Bizimle iletişime geçin

Röportajlar

OX Security Kurucu Ortağı ve CEO'su Neatsun Ziv – Röportaj Dizisi

mm
Yayınlanan
OX Security Kurucu Ortağı ve CPO'su Lior Arzi (solda) ve Kurucu Ortağı ve CEO'su Neatsun Ziv (sağda)

Neatsun ZivOX Secuity'nin Kurucu Ortağı ve CEO'su olan OX, DevSecOps dönemi için yazılım tedarik zinciri güvenliğini yeniden tanımlamanın ön saflarında yer alıyor. OX'u kurmadan önce, Check Point'te Siber Güvenlik Başkan Yardımcısı olarak görev yapmış, küresel girişimlere liderlik etmiş ve SolarWinds ve NotPetya gibi önemli tehditlere karşı hızlı müdahaleler düzenlemiştir. Çalışmaları, onu son on yılın en kritik siber olaylarından bazılarında Interpol, ulusal CERT'ler ve diğer kolluk kuvvetleriyle doğrudan iş birliği yapmaya yöneltmiştir.

ÖKÜZ Güvenliği OX, kuruluşların gerçekten önemli olan küçük risk yüzdesine odaklanmalarına yardımcı olmak için tasarlanmış, gürültüyü kesen bir uygulama güvenlik platformudur. Kullanılabilirlik, erişilebilirlik ve iş etkisi analizlerinden yararlanan platform, yazılım geliştirme yaşam döngüsünün tamamında kanıta dayalı önceliklendirme sunar. Tam koddan buluta kapsama alanı, 100'den fazla entegrasyon ve kodsuz iş akışlarıyla OX, rehberli iyileştirmeyi doğrudan geliştirici iş akışlarına entegre ederek güvenlik önlemlerinin hem etkili hem de sorunsuz olmasını sağlar.

OX Security'yi kurmadan önce, Check Point'te büyük çaplı olay müdahalelerine liderlik ediyordunuz. Kendi şirketinizi kurma zamanının geldiğine nasıl karar verdiniz ve uygulama güvenliği alanında hangi boşluğu gördünüz?

Check Point'te çalışırken, "Kurumsal Hız Açığı"nı bizzat deneyimledim; geleneksel güvenlik kurumları daha yavaş bir tempoda hareket eder. Ayrıca, güvenlik ekiplerinin çeşitli yönlerden, özellikle de riskleri doğru şekilde önceliklendirme konusunda ne kadar verimsiz olduklarını da gördüm.

Aynı zamanda, üretken yapay zekanın (o zamanlar henüz yeterince gelişmemişti) güvenlik araçlarının nasıl evrimleşmesi gerektiğinin geleceğini temsil ettiğini ve gerçekten de büyük bir hızla ilerlediğini fark ettim. Aynı anda birkaç kritik değişim yaşanıyordu:

Tehdit Aktörü Hızlanması: Saldırganlar, güvenlik çözümlerinin yetişebileceğinden daha hızlı hareket ederek yeni teknolojileri ve teknikleri hızla benimsiyordu.

"Vibe Kodlama" Fenomeni: O zamanlar bu terim mevcut değildi, ancak geliştiricilerin giderek artan bir şekilde Copilot gibi yapay zeka destekli kodlama araçlarına güvendiğini gördüm; bu da yazılımların nasıl oluşturulduğunu temelden değiştirdi ve tamamen yeni güvenlik hususlarını beraberinde getirdi.

Tedarik Zinciri Saldırılarının Evrimi: Yazılım tedarik zinciri saldırılarının hızlanması, mevcut araçların ele almadığı uygulama güvenliğine yönelik yeni yaklaşımlara acil ihtiyaç duyulmasına neden oldu.

Mevcut kurumsal yapılardaki kademeli iyileştirmeler, hızla gelişen bu zorlukların üstesinden gelmek için yeterli olmayacaktır.

Son farkına vardığım şey, tehditlerin hızla koda girdiği ve güvenliğin de bunu takip etmesi gerektiğiydi. Bilinen çerçevelerden kopup yeni ve hızlı bir yarışa başlamamız gerekiyordu.

OX'un temel misyonu, geliştiricilerin gerçekten önemli olan %5'lik güvenlik açıklarına odaklanmalarına yardımcı olmaktır. Bu anlayış sizin için ne zaman netleşti ve bugün ürün kararlarını nasıl şekillendiriyor?

Oldukça büyük geliştirme ekiplerinin operasyonlarını yönetmiş biri olarak, güvenlikle ilgili sorunların ne kadar bunaltıcı olabileceğine tanık oldum. Neyin önemli, neyin önemsiz olduğunu anlamanız gerekiyor. Sonsuz listeler arasında gezinmek, şirketi risk azaltma konusunda ilerletmez. Aksine, hayal kırıklığına yol açar ve hatta çok fazla zaman ve kaynak tükettiği için şirketleri risk azaltma yolundan uzaklaştırır.

Bu bize, geliştiricilerin gerçekten önemli olana odaklanmalarına yardımcı olmamız ve ardından bunun neden önemli olduğunu onlara açıklamamız gerektiğini öğretti. Ardından, sorunu kolayca nasıl çözebileceklerini, hatta daha da iyisi, onlar için nasıl çözebileceklerini göstermemiz gerekiyor. Bu da artık şu gibi araçlar sayesinde mümkün. Ajan OX.

Bu anlayış, şirketimizi inşa ettiğimiz temel haline geldi ve bugün tüm ürün kararlarımıza rehberlik ediyor. Geliştirdiğimiz her özellik, her yetenek şu soruyla başlıyor: "Bu, geliştiricilerin gerçekten önemli olana odaklanmalarına yardımcı oluyor mu? Riski azaltıyor mu?"

Platform, SDLC genelinde riskleri haritalamak için "Kod Projeksiyonu"na odaklanıyor. Bu teknolojinin nasıl çalıştığını ve diğer güvenlik açığı yönetim araçlarından nasıl farklılaştığını açıklayabilir misiniz?

Kod Projeksiyonu, temelde koddaki bir sorunu gören ve bu kodun buluta ulaştığında nasıl davranacağını önceden bilen bir teknolojidir. Bu sayede, sorunları üretimde çalışmaya başlamadan çok önce, yani risk zaten ortaya çıktığında çözmenize olanak tanır.

Her kod parçasının onu oluşturan ve buluta taşıyan bir süreç (CI/CD) olduğunu anlayarak çalışır. Kodu okuyabilir ve ne anlama geldiğini yorumlayabiliriz. Açık bir örnek vermek gerekirse, internete maruz kalan bir şeyin, maruz kalmayan bir şeyden farklı etkileri olduğu açıktır.

Diğer ürünlerden en önemli farkı, çoğu aracın uzun bir sorun listesiyle işini bitirmesidir. Gerçekten önemli risklerin %5'ine veya daha azına odaklanamadığınızda, bunları filtreleyerek neredeyse alakasız zaman dilimlerine ulaşırsınız. Ayrıca, sorunu hangi geliştiriciye atayacağınızı da bilemezsiniz.

Bizim yaklaşımımız bunu tamamen değiştiriyor; sadece sorunları tespit etmekle kalmıyor, aynı zamanda bağlam, önceliklendirme ve net bir sahiplenme sağlıyoruz.

Tarama araçları, gizli veri yönetimi, SBOM, SaaS keşfi ve daha fazlası arasında tam entegrasyon sunuyorsunuz. Tüm bunları kusursuz bir geliştirici deneyiminde birleştirmenin en zorlu teknik zorlukları nelerdi?

En zor sorun, verileri içgörülere dönüştürmektir. Veri, az önce bahsettiğiniz her şeydir. Ancak geliştiricilerin netliğe, madde işaretlerine ve akıl yürütmeye ihtiyacı vardır. Odaklanmış iletişim. Dağ gibi veriyi eyleme dönüştürülebilir içgörülere nasıl dönüştürebiliriz? İşte sektördeki en büyük zorluk bu.

Bu bilgileri tutarlı bir hikaye anlatacak ve geliştiricilerin gerçekten uygulayabileceği net, öncelikli eylemler sağlayacak şekilde sentezlemek en büyük zorluktu.

PBOM (Pipeline Bill of Materials), bir OX inovasyonudur. SBOM'dan farkı nedir ve modern yazılım tedarik zincirlerinin güvenliği için neden önemlidir?

PBOM, yazılımda yazıldığı andan üretim aşamasına kadar olan her şeyi inceleme olanağıdır. SBOM ise bunun bir bileşenidir; bir uygulamanın içindeki tüm yazılım paketlerini inceler.

Önceki soruyu yanıtlamak gerekirse, PBOM aslında verileri içgörülere dönüştürmemizi sağlayan temeldir, çünkü çok daha geniş bir resme, yani tüm verilere bakar. Kodun yalnızca son bileşenlerini değil, tüm yolculuğunu ve dönüşümünü yakalar.

Bu kapsamlı görünüm önemlidir çünkü geleneksel güvenlik araçları yalnızca nihai sonucu görür ve geliştirme ve dağıtım sırasında gerçekleşen tehlikeye atılmış derleme araçları, kötü amaçlı taahhütler veya işlem hattı manipülasyonu gibi kritik saldırı vektörlerini gözden kaçırır.

OX, her yapay zeka modelinin belirli güvenlik açığı türlerine ve programlama dillerine odaklandığı yeni bir çoklu ajan mimarisi olan Agent OX'u tanıttı. Bu tasarım kararını ne yönlendirdi ve önerdiği çözümlerin pratikte hem açıklanabilir hem de güvenilir olmasını nasıl sağlıyorsunuz?

Bu çoklu ajan yaklaşımını, insanların nasıl uzmanlık geliştirdiğini inceleyerek ve aynı prensibi yapay zekaya uygulayarak oluşturduk. Bir konuda uzman olmak için, bir geliştiricinin o dilde, belirli mimaride ve belirli bir organizasyonda uzman olması gerekir. Tek bir geliştirici tüm sorunları çözemez ve aynı mantıkla, tek bir yapay zeka ajanı da bu uzmanlık seviyesine ulaşamaz. Ayrıca, kalite güvencesini yönetebilen bir ajan istersiniz.

Böylece her ajan, tıpkı insan uzmanlar gibi, kendi özel alanında derin bir uzmanlık geliştirir.

Güvenilirlik ve açıklanabilirlik açısından, her bir etken yalnızca çözümler önermekle kalmaz, aynı zamanda gerekçesini açıklar, çalışmasını gösterir ve geliştiricilerin belirli bir çözümün neden seçildiğini tam olarak anlamalarını sağlar.

Geliştirici iş akışlarının içinde doğrudan tek tıklamayla düzeltmeye odaklanmanıza ne sebep oldu? Geliştiricilerin kontrolü elinde tutmasını ve istenmeyen yan etkilerle karşılaşmamasını nasıl sağlıyorsunuz?

Ana fikir, sürtüşmeyi azaltmak ve güvenlik düzeltmelerini geliştirmektir. Geliştiricilere, önerilen düzeltmeyi kabul etmeden önce inceleme ve doğrulama konusunda tam kontrol sağlıyoruz.

Önemli olan, "tek tıklama"nın "otomatik" anlamına gelmemesi; akıcı olması anlamına gelmesidir. Geliştiriciler tam olarak neyin değiştirileceğini görebilir, nedenini anlayabilir, önerilen çözümü inceleyebilir ve ardından tek bir işlemle uygulamaya karar verebilirler. Kontrol ve karar verme tamamen onların elinde kalır, ancak çözümü araştırma ve uygulama gibi sıkıcı manuel işleri ortadan kaldırıyoruz.

Müşterileriniz arasında Microsoft, IBM ve SoFi var. Bu kurumsal ilişkiler, Agent OX gibi araçlar için yol haritanızı ve geri bildirim sürecinizi nasıl şekillendiriyor?

Yüzlerce müşteriyle çalışıyoruz ve onlarcası karşılaştıkları zorlukları bizimle açıkça paylaşıyor. Yol haritası ve tasarım kalıpları hakkındaki bu derin tartışmalar, önerilen çözümü hassas bir şekilde ayarlama becerimizin temel taşıdır. Müşterilerimizle kurduğumuz ilişkilere büyük önem veriyor ve onları bir şirket olarak bizim için en önemli öncelik olarak görüyoruz. Bu, gerçek dünya ihtiyaçlarını anlayıp bunları çözmek için çözümler üretirken bize rehberlik ediyor.

Yapay zeka güvenlik araçları daha yaygın hale geldikçe, otomasyon ile geliştirici güveni ve kontrolü arasında nasıl bir denge kuruyorsunuz? Yardımcı ve otonom arasındaki çizgiyi nerede çiziyorsunuz?

Önceki devrimlerde de gördüğümüz gibi, bu trene binmeyenler hayatta kalamıyor. Birlikte çalıştığımız kuruluşların, bir devrime tanıklık ettiğimizi anladıkları için tüm kaynaklarını yapay zeka benimsemeye kaydırdığını görmeye başlıyoruz.

Bunlar aslında en işbirlikçi müşterilerimiz çünkü keşfedilmemiş yeni bir gerilimle karşı karşıyalar: Geliştiricilerinin yapay zeka araçlarıyla hızlı hareket etmesi gerekiyor, ancak kontrolü kaybetmekten endişe ediyorlar. Rekabet avantajı elde etmek için riski ve geçici kontrol kaybını bile göze alıyorlar, ancak güvenlerini yeniden kazanmalarına yardımcı olmamıza ihtiyaçları var. Bizim görevimiz, onlara ihtiyaç duydukları hızı sağlarken, süreçteki güveni yeniden inşa etmek.

Yakın zamanda 60 milyon dolarlık bir Seri B yatırımı tamamladınız. Bu finansman OX'in bir sonraki büyüme aşamasını (teknoloji, pazara giriş veya uluslararası genişleme tarafında) nasıl hızlandıracak?

Yeni finansman temel olarak genişlemeyle ilgili ve ayrıca Agent OX'un piyasaya sürülmesiyle görmeye başladığımız yapay zeka tarafından üretilen kodlardan kaynaklanan riskleri belirleme yeteneklerimizi geliştirmemize yardımcı olacak.

Halihazırda 100'den fazla ücretli müşterimiz için günlük 200 milyondan fazla satır kodu analiz ediyoruz. Bu fonlama, bizi küresel ölçekte bu etkiyi ölçeklendirmeye ve bizi her zaman yönlendiren temel sorulara odaklanmaya yönlendiriyor: "Bu, geliştiricilerin önemli olana odaklanmasına yardımcı oluyor mu? Riski azaltıyor mu?"

Harika röportaj için teşekkürler, daha fazla bilgi edinmek isteyen okuyucular ziyaret etmelidir. ÖKÜZ Güvenliği.

İlgili konular:
mm

Antoine, yapay zeka ve robotiğin geleceğini şekillendirme ve tanıtma konusunda sarsılmaz bir tutkuyla hareket eden vizyon sahibi bir lider ve Unite.AI'nin kurucu ortağıdır. Bir seri girişimci olan Antoine, yapay zekanın toplum için elektrik kadar yıkıcı olacağına inanır ve sıklıkla yıkıcı teknolojilerin ve AGI'nin potansiyeli hakkında övgüler yağdırırken yakalanır.

Olarak fütürist, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adamıştır. Ayrıca, kurucusudur menkul kıymetler.ioGeleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren son teknolojiye yatırım yapmaya odaklanan bir platform.