访谈
Neatsun Ziv,OX Security联合创始人兼CEO – 采访系列
Neatsun Ziv,OX Security联合创始人兼CEO,是软件供应链安全领域的先驱。他曾在Check Point担任网络安全副总裁,领导全球性网络安全举措,并协调应对SolarWinds和NotPetya等高调威胁。在他的职业生涯中,他曾与国际刑警组织、国家计算机应急响应团队和其他执法机构进行过密切合作,共同应对过去十年中最严重的网络安全事件。
OX Security是一款应用安全平台,旨在帮助组织关注真正重要的风险。通过分析可利用性、可达性和业务影响,该平台在整个软件开发生命周期中提供基于证据的优先级。凭借从代码到云的全方位覆盖、100多个集成和无代码工作流,OX将引导式补救直接嵌入开发人员的工作流程中,确保安全措施既有效又无缝。
在联合创立OX Security之前,您曾在Check Point领导过重大事件响应。是什么促使您决定创办自己的公司,您在应用安全领域看到了什么样的空白?
在Check Point工作期间,我亲身经历了“企业速度差距”——传统的安全企业行动速度较慢。我还看到安全团队在很多方面效率较低,特别是在正确优先考虑风险时。
同时,我意识到生成式人工智能(当时还处于初期阶段)代表了安全工具需要演变的未来。事实上,它发展得非常快。几个关键的转变同时发生:
威胁行为者加速:攻击者正在迅速采用新技术和方法,安全解决方案跟不上他们的步伐。
“氛围编码”现象:当时这个术语还不存在,但我看到开发人员越来越多地依赖人工智能辅助编码工具,如Copilot,从而从根本上改变了软件的构建方式,并引入了全新的安全考虑。
软件供应链攻击的演变:软件供应链攻击的加速创造了对应用安全的新方法的迫切需求,而现有的工具无法解决这些问题。
在现有的企业结构内进行渐进式改进是不足以应对这些迅速演变的挑战的。
我的最后一个认识是,威胁正在快速进入代码中——安全也需要跟进。我们需要打破已知的框架,开始一场新的快速赛跑。
OX的核心使命是帮助开发人员关注真正重要的5%的漏洞。当您意识到这一洞察的重要性时,它如何塑造今天的产品决策?
在管理过相当大的开发团队之后,我亲眼目睹了安全相关问题的庞大数量可能会让人感到不知所措。您需要了解什么是重要的,什么不是。浏览无尽的列表并不会推动公司朝着风险降低的方向发展,反而会产生沮丧,甚至会让公司远离风险降低,因为这会消耗大量时间和资源。
这教会了我们,我们需要帮助开发人员关注真正重要的事情——然后向他们解释为什么它很重要。之后,我们需要向他们展示如何轻松解决它,或者更好的是——直接为他们解决它,这现在通过工具如Agent OX成为可能。
这一洞察成为我们建立公司的基础,也指导着我们今天的所有产品决策。每个功能、每个我们开发的能力都从一个问题开始:“这是否有助于开发人员关注真正重要的事情?这是否降低了风险?”
该平台的核心是“代码投影”技术,用于跨SDLC映射风险。您能否解释一下这项技术的工作原理,以及它与其他漏洞管理工具有什么不同?
代码投影从根本上来说是一种技术,它可以预先看到代码中的问题,并知道当代码到达云端时会如何表现。这使您能够在问题暴露于生产环境之前就解决它。
它的工作原理是理解每段代码都有一个构建和部署到云端的过程——CI/CD。我们可以读取代码并解释其含义。给出一个直截了当的例子——暴露在互联网上的内容显然具有不同的影响,而不暴露的内容则不同。
与其他产品的关键区别在于,大多数工具的工作都以一个问题列表结束。没有办法关注5%或更少的真正重要的风险,筛选这些列表——您最终会得到几乎无关紧要的时间框架。您也不知道将哪个开发人员分配给这个问题。
我们的方法完全改变了这一点——我们不仅仅是识别问题,我们还提供背景、优先级和明确的所有权。
您提供了扫描工具、密钥管理、SBOM、SaaS发现等方面的全面集成。将所有这些统一到开发人员体验中的一些最艰难的技术挑战是什么?
最难的问题是将数据转化为洞察力。数据是您刚刚提到的所有内容。但开发人员需要清晰度、要点和推理。有针对性的沟通。如何将数据山转化为可执行的洞察力——这是行业中最大的挑战。
以一种能够讲述一个连贯的故事并提供清晰、优先的行动方案的方式来综合这些信息,这是最大的挑战,这些行动方案是开发人员可以真正执行的。
PBOM(Pipeline物料清单)是OX的创新。它与SBOM有什么不同之处,为什么它对于保护现代软件供应链至关重要?
PBOM是指从软件编写到投入生产的整个过程中的所有内容。SBOM是其中的一个组成部分,它查看应用程序内部的所有软件包。
为了回答前面的问题,PBOM实际上是使我们能够将数据转化为洞察力的基础,因为它查看了更广泛的画面——所有的数据。它捕获了代码的整个旅程和转变,而不仅仅是最终的组件。
这种全面的视角是必不可少的,因为传统的安全工具只能看到最终结果,错过了在开发和部署期间发生的关键攻击向量,例如受损的构建工具、恶意提交或管道操纵。
OX刚刚推出了Agent OX——一种新的多代理架构,每个AI模型都专注于特定的漏洞类型和编程语言。是什么驱动了这一设计决策,您如何确保它提出的修复方案既可解释又可信?
我们通过研究人类如何发展专业知识并将同样的原则应用于人工智能来创建这种多代理方法。要成为某个领域的专家,开发人员需要在语言、特定架构和特定组织方面都具有专长。单个开发人员无法解决所有问题,同样的逻辑也适用于单个AI代理。另外,您希望有一个代理,可以处理质量保证。
因此,每个代理在其特定领域发展出深厚的专业知识,就像人类专家一样。
为了确保可信度和可解释性,每个代理不仅提出修复方案,还解释其推理过程,展示其工作过程,并允许开发人员了解为什么选择了特定的解决方案。
是什么促使您专注于直接在开发人员工作流程中实现一键修复?您如何确保开发人员保持控制并避免意外的副作用?
主要思想是减少摩擦并增强安全修复。我们让开发人员完全控制权,以便他们可以在接受之前审查和验证所提出的修复方案。
关键在于“一键”并不意味着“自动”——而是意味着简化。开发人员可以看到将要更改的内容,了解为什么,并审查所提出的解决方案,然后可以通过单一操作应用它。控制和决策完全掌握在他们手中,但我们消除了研究和实施修复的繁琐手工工作。
您拥有微软、IBM和SoFi等客户。这些企业关系如何塑造您的路线图和工具(如Agent OX)反馈过程?
我们与数百位客户合作,其中几十位客户公开与我们分享他们遇到的挑战。关于路线图和设计模式的深入讨论是我们能够细化所提出的解决方案的基石。我们非常重视与客户的关系,并将其视为我们公司的首要任务,这指导着我们理解现实世界的需求并创建解决方案来满足这些需求。
随着AI安全工具变得更加主流,您如何平衡自动化与开发人员的信任和控制?您如何在辅助和自治之间划定界限?
正如我们在之前的革命中所见,不能跟上潮流的公司将无法生存。我们开始看到我们合作的组织,他们将所有资源转移到人工智能采用,因为他们理解我们正在经历一场革命。
这些客户实际上是我们最具合作性的客户,因为他们面临着一个新的、未被探索的紧张关系:他们的开发人员需要快速地使用人工智能工具,但他们担心失去控制。他们甚至愿意接受风险和暂时失去控制,以获得竞争优势,但他们需要我们帮助他们重新建立信任。我们的任务是让他们获得所需的速度,同时在过程中重建信心。
您最近完成了6000万美元的B轮融资。这笔资金将如何推动OX的下一阶段增长,无论是在技术、营销还是国际扩张方面?
新的资金根本上是关于扩张,也将帮助我们增强识别来自人工智能生成代码的风险的能力,我们现在已经开始看到随着Agent OX的推出。
我们目前每天为200多位付费客户分析超过1亿行代码。这笔资金将使我们能够在全球范围内扩大这一影响,同时保持我们一直以来指导我们的核心问题:“这是否有助于开发人员关注真正重要的事情?这是否降低了风险?”
感谢这次精彩的采访,希望了解更多的读者可以访问OX Security。
