Connect with us

Varun Badhwar, Endor Labs’ın Kurucu Ortağı ve CEO’su – Röportaj Serisi

Röportajlar

Varun Badhwar, Endor Labs’ın Kurucu Ortağı ve CEO’su – Röportaj Serisi

mm
Published
Updated

Varun Badhwar, Endor Labs’ın Kurucu Ortağı ve CEO’su, bulut ve uygulama güvenliği alanındaki şirketleri inşa etme ve liderlik etme konusunda tanınan bir siber güvenlik girişimcisidir. 2021 yılından bu yana Endor Labs’ı yönetiyor ve şirket, AI destekli yazılım geliştirme süreçlerini güvence altına almaya odaklanıyor. Öncesinde, Palo Alto Networks’te Prisma Cloud’un SVP ve GM’si ve RedLock’ın kurucusu olarak görev yaptı; RedLock, daha sonra Palo Alto Networks tarafından satın alındı.

Endor Labs, AI çağı için tasarlanmış bir uygulama güvenliği platformudur. Mühendislik ve güvenlik ekiplerinin yazılım geliştirme sırasında hız ve güvenlik arasında denge kurmasına yardımcı olmak için tasarlanmıştır. Platform, ulaşılabilirlik temelinde yazılım bileşen analizini, SAST, konteynır taramasını, gizli algılamayı ve CI/CD pipeline korumasını birleşik bir görünüme entegre ederek, ekiplerin gerçekten önemli olan açıkları belirlemesine ve düzeltmeleri önceliklendirmesine yardımcı olur. Ayrıca, mimari değişiklikler için çekme taleplerini analiz eden ve geliştirme yaşam döngüsünün erken aşamalarında AI tarafından oluşturulan kodlardaki riskleri tespit eden AI ajanları da içerir.

Önceden büyük güvenlik girişimlerini inşa etti ve ölçekledi — bu deneyimler sizi Endor Labs’ı kurmaya nasıl yönlendirdi ve başlangıçta hangi sorunu çözmeye en çok kararlıydınız?

2021’de, SolarWinds ihlali meydana geldiğinde Palo Alto Networks’te bulunuyordum. Bu, muazzam bir ihlaldi. Müşterilerin tamamı etkilenmişti ve biz de istisna değildik. Kendi yazılımlarımızı nasıl yönettiğimizle ilgili olarak incelediğimde, 450 mühendis ve 68.000 güvenlik açığına sahip olduğumuzu, ancak mühendislerin çoğunun bunları görmezden geldiğini fark ettim. Sebep? Alertlerin %80-90’ı yanlış pozitifti ve geleneksel araçlar geliştiricilerin nasıl çalıştığını anlamıyordu.

İşte o zaman anladım: Modern yazılım geliştirme, yaratma yerine montaj gibidir. Çoğunlukla üçüncü taraf kütüphanelerinden oluşan kodu gönderiyoruz ve bunların kalitesi veya güvenliği konusunda herhangi bir garanti yok. Güvenlik ekipleri ile mühendisler arasındaki bağı, adversarial dinamikleri ve siyasi sürtüşmeyi gördüm. Uygulama güvenliğini temelinden yeniden düşünmemiz gerektiğini anladım ve bu, Endor Labs’ı kurmaya yol açtı.

Endor Labs şimdi fintech’ten SaaS platformlarına kadar çeşitli organizasyonlar için milyonlarca uygulamayı koruyor. En sık hangi kullanım örnekleriyle karşılaşıyorsunuz ve müşteriler neden size başvuruyor?

Müşterilerimiz, yazılım tedarik zincirlerini ve geliştirici hatlarını güvence altına almak için bize başvuruyorlar. Üretimde önce açık kaynak bağımlılıklarını doğrulamak, yüksek riskli AI tarafından oluşturulan kodu otomatik olarak işaretlemek ve sonunda güvenliği geliştirici iş akışlarına doğrudan entegre etmek istiyorlar.

Çoğu tarayıcı, geliştiricilere yalnızca açıkları sunar ve sonra uzaklaşır, bu da mühendislerin kaçınılmaz olarak görmezden geldiği gürültü yaratır. Vibe kodlama artık ana akım haline geldi ve bu yaklaşım artık çalışmıyor. Endor’da, güvenlik ve mühendislik ekiplerinin birbirlerine gerçekten güvenebilmeleri için bağlam bilgisi analizleri ve eyleme geçirilebilir içgörüler sunuyoruz.

Geliştiriciler genellikle hızlı hareket etme ve güvenli kalma arasında bir gerilim yaşar. Platformunuz bu zorluğu nasıl çözer?

Hız karşıtı güvenlik, yazılım geliştirme中的 en eski ikilemdir. Vibe kodlama, bu ticaret kısıtlamasını daha da vurgulamıştır. Geliştiricilerin %45’i günlük olarak AI asistanlarını kullanıyor, bu da hızı hızlandırıyor ancak aynı zamanda güvenli olmayan kodu da tanıtıyor.

Endor Labs’da, güvenliği geliştiricilerin zaten kullandığı iş akışlarına doğrudan entegre ediyoruz. IDE’ler, çekme talepleri, Git hatları düşünün. Felsefemiz basittir: Güvenlik, başka bir tür yazılım hatasıdır. Onu herhangi bir başka yazılım hatası gibi tedavi edin ve doğal geliştirme sürecinin bir parçası haline gelir, sonradan düşünülmesi gereken bir şey olmaz. Gürültüyü azaltarak ve net rehberlik sağlayarak, geliştiricilerin hızlı hareket etmesini sağlarken aynı zamanda gönderdikleri yazılımların güvenli olmasını da sağlıyoruz.

Yanlış pozitifler, güvenliğin en büyük ağrı noktalarından biridir. Bu sorunu nasıl farklı bir şekilde ele alıyorsunuz?

Yanlış pozitifler çok büyük. Önemli uyarıları anlamsız bulduğu için mühendislerin görmezden geldiğini gördüm. Bu, üçüncü taraf saldırılarının double digits arttığı ve düşmanların geliştirici hatlarında yan kapıları sömürdüğü bir dünyada tehlikelidir.

Yaklaşımımız, bağlamı önceliklendirmektir. Bir bağımlılığa her bir Common Vulnerability and Exposure (CVE) eşleştirmek yerine, kod yolunu, iş mantığını ve hatta AI tarafından oluşturulan tasarım değişikliklerini analiz ediyoruz. Ayrıca, Endor Labs Model Context Protocol (MCP) Sunucusu’nu geliştirdik, bu da AI ajanlarının precisa düzeltmeler için değil, hayal edilen düzeltmeler için arka uç araçlarına çağrı yapmasına olanak tanır. Diğer araçlar bu düzeyde kesinlik sunamaz çünkü uygulama bağlamına sahip değiller. Kodunuzun ne yaptığını, hizmetlerin birbirleriyle nasıl konuştuğunu veya güvenli bir düzeltmenin neye benzediğini bilmezler. Sonuç, anlamsız uyarıların daha az olması ve geliştiricilerin gerçekten hareket edebileceği daha pragmatik rehberliktir.

Yazılım tedarik zinciri şimdi şirketler için en acil risklerden biri olarak görülüyor. Bu sorun neden bugün bu kadar kritik?

Açık kaynak artık kurumsal yazılımları domine ediyor ve yazılım geliştirme, yazılım montajına dönüşmüştür. Modern uygulamalardaki bileşenlerin yaklaşık %90’ı dış kaynaklıdır ve AI kod asistanları otomatik olarak daha fazla bağımlılık tanıtıyor. Bu, tek bir açıklığın milyonlarca uygulamaya yayılabilmesi anlamına geliyor.

Kumar çok yüksek: Düzenleyiciler artık açık kaynağı ulusal güvenlik sorunu olarak tanımlıyor. Ve yakın zamanda görülen Shai-Hulud npm exploit gibi saldırılar, düşmanların bu zayıf noktaları aktif olarak hedef aldığını gösteriyor. Doğru guardrails olmadan, şirketler muazzam bir ölçekte maruz kalırlar.

AI, yazılımın nasıl inşa edildiğini dönüştürüyor. Bu, uygulama güvenliği için hangi yeni riskleri yaratıyor?

AI asistanları, aynı anda binlerce stajyeri işe almak gibi – üretkenliği artırabilirler ancak yönetilmediklerinde kaos yaratabilirler. Çalışmalar, AI tarafından oluşturulan kodun %62’sinin güvenlik, kalite veya mimari sorunları olduğunu gösteriyor. Bilinen CVE’lerin ötesinde, bunlar mantık hataları, yeni API uç noktaları veya kriptografik hataları içerir ve bu hataları legacy araçlar asla yakalayamazdı.

Yeni zorluk, güvenli kod incelemesini ölçeklendirmektir. Her çekme talebini manuel olarak kontrol etmek için fazla meşgul olan kıdemli mühendislere güvenmek işe yaramaz. AI aynı hızda kod üretebildiği için, geliştiricileri gözden geçirme, önceliklendirme ve yönlendirme yeteneğine sahip otomatik sistemlere ihtiyacınız vardır.

Bazıları, AI’nin önlediğinden daha fazla açıklık tanıttığını savunuyor. Şu anda bunu net bir risk mi yoksa net bir fayda mı olarak görüyorsunuz?

Hem olabilir. AI, prototipleme ve deneysel çalışma için harika, ancak AI’ye güvenen deneyimsiz geliştiriciler körlerin önderliğinde bir senaryo yaratabilir. Denklemini tersine çevirmek için AI’yi güvenlik guardrails ile eşleştirmek必要. Doğru inceleme sistemleri ve MCP tarafından yönlendirilen düzeltmeler yerinde olduğunda, AI’yi net bir riskten net bir faydaya dönüştürebilirsiniz. Onlar olmadan, riskler kazanımları aşar.

AI tarafından oluşturulan kod daha yaygın hale geldikçe, şirketlerin dağıttıklarına güvenebilmeleri için hangi önlemleri alması gerekir?

AI tarafından oluşturulan kodu, herhangi bir başka üçüncü taraf bağımlılığı gibi tedavi edin. Bu, sürekli izleme, otomatik doğrulama ve pipeline’ın her aşamasında guardrails anlamına gelir. Ayrıca, AI inceleme araçlarınızın yüksek kaliteli, güvenli kod ile eğitildiğinden emin olmanız gerekir – sadece rasgele GitHub depoları değil.

Ve sadece algılama ötesine geçin. Riskli bir bağımlılık işaretlendiğinde, araçlarınız, uygulamanızı bozmaktan kaçınan yükseltme yolunu önermelidir. Bu, kargaşa ve kontrol arasındaki farktır. Ben buna bowlingde bumper şeritleri gibi düşünmeyi seviyorum: Top hala hızlı hareket eder, ancak iz üzerinde kalır.

Şeffaflık, liderlik tarzınızın merkezinde yer alıyor. Hem kazanımları hem de gerilemeleri paylaşmak, kültürü ve performansı nasıl etkiliyor?

Endor Labs’da radikal şeffaflık hedefliyoruz. Bu, şirket performansı, hisse planları ve stratejik riskler gibi konularda hem iyi hem de kötü haberleri paylaşmak anlamına geliyor. Çalışanlar yetişkinlerdir. Ekibimiz gerçekliği kaldırabilir. Açık olmak güven, katılım ve sahipliği oluşturur ve insanlara daha iyi kararlar almalarına yardımcı olur.

Sık sık kariyerlerinin başlangıcında yükselen liderlere güç veriyorsunuz. Büyük sorumluluklar alan ilk kez yöneticilere hangi tavsiyelerde bulunuyorsunuz?

Söz verdiğim gibi, vaat gösteren takım üyelerine büyük roller veriyorum ve onlara pozisyonlarına büyümelerine güveniyorum. Mentorluk ve destek ile hızlı bir şekilde öğrenirler. Tavsiyem: Sorumluluğu kabul edin, hatalardan öğrenin ve eylemlerinizle güven oluşturun. İnsanlar size ne başarmaya capable olduklarını şaşırtabilirler.

Önümüzdeki beş yıl içinde, yazılım tedarik zincirini güvence altına almak için en büyük fırsatlar ve zorluklar neler olacak?

AI kod asistanları ve vatandaş geliştiriciler iş akışlarını yeniden şekillendirdiğinde, her çekme talebini gerçek zamanlı olarak inceleyen, güvenli kod incelemelerini ölçeklendiren ve geliştiricilere güvenebilecekleri bağlamı sunan “güvenlik pair programmer” gibi sistemlere ihtiyacımız olacak. Bu nedenle Endor Labs’da MCP sunucusu ve çoklu ajan mimarisini inşa ettik; bunlar zaten müşterilerimize AI yerli geliştirmeyi takip etmelerine yardımcı oluyor.

Zorluk, tedarik zincirinin kendisi daha da karmaşık hale geliyor. Bugün, kod büyük ölçüde dış bileşenlerden monte ediliyor ve her yeni AI aracı başka bir bağımlılık katmanı tanıtıyor. Şirketler, modellerini yeniden düşünmezse, kendilerini açık bırakacaklar.

Bu aciliyeti gerçek zamanlı olarak görüyoruz – Endor Labs şu anda 7 milyondan fazla uygulamayı koruyor, ayda 1,6 milyon çekme talebini taramakta ve mühendislik ekipleri için gürültüyü %90’dan fazla azaltmaktadır. Beş yıl içinde, üstünlüğü sağlayan organizasyonlar, güvenli kodlamayı geliştirici verimliliğinin temel bir parçası olarak tedavi edenlerdir.

Related Topics:
mm

Antoine bir vizyoner lider ve Unite.AI'in kurucu ortağıdır ve AI ve robotik geleceğini şekillendirmek ve tanıtmak için sarsılmaz bir tutkuyla hareket etmektedir. Bir seri girişimci olarak, toplum için elektrik kadar yıkıcı olacağına inandığı AI'nin potansiyeli hakkında sık sık konuşur ve coşkusunu dile getirir.
Bir futurist olarak, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adanmıştır. Ayrıca, Securities.io kurucusudur, bu platform geleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren teknolojilere yatırım yapmaya odaklanmıştır.