerin ise sürekli olarak uyguladığı bir modeldir. Akıllı platformlar, varlıkları sürekli olarak keşfeder, canlı malzeme listelerini korur, tehditleri tespit eder, politikaları uygular ve sorunları gerçek zamanlı olarak düzeltir. İnsan ekipleri, yönü belirler ve yüksek sonuçlu kararlar alır, ancak sürekli yönetim, otonom uygulama ve canlı operasyonel güven, temel haline gelecektir. Bu, yazılımı ve AI’yi şirketlerin beklediği hızda güvence altına almanın tek sürdürülebilir yoludur.

Harika röportaj için teşekkür ederiz. Daha fazla bilgi edinmek isteyen okuyucular, Lineaje‘yi ziyaret edebilir.

mm

Antoine bir vizyoner lider ve Unite.AI'in kurucu ortağıdır ve AI ve robotik geleceğini şekillendirmek ve tanıtmak için sarsılmaz bir tutkuyla hareket etmektedir. Bir seri girişimci olarak, toplum için elektrik kadar yıkıcı olacağına inandığı AI'nin potansiyeli hakkında sık sık konuşur ve coşkusunu dile getirir.
Bir futurist olarak, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adanmıştır. Ayrıca, Securities.io kurucusudur, bu platform geleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren teknolojilere yatırım yapmaya odaklanmıştır.