Sam King，Veracode 首席执行官 – 采访系列

Sam King 是 Veracode 的首席执行官，也是商业管理和网络安全领域的知名专家。作为 Veracode 的创始成员，Sam 在过去 17 年中在公司的成长轨迹中发挥了重要作用，帮助公司从一家小型初创公司发展成为一家估值超过 25 亿美元的公司。

Veracode 是一家 应用安全公司。 成立于 2006 年，它提供将应用程序分析集成到开发管道中的 SaaS 应用程序安全。

您已在网络安全领域工作了 20 多年，最初是什么吸引您进入这个行业的？

我对网络安全的兴趣是在我的技术职业生涯中几个年后才产生的。我在计算机和技术领域工作了很长时间，大约在 2000 年，一个我认识的人创立了一家网络安全公司，并邀请我加入他们。我之前对网络安全知之甚少，但是一旦我参与其中，剩下的就是历史了。

您最初以 2006 年 Veracode 的服务交付副总裁的身份开始您的职业生涯，并且自那时以来您已经晋升到 CEO。您从这段经历中得到了什么关键的收获？

我感到荣幸能够经历这段旅程。在我在 Veracode 的 17 年里，我在公司的几乎每个职能部门都工作过，我最重要的收获是，发展一家成功的企业首先是一项团队运动。从服务交付副总裁到 CEO，我学到了这不仅仅是某一个人，而是整个组织的连接和集体努力决定了成就的速度和规模。我还对不同角色的要求有了更多的理解，因为我曾经在公司从无收入到现在的全球组织的过程中承担了大多数角色。

Veracode 致力于一个软件从一开始就被安全开发的世界。您能讨论一下为什么企业应该在软件开发生命周期的早期就将应用程序安全性纳入其中吗？

软件是组织的基本结构，企业需要意识到，将应用程序安全性早期纳入软件开发生命周期（SDLC）不仅是正确的做法，也是明智的做法。在 SDLC 的后期或应用程序上线后发现和修复漏洞的成本非常高。根据 NIST 的数据，在生产中修复漏洞的成本是早期修复的 30 倍。此外，当安全检查阻碍开发过程时，开发人员会感到沮丧，因为他们试图将功能推向市场。理想的过程包括在 IDE 和 CI/CD 管道中进行测试。当安全测试和修复深度集成到 SDLC 工具链中时，开发代码的过程就变成了开发安全代码的过程。

Veracode 帮助企业建立和执行可扩展的 AppSec 和 DevSecOps 程序。对于不熟悉这些术语的读者，您能为我们定义它们吗？

AppSec 是“应用程序安全”的简称，指的是可以用来开发一个程序以确保代码在内部软件开发、第三方应用程序、开源代码和扩展软件供应链中都是安全的工具、政策和实践。DevSecOps，也称为“安全 DevOps”，是一种思维方式，即安全性贯穿整个 SDLC，从需求到架构和设计、编码、测试、发布和部署。基本上，这意味着所有参与软件开发的人都对应用程序安全负责。两者密切相关，因为它们共享着做出更好的安全决策和以更快的速度和效率交付更安全的软件的目标。

您能否简要讨论 Veracode SAST、Veracode SCA 和 Veracode DAST 等不同的解决方案？

Veracode 的静态分析（SAST），它将安全性嵌入整个 SDLC 中，以便开发人员可以在集成开发环境（IDE）中编写安全代码，自动扫描 CI/CD 管道，并在部署之前确保符合政策。它通过扫描代码、发现缺陷并提供上下文指导来管理风险，以便开发人员可以优先修复关键缺陷并降低风险。

Veracode 的软件组成分析（SCA）自动查找组成应用程序的所有组件，并为管理这些组件中的风险提供处方。SCA 的机器学习和自动修复功能提供修复建议，目标是尽量减少生产中断。

最后，动态分析（DAST）是 Veracode 智能软件安全平台的一部分，允许安全团队发现他们以前不知道的攻击面，在运行时环境中发现漏洞，并全面了解其 Web 应用程序和 API 的安全状况。

2023 年 4 月 18 日，Veracode 推出了智能软件安全功能，并推出了 Veracode Fix，一种利用 GPT（生成预训练转换器）技术的工具。为什么 GPT 在网络安全方面是一个重要的突破？

软件开发和安全团队一直在努力跟上节奏。多年来，软件安全一直围绕着测试以发现问题，但对于每个发现的问题，都有一个手动任务来修复它。开发人员经常被要求花费他们没有的时间来修复他们不理解的安全漏洞，在他们没有创建的代码中… 只是为了发现，在他们修复一个漏洞的时间里，其他地方又会产生两个新的漏洞。

Veracode Fix 提供了这种转变，通过利用人工智能（AI）来自动为不安全的软件生成修复，从而将范式从发现问题转变为修复问题，标志着智能软件安全的开始。与大多数生成式 AI 编码工具不同，Veracode Fix 不是训练在开源代码或野外代码上，也不使用或保留客户数据来训练模型。

相反，我们使用专有的、经过人工策划的数据集和监督学习来训练 Veracode Fix，并由我们的顶级安全研究人员和应用程序安全顾问进行对齐，以提供 Veracode 的综合经验和专业知识，通过一个简单而强大的体验：Veracode 的力量在您的指尖。

Veracode Fix 工具将范式从仅仅识别问题转变为修复问题。您能讨论一下它提供的扩展优势吗？

组织不得不在修复软件安全漏洞和按时将代码推入生产之间做出选择。由 AI 和 Veracode 的专有数据集驱动，Veracode Fix 通过使开发人员能够快速编写更安全的代码来节省开发人员的时间。这意味着原本需要数小时来修复并可能持续数月的漏洞现在可以在几分钟内修复。扩展优势是明显的 – 开发人员现在可以更快地创建更多软件，从而安全地创新。

在问题被修复之前，需要多少人工干预，以及在这种类型的网络安全中，人类在哪里发挥作用？

尽管软件开发过程中有自动化，但修复安全漏洞（尤其是在第一方代码中）一直依赖于开发人员的manual 努力。直到现在。

Veracode Fix 使用机器学习来生成建议的修复，开发人员可以审查和实施这些修复，而无需编写任何代码。

需要注意的是，Veracode Fix 不会自动修复代码，而是建议修复。然后，开发人员审查和实施修复，这节省了开发人员的时间，加速了安全开发，并使得在规模上管理风险和减少安全债务的努力和成本更少。

您是否还有其他关于 Veracode 的内容想要分享？

技术不断演进，Veracode 也在不断演进，但我们的目标自 2006 年以来一直保持不变：在规模上保护软件。就像 Veracode 17 多年前开创了 AppSec 一样，我们现在正在开创智能软件安全。我们的产品和创新，如 Veracode Fix，是对这一点的证明。

Veracode 由 Chris Wysopal 创立，他是一位前白帽黑客，现已成为网络安全政策影响者。1998 年，作为黑客集体 L0pht 的一员，Chris 在美国参议院委员会调查政府网络安全问题时作证说，网络安全供应商需要做得更好 – 他们需要拥有这个问题。

自成立以来，Veracode 已经从一家初创公司发展成为一家拥有 2600 多个客户的全球企业 – 这是一段令人惊叹的旅程。我们致力于帮助客户解决他们最大的挑战：将安全性集成到 SDLC 中；构建开发人员的安全能力；保护软件供应链；管理 Web 应用程序攻击面风险；以及保护云原生应用程序开发。我们是 Gartner 应用程序安全测试魔力象限中的 10 倍领袖 – 这是我们行业最深入的评估之一 – 并且多年来我们获得了众多行业荣誉。

我们特别自豪的领域是我们在整个历史过程中培养的文化。就在去年，Veracode 被《波士顿环球报》评为 2022 年最佳工作场所，被 Energage 评为 2023 年美国最佳工作场所。我们感到荣幸和谦逊地获得了这些荣誉，因为我们以培养一个包容的文化为荣，这种文化培养人才并使员工能够发挥出最佳水平。

感谢这次精彩的采访，希望了解更多的读者可以访问 Veracode。