Javed Hasan，Lineaje 的 CEO 和联合创始人 – 采访系列

Javed Hasan，Lineaje 的 CEO 和联合创始人，是一位具有数十年领导经验的资深网络安全和企业软件高管，曾在 Oracle、Symantec、McAfee 和 Trellix 等公司任职。整个职业生涯中，Hasan 领导了大规模的产品、工程和战略团队，专注于端点安全、云基础设施、SaaS 转型和企业网络安全创新。在 Lineaje，他专注于解决行业最快增长的挑战之一：通过为组织提供对开源和第三方组件的可见性来保护现代软件供应链，这些组件嵌入在软件应用程序中。

Lineaje 是一家专门从事软件供应链安全的网络安全公司，帮助组织识别、保护和管理现代软件依赖关系中隐藏的风险。其平台重点关注软件物料清单（SBOM）技术，类似于软件的成分列表，通过编目应用程序中使用的每个组件、库和依赖关系。该公司提供上下文风险分析、自动漏洞修复、合规管理和 AI 驱动的“自我修复”软件供应链工作流的工具，这些工作流旨在自动识别和修复安全漏洞，在部署之前。随着企业和政府面临日益增长的与开源漏洞、软件供应链攻击和 SBOM 透明度相关的合规性要求，Lineaje 的技术变得越来越相关。

您曾在 Oracle、McAfee、Symantec 和 Trellix 等公司担任高级领导职务，帮助塑造企业网络安全产品数十年。是什么经验促使您在 2022 年联合创立 Lineaje，并且您试图解决什么核心问题？

在网络安全领域工作超过三十年，我构建和扩展了超过 50 个企业安全产品，包括领导 Symantec 转向云的集成网络防御管理器（ICDM）和在全球范围内推出最大的 SaaS 端点安全平台。在 Oracle、McAfee、Symantec 和 Trellix 的这些经历中，我看到一个一致的模式：组织被要求相信他们并不完全理解的软件。

行业优化了速度，但没有优化可见性。开源、第三方组件、自动化和现在 AI 生成的代码使软件更快地构建，但更难理解。信任变成了假设，而不是验证。

AI 没有创造这个问题；它加速和暴露了已经存在的问题。这就是我们在 2022 年联合创立 Lineaje 的原因：为了给组织提供对其软件和现在 AI 的持续、全生命周期的理解，包括其组件、来源和治理方式，以便在成为安全或合规风险之前进行治理。

软件供应链攻击已成为最快增长的网络安全威胁之一，通常通过开源依赖关系和第三方代码传播。传统安全工具为什么难以有效地解决这些风险？

传统安全工具主要是为不同的操作模式构建的。传统安全性是为应用程序构建的。现代风险生活在生态系统中。它们被设计为检查静态应用程序、周边事件或孤立的已知漏洞。因此，许多组织仍然是反应性的，而风险现在分布在依赖关系、构建系统、包存储库、容器、传递开源库和第三方组件中，通常在生产之前就已经引入。

大多数传统工具缺乏确定风险组件是否真正可利用、如何进入环境以及与哪些下游组件连接所需的深度血统、持续可见性和上下文理解。这使得组织在需要持续、全生命周期控制的环境中反应性地运作。

Lineaje 专注于全生命周期的软件供应链安全，帮助组织了解应用程序中存在的确切组件以及它们可能存在的漏洞。为什么在 AI 生成软件的时代，这种透明度变得如此关键？

AI 压缩了创建和暴露之间的时间。它加速了代码创建，但没有自动增加来源、可追溯性或信任。当开发人员和 AI 助手可以以前所未有的速度生成代码和工作流时，组织仍然需要知道确切哪些模型、库、代理和外部服务被引入环境中。

没有这种可见性，您就无法治理正在构建的内容、验证合规性并自信地向客户交付软件。在今天的 AI 驱动世界中，组织必须能够追溯每个依赖关系和模型交互、其来源以及是否安全。

Lineaje 正在推出 UnifAI，一种自治 AI 政策控制器，旨在在构建时治理和保护代理 AI 应用程序。这个产品旨在解决当前 AI 开发生态系统中的哪个缺口？

企业正在从 AI 实验转向在实际工作流中部署自治代理。简而言之，他们需要一个安全和合规控制平面用于代理 AI。然而，大多数企业还没有一个集中控制平面来发现这些 AI 资产、定义一致的政策并在构建这些系统时执行安全和合规防护栏。

UnifAI 被设计来填补这一空白。它作为一个自治 AI 政策编排器，将治理直接嵌入开发工作流中。另外，它持续发现 AI 资产、创建 AI 物料清单、推导政策并在应用程序达到生产之前应用防护栏。

许多组织正在争相部署 AI 代理和 AI 生成的应用程序，但安全团队担心诸如提示注入、易受攻击的开源库和合规性问题等风险。这些风险今天有多严重，公司在哪里最容易受到影响？

这些风险今天非常真实且严重。代理 AI 的最大挑战可能是攻击面比静态软件更广泛、更不可预测。你有提示注入、数据泄露、易受攻击的开源依赖关系和弱政策执行、推理操纵、授权漂移和低代码、无代码环境中的不可见决策。

在我看来，公司最容易受到影响，因为速度已经超过了治理，特别是当业务团队可以在没有统一安全框架的情况下组装强大的 AI 工作流，或者当组织无法看到其环境中运行的所有模型、代理、技能和数据连接时。系统可能在技术上不会失败；它可能表现正确，但会推理出一个不安全的结果。这就是隐藏风险最快积累的地方。

企业面临的一个挑战是平衡开发人员的生产力与安全治理。像 UnifAI 这样的工具如何将安全控制嵌入开发工作流中，而不会减慢创新速度？

正确的方法是使治理在开发人员已经工作的地方变得可操作。UnifAI 被设计为直接与编码助手和低代码或无代码代理 AI 平台集成，因此可以在应用程序创建时应用政策，而不是事后通过手动审查。

它可以自动发现资产、推荐或推导政策、将内部治理文档转换为可执行的控制并在工作流中应用防护栏。这意味着政策变得机器可执行，而不是分层的。当做得好时，开发人员可以更快地移动，因为他们不必停下来从头开始解释合规性，而安全团队可以在不成为瓶颈的情况下获得一致性。

Lineaje 已经开发了 AI 驱动的工具来分析软件供应链并自动修复漏洞。与传统的静态分析或手动安全审查相比，AI 如何改变组织管理风险的方式？

AI 通过使风险管理变得连续、上下文化和日益自治来改变风险管理。传统的静态分析和手动审查仍然有价值，但对于现代软件和 AI 开发的规模和速度来说，它们太慢、太零碎。目标不是更多的警报。目标是消除部署前的暴露。AI 可以连续地映射环境、关联依赖关系、评估上下文风险、推荐政策，并在许多情况下自动驱动修复。

与等待人类发现问题、进行故障排除并决定下一步骤不同，组织可以转向能够早期识别问题、了解其可能影响并更快采取纠正措施的系统。这是基于结果的 AI 安全的基础：从检测转向预防，最后转向消除。

随着 AI 开始生成应用程序代码的更大部分，组织应该如何重新思考其对软件来源、可追溯性和对交付给客户的软件的信任的方法？

组织需要将来源作为一流要求。 在 AI 辅助开发模型中，追溯性必须涵盖输入的整个链条，包括代码、开源依赖关系、模型、代理和应用于开发和部署的政策。 这需要动态的物料清单、更强的证明以及一种运营模型，其中信任是持续验证的，而不是假设的。

标准必须成为：如果您无法追溯它、治理它并解释它，您不应该交付它。

法规和合规性要求越来越多地影响公司如何保护软件和 AI 系统。您如何看待全球监管框架在未来几年中影响企业采用 AI 治理技术？

监管将成为一个重要的推动力。随着软件保证和 AI 治理的要求变得更加明确，治理正在成为运营基础设施，而不是后台合规性练习。企业将需要能够将政策运作化的系统，而不是通过电子表格和点对点审计来管理合规性。

组织已经试图与诸如 EU AI 法案和既定的指导方针（如 AI 的 OWASP 前十名）等出现的框架保持一致，但他们需要能够将这些要求转化为开发和运行环境中可执行的控制的技术。

在接下来的几年里，治理平台将从“很好”转变为成为核心企业控制栈的一部分，因为监管机构、客户和董事会都将期望有可证明的监督证据。监督证据将成为强制性的。

展望未来，AI 驱动的应用程序治理的未来会是什么样子？您是否预计自治系统最终将管理软件安全生命周期的很大一部分？

是的，我相信自治系统将管理软件安全生命周期的更大份额，但人类将专注于政策、风险容忍度和异常处理。安全团队不再能够追逐整个软件和 AI 生态系统中的每个问题。治理必须以 AI 速度运作。

未来是一个模型，其中人类定义意图和政策，而自治系统持续执行。智能平台将持续发现资产、维护实时物料清单、检测威胁、执行政策并实时修复问题。人类团队将设定方向并做出高后果的决定，但持续的治理、自治执行和实时运营信任将成为基础。这是组织现在期望构建的唯一可持续方式来治理软件和代理 AI。

感谢您接受这次精彩的采访，希望了解更多的读者可以访问 Lineaje。