Connect with us

Varun Badhwar, Засновник та CEO Endor Labs – Серія інтерв’ю

Інтерв’ю

Varun Badhwar, Засновник та CEO Endor Labs – Серія інтерв’ю

mm
Published
Updated

Varun Badhwar, Засновник та CEO Endor Labs, є підприємцем у сфері кібербезпеки, який відомий тим, що будує та очолює компанії, що стоять на чолі хмарної та аплікаційної безпеки. З 2021 року він очолює Endor Labs, яка фокусується на забезпеченні безпеки розробки програмного забезпечення з використанням штучного інтелекту. Раніше він був старшим віце-президентом та генеральним менеджером Prisma Cloud у компанії Palo Alto Networks і засновником компанії RedLock, стартапу з безпеки хмар, який було придбано компанією Palo Alto Networks.

Endor Labs є платформою аплікаційної безпеки, створеною для епохи штучного інтелекту, призначеною для того, щоб допомогти інженерним та безпечним командам балансувати швидкість та безпеку під час розробки програмного забезпечення. Платформа інтегрує функції, такі як аналіз складу програмного забезпечення на основі досяжності, SAST, сканування контейнерів, виявлення секретів та захист конвеєра CI/CD, у єдиний вигляд, допомагаючи командам визначити, які уразливості дійсно мають значення, та пріоритезувати виправлення. Вона також включає агенти штучного інтелекту, які аналізують запити на витяг для архітектурних змін та виявляють ризики в коді, згенерованому штучним інтелектом, на ранніх етапах життєвого циклу розробки.

Ви раніше будували та розширювали великі підприємства з безпеки — як ці досвіди привели до заснування Endor Labs, і яку проблему ви були найбільш визначені вирішити на початку?

У 2021 році я був у компанії Palo Alto Networks, коли стався масовий витік даних SolarWinds. Це було масштабно. Кожен клієнт, який використовував їхнє програмне забезпечення, був постраждалий, і ми не були винятком. Коли я розібрався, як ми управляли своїм власним програмним забезпеченням, я зрозумів, що у нас було 450 інженерів та 68 000 уразливостей безпеки, але інженери в основному ігнорували їх. Причина? Колосальний 80-90% сповіщень були помилковими позитивами, а традиційні інструменти не розуміли, як розробники насправді працюють.

Тоді мені стало зрозуміло: сучасна розробка програмного забезпечення більше нагадує збірку, ніж створення. Ми відправляємо код, який у основному складається з бібліотек третіх сторін, без жодних гарантій щодо якості чи безпеки. Я побачив розрив між командами безпеки та інженерами, ворогуючі динаміки та політичну тертя. Я знав, що нам потрібно переосмислити аплікаційну безпеку з нуля, що призвело до заснування Endor Labs.

Endor Labs зараз захищає мільйони аплікацій для організацій, починаючи від фінтеху та закінчуючи платформами SaaS. Які випадки використання ви бачите найчастіше, і чому клієнти звертаються до вас?

Наші клієнти звертаються до нас, щоб захистити свої ланцюжки постачання програмного забезпечення та конвеєри розробників. Вони хочуть перевірити залежності відкритого джерела перед виробництвом, автоматично позначити код, згенерований штучним інтелектом, з високим рівнем ризику, та в кінцевому підсумку інтегрувати безпеку безпосередньо у робочі процеси розробників.

Більшість сканерів просто кидають уразливості розробникам та йдуть, створюючи шум, який інженери в кінцевому підсумку ігнорують. А з кодуванням настроєнь, яке зараз стало основним, такий підхід просто не працює. У Endor ми надаємо аналіз, який залежить від контексту, та дієвій інформації, щоб команди безпеки та інженерії могли знову довіряти один одному.

Розробники часто стикаються з напруженістю між швидкістю та безпекою. Як ваша платформа допомагає вирішити цю проблему?

Швидкість проти безпеки — це найстаріша дилема у розробці програмного забезпечення. Кодування настроєнь тільки зробило цей компроміс більш вираженим. Чотири-п’ять відсотків розробників використовують щодня помічників штучного інтелекту, що прискорює швидкість, але також вводить небезпечний код.

У Endor Labs ми вбудовуємо безпеку безпосередньо у робочі процеси розробників, які вони вже використовують. Підумайте про IDE, запити на витяг, конвеєри Git. Наша філософія проста: безпека — це просто ще один клас помилок. Якщо ви поводитеся з нею як з будь-якою іншою помилкою програмного забезпечення, вона стає частиною природнього процесу розробки замість післядумів. Знижуючи шум та надаючись чіткими вказівками, ми дозволяємо розробникам рухатися швидко, одночасно забезпечуючи, що програмне забезпечення, яке вони відправляють, є безпечним.

Помилкові позитиви — одна з найбільших болісних точок у сфері безпеки. Як ви підходите до цієї проблеми по-іншому?

Помилкові позитиви — це величезна проблема. Я бачив, як інженери ігнорують значні ділянки сповіщень, оскільки вони безсенсні. Це небезпечно у світі, де атаки третіх сторін зростають у двозначних цифрах, а противники використовують бічні двері в конвеєрах розробників.

Наш підхід полягає у пріоритезації контексту. Замість того, щоб збігати кожну загальну уразливість та експлойт (CVE) з залежністю, ми аналізуємо шлях коду, бізнес-логіку та навіть зміни дизайну, згенерованого штучним інтелектом. Ми також розробили сервер протоколу контексту моделі Endor Labs (MCP), який дозволяє агентам штучного інтелекту звертатися до інструментів бекенду для точних виправлень, а не галюцинованих. Інші інструменти не можуть пропонувати цей рівень точності, оскільки їм бракує контексту застосування. Вони не знають, що ваш код робить, як ваші служби спілкуються одна з одною, або який безпечний виправлення виглядає. Результатом є менше безглуздих сповіщень та більш практичних вказівок, які розробники можуть реально виконати.

Ланцюжок постачання програмного забезпечення зараз розглядається як одна з найбільш термінових ризиків для підприємств. Чому ця проблема така критична сьогодні?

Відкрите джерело тепер домінує у програмному забезпеченні підприємств, а розробка програмного забезпечення перетворилася на збірку програмного забезпечення. Приблизно 90% компонентів сучасних аплікацій — зовнішні, а помічники кодування штучного інтелекту вводять ще більше залежностей автоматично. Це означає, що одна уразливість може поширитися на мільйони аплікацій.

Ставки високі: регулятори зараз розглядають відкрите джерело як питання національної безпеки. А атаки, такі як недавній експлойт Shai-Hulud npm, показують, як противники активно націлюються на ці слабкі місця. Без належних перил підприємствам загрожує масштабна вразливість.

Штучний інтелект трансформує спосіб побудови програмного забезпечення. Які нові ризики це створює для безпеки аплікацій?

Помічники штучного інтелекту — це як наймати тисячі стажерів одночасно — вони можуть підвищити продуктивність, але також вводять хаос, якщо залишаються неуправленими. Дослідження показують, що 62% коду, згенерованого штучним інтелектом, має проблеми з безпекою, якістю або архітектурою. Окрім відомих уразливостей, це включає логічні помилки, нові точки API або криптографічні помилки, які традиційні інструменти ніколи не були розроблені для виявлення.

Нова проблема полягає у масштабуванні безпечного огляду коду. Покладатися на перевантажених старших інженерів для ручної перевірки кожного запиту на витяг не працює. Вам потрібні автоматизовані системи, які можуть переглядати, пріоритезувати та спрямовувати розробників з тією ж швидкістю, з якою штучний інтелект генерує код.

Дехто стверджує, що штучний інтелект вводить більше уразливостей, ніж запобігає. Чи бачите ви це як чистий ризик чи чисту вигоду на цьому етапі?

Це може бути і тим, і тим. Штучний інтелект фантастичний для прототипування та експериментів, але непідготовлені розробники, які покладаються на штучний інтелект, можуть створити сценарій “сліпий веде сліпого”. Шлях до зміни цього рівняння полягає у паруванні штучного інтелекту з перилами безпеки. З правильними системами огляду та виправлень MCP у місці, ви можете перетворити штучний інтелект з чистого ризику на чисту вигоду. Без них ризики переважують вигоди.

З кодом, згенерованим штучним інтелектом, який стає все більш поширеним, які заходи безпеки повинні виробляти організації, щоб забезпечити довіру до того, що вони розгортають?

Відносіться до коду, згенерованого штучним інтелектом, як до будь-якої іншої залежності третіх сторін. Це означає безперервний моніторинг, автоматичну верифікацію та перила на кожному етапі конвеєра. Вам також потрібно забезпечити, щоб ваші інструменти огляду штучного інтелекту були навчені на високоякісному, безпечному коді — не просто на випадкових репозиторіях GitHub.

І потім рухайтеся за межі виявлення. Коли ризикована залежність позначається, ваші інструменти повинні рекомендувати шлях до оновлення, який уникає порушення вашої аплікації. Це різниця між хаосом та контролем. Мне подобається думати про це як про буферні смуги в боулінгу: м’яч все одно рухається швидко, але залишається на трасі.

Прозорість є центральною у вашому стилі керівництва. Як поділ між перемогами та невдачами впливає на культуру та продуктивність?

Ми прагнемо до радикальної прозорості в Endor Labs. Це означає поділ між хорошим і поганим — і не тільки результатами діяльності компанії, але також такими речами, як плани акцій та стратегічні ризики. Співробітники — дорослі люди. Наша команда може впоратися з реальністю. Бути відкритим будує довіру, залученість та відчуття власності, і це допомагає людям приймати кращі рішення.

Ви часто наділяєте зростаючими лідерами великими відповідальностями на ранніх етапах їхньої кар’єри. Яку пораду ви даєте першим менеджерам, які приймають на себе великі обов’язки?

Мне подобається давати перспективним членам команди великі ролі рано та довіряти їм зростання до позиції. З наставництвом та підтримкою вони швидко вчаться. Моя порада: прийміть відповідальність, навчайтеся на помилках та будуйте авторитет через дії. Люди часто дивують вас тим, чого вони можуть досягти, коли ви даєте їм простір.

Оглядаючи вперед через п’ять років, які найбільші можливості та проблеми ви бачите у сфері забезпечення безпеки ланцюжка постачання програмного забезпечення?

З помічниками кодування штучного інтелекту та громадянськими розробниками, які змінюють робочі процеси, нам потрібно будуть системи, які діють як “безпековий програміст-парувальник”, які переглядають кожен запит на витяг в режимі реального часу, масштабують безпечний огляд коду та надають розробникам контекст, якому вони можуть довіряти. Це чому в Endor Labs ми побудували свій сервер MCP та багатозадачну архітектуру, які вже допомагають клієнтам збігатися з розробкою, родженою штучним інтелектом.

Проблема полягає у тому, що сам ланцюжок постачання стає ще більш складним. Сьогодні код у основному складається з зовнішніх компонентів, а кожен новий інструмент штучного інтелекту вводить ще один шар залежностей. Компанії, які не переосмислюють свої моделі, знайдуть себе вразливими.

Ми бачимо, як ця терміновість розігрується в реальному часі — Endor Labs зараз захищає понад 7 мільйонів аплікацій, сканує 1,6 мільйона запитів на витяг на місяць та знижує шум на понад 90% для інженерних команд. Через п’ять років організації, які вийдуть на вершину, будуть тими, які розглядають безпечне кодування як основну частину продуктивності розробників.

Дякую за велике інтерв’ю. Читачам, які бажають дізнатися більше, слід відвідати Endor Labs.

Related Topics:
mm

Антуан є видним лідером і засновником Unite.AI, який рухає невпинною пристрастю до формування та просування майбутнього штучного інтелекту та робототехніки. Як серійний підприємець, він вважає, що штучний інтелект буде таким же революційним для суспільства, як і електрика, і часто захоплюється потенціалом деструктивних технологій та AGI.

Як футуролог, він присвячений дослідженню того, як ці інновації сформують наш світ. Крім того, він є засновником Securities.io, платформи, орієнтованої на інвестування в передові технології, які переінакшують майбутнє та змінюють цілі сектори.