sơ khai Sam King, CEO của Veracode - Chuỗi phỏng vấn - Unite.AI
Kết nối với chúng tôi
   Phỏng vấn  
Sam King, Giám đốc điều hành của Veracode – Loạt bài phỏng vấn
 mm
 cập nhật on   
 
Sam King là Giám đốc điều hành của Mã Vera và một chuyên gia được công nhận trong quản lý kinh doanh và an ninh mạng. Là thành viên sáng lập của Veracode, Sam đã đóng một vai trò quan trọng trong quỹ đạo tăng trưởng của công ty trong 17 năm qua, giúp công ty phát triển từ một công ty khởi nghiệp nhỏ thành một công ty có giá trị hơn 2.5 tỷ USD.
Veracode là một aSự ép buộc công ty bảo mật. Được thành lập vào năm 2006, nó cung cấp bảo mật ứng dụng SaaS tích hợp phân tích ứng dụng vào các quy trình phát triển.
Bạn đã tham gia vào lĩnh vực an ninh mạng hơn 2 thập kỷ, điều gì ban đầu đã thu hút bạn đến với ngành này?
Tôi chỉ quan tâm đến an ninh mạng sau vài năm trong sự nghiệp công nghệ của mình. Tôi đã làm việc trong lĩnh vực máy tính và công nghệ trong một thời gian dài và khoảng năm 2000, một người mà tôi biết đã thành lập một công ty an ninh mạng và mời tôi tham gia cùng họ. Trước đây tôi có ít kiến ​​thức về an ninh mạng, nhưng khi tôi đã tham gia, phần còn lại là lịch sử.
Ban đầu, bạn bắt đầu sự nghiệp của mình với Veracode với tư cách là Phó Giám đốc Cung cấp Dịch vụ vào năm 2006 và kể từ đó, bạn đã thăng tiến lên vị trí Giám đốc điều hành. Một số bài học quan trọng rút ra từ trải nghiệm này là gì?
Tôi cảm thấy vinh dự khi được tham gia cuộc hành trình này. Tôi đã làm việc ở hầu hết mọi chức năng tại Veracode trong hơn 17 năm làm việc tại công ty và điều quan trọng nhất đối với tôi là việc phát triển một doanh nghiệp thành công — trên hết — là một môn thể thao đồng đội. Thăng tiến từ Phó Giám đốc Cung cấp Dịch vụ lên Giám đốc Điều hành, tôi đã học được rằng không phải một người mà là mô liên kết và nỗ lực tập thể trong toàn tổ chức chi phối tốc độ và quy mô thành tích của bạn. Tôi cũng có được sự đồng cảm với yêu cầu của các vai trò khác nhau khi phải thực hiện hầu hết các vai trò đó từ những ngày trước khi có doanh thu cho đến khi chúng tôi trở thành tổ chức toàn cầu.
Veracode hình dung ra một thế giới nơi phần mềm được phát triển an toàn ngay từ đầu. Bạn có thể thảo luận về lý do tại sao các doanh nghiệp nên sớm tích hợp bảo mật ứng dụng vào vòng đời phát triển phần mềm không?
Phần mềm là kết cấu cơ bản của các tổ chức và doanh nghiệp cần nhận ra rằng việc sớm tích hợp bảo mật ứng dụng vào vòng đời phát triển phần mềm (SDLC) không chỉ là điều đúng đắn mà còn là điều thông minh nên làm. Chi phí chờ đợi để phát hiện và khắc phục các lỗ hổng trong giai đoạn sau của SDLC hoặc sau khi ứng dụng đi vào hoạt động là rất cao. Theo NIST, chi phí khắc phục các lỗ hổng trong quá trình sản xuất cao gấp 30 lần so với trước đây. Hơn nữa, nó tạo ra trải nghiệm khó chịu cho nhà phát triển khi họ đang cố gắng đưa chức năng ra thị trường và việc kiểm tra bảo mật sẽ cản trở quá trình này. Quy trình lý tưởng bao gồm thử nghiệm trong IDE và quy trình CI/CD. Chính quy trình phát triển mã trở thành quy trình phát triển mã bảo mật khi kiểm tra và khắc phục bảo mật được tích hợp sâu vào chuỗi công cụ SDLC.
Veracode giúp doanh nghiệp xây dựng và thực thi các chương trình AppSec và DevSecOps có thể mở rộng. Đối với những độc giả không quen thuộc với các thuật ngữ này, bạn có thể định nghĩa chúng cho chúng tôi không?
AppSec là viết tắt của “bảo mật ứng dụng” và đề cập đến các công cụ, chính sách và thực tiễn có thể được sử dụng để phát triển chương trình đảm bảo mã được an toàn trong quá trình phát triển phần mềm nội bộ cũng như ứng dụng của bên thứ ba, mã nguồn mở và cung cấp phần mềm mở rộng xích. DevSecOps, còn được gọi là “các nhà phát triển an toàn”, là tư duy cho rằng bảo mật được tích hợp trong toàn bộ SDLC, từ các yêu cầu đến kiến ​​trúc và thiết kế, mã hóa, thử nghiệm, phát hành và triển khai. Về cơ bản, điều này có nghĩa là mọi người tham gia phát triển phần mềm đều chịu trách nhiệm bảo mật ứng dụng. Cả hai luôn song hành khi chia sẻ mục tiêu đưa ra các quyết định bảo mật tốt hơn và cung cấp phần mềm an toàn hơn với tốc độ và hiệu quả cao hơn.
Bạn có thể thảo luận ngắn gọn về một số giải pháp khác nhau được cung cấp như Veracode SAST, Veracode SCA và Veracode DAST không?
Phân tích tĩnh của Veracode (SAST), nhúng bảo mật trong toàn bộ SDLC của một tổ chức để các nhà phát triển có thể viết mã an toàn trong môi trường phát triển tích hợp (IDE), tự động quét trong quy trình tích hợp liên tục và tích hợp liên tục/triển khai liên tục (CI/CD) và đảm bảo tuân thủ chính sách trước triển khai. Nó giúp quản lý rủi ro bằng cách quét mã và tìm các lỗi – sau đó, nó phân loại các phát hiện và cung cấp cho nhà phát triển hướng dẫn theo ngữ cảnh để ưu tiên nỗ lực, khắc phục các lỗi nghiêm trọng và giảm thiểu rủi ro.
Phân tích thành phần phần mềm của Veracode (SCA) tự động tìm kiếm tất cả các thành phần tạo nên một ứng dụng và quy định các hành động để quản lý rủi ro trong đó. Khả năng tự động khắc phục và học máy của SCA đưa ra các biện pháp khắc phục – với mục tiêu thực hiện việc này với mức độ gián đoạn sản xuất ít nhất có thể.
Cuối cùng, Phân tích động (DAST) là một phần của nền tảng bảo mật phần mềm thông minh của Veracode, cho phép các nhóm bảo mật phát hiện ra các bề mặt tấn công mà họ chưa từng biết đến, tìm các lỗ hổng trong môi trường thời gian chạy và có được cái nhìn toàn diện về trạng thái bảo mật của các ứng dụng web và API của họ.
Vào tháng 4 18, 2023, Veracode giới thiệu phần mềm bảo mật thông minh với sự ra mắt của Veracode Fix, một công cụ tận dụng sức mạnh của công nghệ GPT (Generative Pre-training Transformer). Tại sao GPT lại là một bước đột phá quan trọng trong lĩnh vực an ninh mạng?
Các nhóm bảo mật và phát triển phần mềm đã chạy nước rút chỉ để đứng yên. Trong nhiều năm, bảo mật phần mềm xoay quanh việc thử nghiệm để tìm ra các vấn đề, nhưng đối với mọi vấn đề được tìm thấy, sẽ có một tác vụ thủ công để khắc phục. Các nhà phát triển thường được giao nhiệm vụ dành thời gian mà họ không có, sửa các lỗi bảo mật mà họ không hiểu, trong mã mà họ không tạo ra… chỉ để tìm ra trong khoảng thời gian cần thiết để sửa một lỗi, hai lỗ hổng khác được tạo ra ở nơi khác. Nhu cầu chuyển đổi là hiển nhiên.
Veracode Fix mang đến sự chuyển đổi đó, chuyển mô hình từ tìm sang sửa và đánh dấu sự ra đời của bảo mật phần mềm thông minh. Bằng cách khai thác sức mạnh của trí tuệ nhân tạo (AI) để tự động tạo các bản sửa lỗi cho phần mềm không an toàn, Veracode Fix cuối cùng đã mang đến khả năng tự động hóa để khắc phục lỗ hổng và cân bằng lại bối cảnh bảo mật phần mềm. Không giống như hầu hết các công cụ mã hóa AI tổng quát, Veracode Fix không được đào tạo về mã nguồn mở hoặc mã trong thực tế và không sử dụng hoặc lưu giữ dữ liệu khách hàng để đào tạo mô hình.
Thay vào đó, chúng tôi đã đào tạo Veracode Fix trên tập dữ liệu độc quyền, được quản lý với quá trình học có giám sát và điều chỉnh từ nhóm các nhà nghiên cứu bảo mật và tư vấn bảo mật ứng dụng hàng đầu của chúng tôi để mang lại trải nghiệm tổng hợp và kiến ​​thức chuyên môn của Veracode trong một trải nghiệm đơn giản, mạnh mẽ: sức mạnh của Veracode trong tầm tay bạn.
Công cụ Veracode Fix chuyển mô hình từ AI chỉ xác định vấn đề sang khắc phục sự cố. Bạn có thể thảo luận về một số lợi ích mở rộng mà điều này mang lại không?  
Các tổ chức đã phải lựa chọn giữa việc khắc phục các lỗi bảo mật phần mềm và đáp ứng thời hạn gấp rút để đưa mã vào sản xuất. Được hỗ trợ bởi bộ dữ liệu độc quyền của AI và Veracode, Veracode Fix tiết kiệm thời gian cho các nhà phát triển bằng cách cho phép họ viết mã an toàn hơn một cách nhanh chóng. Điều này có nghĩa là các sai sót sẽ mất hàng giờ để khắc phục và nếu không sẽ tồn tại hàng tháng nay có thể được khắc phục trong vài phút. Lợi ích mở rộng là rõ ràng – các nhà phát triển giờ đây có thể tạo ra nhiều phần mềm nhanh hơn và do đó đổi mới một cách an toàn.
Cần bao nhiêu sự can thiệp của con người trước khi một vấn đề được khắc phục và con người tham gia vào loại hình an ninh mạng này ở đâu trong bức tranh?
Mặc dù quy trình phát triển phần mềm được tự động hóa, nhưng việc sửa các lỗi bảo mật – đặc biệt là trong mã của bên thứ nhất – chỉ dựa vào nỗ lực thủ công của các nhà phát triển bị quá tải và không được hỗ trợ đầy đủ. Cho đến bây giờ.
Veracode Fix sử dụng máy học để tạo các bản sửa lỗi được đề xuất mà nhà phát triển có thể xem xét và triển khai mà không cần viết bất kỳ mã nào.
Điều quan trọng cần lưu ý là Veracode Fix không tự động sửa mã mà đề xuất các bản sửa lỗi. Sau đó, nhà phát triển sẽ xem xét và thực hiện các bản sửa lỗi mà không cần viết bất kỳ mã nào. Điều này giúp tiết kiệm thời gian của nhà phát triển, tăng tốc độ phát triển an toàn, đồng thời giúp quản lý rủi ro và thanh toán nợ bảo mật trên quy mô lớn với ít nỗ lực và chi phí hơn.
Có điều gì khác mà bạn muốn chia sẻ về Veracode không?
Công nghệ không ngừng phát triển và Veracode cũng vậy, nhưng mục tiêu vẫn không thay đổi kể từ năm 2006: bảo mật phần mềm trên quy mô lớn. Giống như Veracode đã đi tiên phong trong AppSec hơn 17 năm trước, chúng tôi hiện đang đi tiên phong trong bảo mật phần mềm thông minh. Các sản phẩm và cải tiến của chúng tôi, chẳng hạn như Veracode Fix, là minh chứng cho điều đó.
Veracode được thành lập bởi Chris Wysopal, một cựu hacker mũ trắng đã trở thành người có ảnh hưởng đến chính sách mạng. Năm 1998, với tư cách là một phần của tập thể tin tặc L0pht, Chris đã làm chứng trước Ủy ban Thượng viện Hoa Kỳ điều tra các vấn đề về mạng của chính phủ nói rằng các nhà cung cấp mạng cần phải làm tốt hơn — họ cần sở hữu vấn đề.
Kể từ khi thành lập, Veracode đã phát triển từ một công ty mới thành lập thành một doanh nghiệp toàn cầu với hơn 2,600 khách hàng – và thật là một hành trình tuyệt vời mà nó đã trải qua trong suốt những năm qua. Đó là nhờ cam kết của chúng tôi trong việc giúp khách hàng giải quyết những thách thức lớn nhất của họ: tích hợp bảo mật vào SDLC; xây dựng năng lực bảo mật của nhà phát triển; bảo vệ việc cung cấp phần mềm; quản lý rủi ro bề mặt tấn công ứng dụng web; và đảm bảo phát triển ứng dụng gốc trên đám mây. Chúng tôi là Công ty dẫn đầu 10X trong Gartner Magic Quadrant về Thử nghiệm bảo mật ứng dụng – một trong những đánh giá chuyên sâu nhất trong ngành về ngành của chúng tôi – và đã nhận được nhiều giải thưởng trong ngành trong những năm qua.
Một lĩnh vực mà chúng tôi đặc biệt tự hào là nền văn hóa mà chúng tôi đã nuôi dưỡng trong suốt lịch sử của mình. Chỉ trong năm ngoái, Veracode đã được The Boston Globe vinh danh là Nơi làm việc hàng đầu năm 2022 và Nơi làm việc hàng đầu Hoa Kỳ năm 2023 bởi Energage. Chúng tôi rất vinh dự và khiêm tốn khi được trao những giải thưởng này vì chúng tôi tự hào về một nền văn hóa hòa nhập, nơi khuyến khích tài năng và cho phép nhân viên làm việc hết sức mình.
Cảm ơn bạn về cuộc phỏng vấn tuyệt vời, độc giả muốn tìm hiểu thêm hãy truy cập Mã Vera
       
 Chủ đề liên quan:
 mm
Một đối tác sáng lập của unity.AI & một thành viên của Hội đồng Công nghệ Forbes, Antoine là một nhà tương lai học người đam mê tương lai của AI và robot.
Ông cũng là người sáng lập của Chứng khoán.io, một trang web tập trung vào đầu tư vào công nghệ đột phá.