یان ریوپل، مدیرعامل و بنیانگذار Root.io ، ماموریت این شرکت را برای تأمین امنیت زنجیره تأمین نرم افزار با راه حل های ابر بومی رهبری می کند. وی با گذشت بیش از 15 سال از فناوری و امنیت سایبری ، نقش های رهبری را در Slim.ai و FXP برگزار کرده است و با تمرکز بر فروش شرکت ها ، استراتژی رفتن به بازار و رشد بخش عمومی. او دارای یک ACE از MIT Sloan است و فارغ التحصیل دانشکده اطلاعات ارتش ایالات متحده است.
root.io یک بستر امنیتی با ابر بومی است که برای کمک به شرکت ها در تأمین زنجیره تأمین نرم افزار خود طراحی شده است. Root.io با خودکار سازی اعتماد و انطباق در خطوط لوله توسعه ، تحویل نرم افزار سریعتر و قابل اطمینان تر را برای تیم های مدرن DevOps امکان پذیر می کند.
چه چیزی الهام بخش تأسیس ریشه بود و چگونه ایده اصلاح آسیب پذیری خودکار (AVR) به وجود آمد؟
Root از یک ناامیدی عمیق متولد شد که ما بارها و بارها با دست اول روبرو شدیم: سازمان هایی که زمان و منابع زیادی را برای تعقیب آسیب پذیری هایی که هرگز به طور کامل از بین نمی روند ، اختصاص می دهند. تریاژ به تنها دفاع در برابر افزایش سریع بدهی های فنی CVE تبدیل شده بود ، اما با توجه به میزان آسیب پذیری های در حال ظهور ، Triage به تنهایی دیگر کافی نیست.
به عنوان نگهدارنده ابزار باریک (که قبلاً Dockerslim) بود ، ما قبلاً عمیقاً درگیر بهینه سازی و امنیت کانتینر بودیم. برای ما طبیعی بود که بپرسیم: اگر ظروف بتوانند خود را به عنوان بخشی از چرخه استاندارد توسعه نرم افزار استاندارد برطرف کنند؟ رفع خودکار ، که اکنون به عنوان ترمیم آسیب پذیری خودکار شناخته می شود (“AVR”) راه حل ما بود – رویکردی که روی تریاژ و ساختمان لیست متمرکز نشده است ، اما به طور خودکار آنها را مستقیماً در نرم افزار شما از بین می برد و بدون ایجاد تغییرات شکستن.
ROOT قبلاً با عنوان Slim.ai شناخته می شد – چه چیزی باعث ایجاد مجدد شد ، و چگونه این شرکت در طی آن انتقال تکامل یافت؟
Slim.ai به عنوان ابزاری برای کمک به توسعه دهندگان به حداقل رساندن و بهینه سازی ظروف آغاز شد. اما ما به زودی فهمیدیم که فناوری ما به چیزی بسیار تأثیرگذارتر تبدیل شده است: یک بستر قدرتمند که قادر به تأمین فعال نرم افزار برای تولید در مقیاس است. Rebrand to Root این تغییر تحول آمیز را از یک ابزار بهینه سازی توسعه دهنده گرفته تا یک راه حل امنیتی قوی که هر سازمانی را قادر می سازد تا خواسته های امنیتی دقیق پیرامون نرم افزار منبع باز را در عرض چند دقیقه برآورده کند ، ضبط می کند. ریشه مأموریت ما را تجسم می کند: رسیدن به ریشه خطر نرم افزار و اصلاح آسیب پذیری ها قبل از اینکه آنها به حادثه تبدیل شوند.
شما تیمی با ریشه های عمیق در امنیت سایبری ، از Cisco ، Trustwave و Snyk دارید. چگونه تجربه جمعی شما DNA ریشه را شکل داد؟
تیم ما اسکنرهای امنیتی ، دفاع از شرکتهای جهانی و راه حل های معماری را برای برخی از حساس ترین و پرخاشگرترین زیرساخت های خود ساخته است. ما مستقیماً با معاملات بین سرعت ، امنیت و تجربه توسعه دهنده درگیر شده ایم. این تجربه جمعی اساساً DNA ریشه را شکل داده است. ما با اتوماسیون و ادغام وسواس داریم – صرفاً شناسایی مسائل امنیتی بلکه حل سریع آنها بدون ایجاد اصطکاک جدید. تجربه ما هر تصمیمی را آگاه می کند ، و اطمینان می دهد که امنیت به جای کند شدن آن ، نوآوری را تسریع می کند.
ادعاهای ریشه در مورد آسیب پذیری های کانتینر در چند ثانیه – بدون بازسازی ، بدون خرابی. چگونه فناوری AVR شما در واقع زیر کاپوت کار می کند؟
AVR به طور مستقیم در لایه کانتینر کار می کند ، به سرعت بسته های آسیب پذیر را شناسایی می کند و لکه دار می شود یا آنها را در درون تصویر جایگزین می کند – بدون نیاز به بازسازی های پیچیده. در ضمن حفظ وابستگی ها ، لایه ها و رفتارهای زمان اجرا ، آن را به عنوان قطعه های کد آسیب پذیر یکپارچه با تعویض ایمن فکر کنید. دیگر منتظر تکه های بالادست نیستید ، نیازی به مجدداً خط لوله های خود نیست. این اصلاح با سرعت نوآوری است.
آیا می توانید توضیح دهید که چه چیزی ریشه را از سایر راه حل های امنیتی مانند Chainguard یا Rapidfort جدا می کند؟ لبه شما در این فضا چیست؟
بر خلاف Chainguard ، که مجدداً با استفاده از تصاویر سرپوشیده یا RapidFort ، که باعث کاهش سطوح حمله می شود بدون اینکه مستقیماً به آسیب پذیری ها بپردازد ، Root مستقیماً تصاویر کانتینر موجود شما را لکه دار می کند. ما یکپارچه بدون اختلال در خط لوله شما ادغام می شویم – بدون اصطکاک ، بدون دست دادن. ما اینجا نیستیم تا گردش کار شما را جایگزین کنیم ، ما اینجا هستیم تا آن را تسریع و تقویت کنیم. هر تصویری که از طریق ریشه اجرا می شود ، اساساً به یک تصویر طلایی تبدیل می شود – با کاهش آسیب پذیری ها و صرفه جویی در وقت ، ROI سریع ROI را که از بین می رود ، کنترل می شود. سکوهای ما اصلاحات را از هفته ها یا روزها به 120-180 ثانیه کاهش می دهد و شرکت ها را در صنایع بسیار تنظیم شده قادر می سازد تا در یک جلسه واحد ، عقب مانده آسیب پذیری را از بین ببرند.
توسعه دهندگان باید در ساخت و حمل و نقل محصولات جدید متمرکز شوند-نه صرف ساعت ها برای رفع آسیب پذیری های امنیتی ، یک جنبه وقت گیر و غالباً مخوف توسعه نرم افزار که باعث نوآوری می شود. از همه بدتر ، بسیاری از این آسیب پذیری ها حتی خودشان نیستند-آنها ناشی از ضعف در فروشندگان شخص ثالث یا پروژه های نرم افزاری منبع باز هستند و تیم ها را مجبور می کنند ساعت های ارزشمندی را برای رفع مشکل شخص دیگری بگذرانند.
توسعه دهندگان و تیم های تحقیق و توسعه از جمله منابع انسانی و نرم افزار و زیرساخت های ابری که از آنها پشتیبانی می کند ، از بزرگترین مراکز هزینه در هر سازمان هستند. Root این بار را با استفاده از AI عامل AI ، به جای تکیه بر تیم های توسعه دهندگان که به طور شبانه روزی کار می کنند تا آسیب پذیری های شناخته شده را به صورت دستی بررسی و وصله می کند ، کاهش می دهد.
چگونه ریشه به طور خاص از AI عامل برای خودکار سازی و ساده سازی روند اصلاح آسیب پذیری استفاده می کند؟
موتور AVR ما از AI عامل AI برای تکرار فرآیندهای فکر و اقدامات یک مهندس امنیتی فصلی استفاده می کند – به طور گسترده ارزیابی تأثیر CVE ، شناسایی بهترین تکه های موجود ، آزمایش دقیق و استفاده از رفع با ایمن. این کار در ثانیه انجام می شود که در غیر این صورت نیاز به تلاش دستی قابل توجهی دارد ، و همزمان هزاران تصویر را مقیاس می کند. هر ترمیم کننده سیستم را آموزش می دهد ، به طور مداوم اثربخشی و سازگاری آن را تقویت می کند ، اساساً تخصص یک مهندس امنیتی تمام وقت را مستقیماً در تصاویر شما قرار می دهد.
چگونه ریشه بدون اضافه کردن اصطکاک در گردش کار توسعه دهنده موجود ادغام می شود؟
ریشه با زحمت در گردش کار موجود ادغام می شود و مستقیماً به رجیستری کانتینر یا خط لوله خود وصل می شود – بدون بازگرداندن ، هیچ عامل جدید و هیچ راهپیمایی اضافی. توسعه دهندگان به طور معمول تصاویر را تحت فشار قرار می دهند ، و Root دستگیره های وصله و انتشار تصاویر به روز شده را یکپارچه در جای خود یا به عنوان برچسب های جدید انجام می دهد. راه حل ما تا زمان لازم نامرئی است ، و در صورت تمایل ، دید کاملی را از طریق مسیرهای حسابرسی دقیق ، SBOM های جامع و گزینه های بازپرداخت ساده ارائه می دهد.
چگونه اتوماسیون و کنترل را متعادل می کنید؟ برای تیم هایی که می خواهند دید و نظارت داشته باشند ، ریشه چقدر قابل تنظیم است؟
در ریشه ، اتوماسیون افزایش می یابد – نه کاهش می یابد – کنترل. پلتفرم ما بسیار قابل تنظیم است و به تیم ها امکان می دهد سطح اتوماسیون را به نیازهای خاص خود مقیاس دهند. شما تصمیم می گیرید که چه کاری را به صورت خودکار انجام دهید ، چه زمانی باید بررسی دستی را درگیر کنید و چه چیزی را حذف کنید. ما از طریق نمایش های تفصیلی تفصیل ، تغییر و تحلیلی و تأثیرگذاری ، دید گسترده ای را ارائه می دهیم ، و اطمینان حاصل می کنیم که تیم های امنیتی آگاه و توانمند باقی می مانند ، هرگز در تاریکی باقی نمی مانند.
با وجود هزاران آسیب پذیری به طور خودکار ، چگونه ثبات را تضمین می کنید و از شکستن وابستگی یا مختل کردن تولید خودداری می کنید؟
پایداری و قابلیت اطمینان هر عملی را که AVR Root انجام می دهد ، زیربنایی می کند. به طور پیش فرض ، ما یک رویکرد محافظه کارانه ، پیگیری دقیق نمودارهای وابستگی ، استفاده از تکه های آگاه سازگاری و آزمایش دقیق هر تصویر اصلاح شده را در برابر کلیه چارچوب های آزمایش عمومی در دسترس برای پروژه های منبع باز قبل از استقرار اتخاذ می کنیم. در صورت بروز مسئله ای ، زود گرفتار شده و بازپرداخت بی دردسر است. در عمل ، ما در هزاران اصلاح خودکار کمتر از 0.1 ٪ از شکست را حفظ کرده ایم.
با پیشرفت هوش مصنوعی ، سطوح حمله بالقوه را نیز انجام دهید. آماده سازی ریشه برای تهدیدهای امنیتی در دوره AI در حال ظهور است؟
ما هوش مصنوعی را هم یک بردار تهدید بالقوه و هم یک ابرقدرت دفاعی مشاهده می کنیم. ROOT به طور فعال انعطاف پذیری را به طور مستقیم در زنجیره تأمین نرم افزار جاسازی می کند ، و اطمینان می دهد که بارهای کاری کانتینر شده – از جمله پشته های پیچیده AI/ML – به طور مداوم سخت می شوند. هوش مصنوعی عامل ما با تکامل تهدیدات تکامل می یابد ، دفاع های مستقل را سریعتر از آنکه مهاجمان بتوانند عمل کنند ، سازگار می کنند. هدف نهایی ما انعطاف پذیری زنجیره تأمین نرم افزار خودمختار است: زیرساخت هایی که خود را با سرعت تهدیدهای نوظهور دفاع می کنند.
با تشکر از شما برای مصاحبه عالی ، خوانندگانی که مایل به کسب اطلاعات بیشتر هستند باید بازدید کنند root.ioبشر
