Компания Symbiotic Security, объявившая сегодня о привлечении 3 миллионов долларов, следит за разработчиками в процессе написания кода и указывает на потенциальные проблемы безопасности в режиме реального времени. Это делают и другие компании, но Symbiotic делает акцент на следующем шаге: научить разработчиков избегать таких ошибок в первую очередь.
В идеале это означает, что разработчики будут исправлять ошибки безопасности еще до того, как они попадут в хранилище кода, что, в свою очередь, должно ускорить общий процесс разработки. А поскольку разработчики учатся на рабочем месте и в той среде, в которой они уже работают, они с гораздо большей вероятностью правильно внедрят необходимые изменения. Это более эффективно, чем заставлять их проходить ежегодный тренинг по безопасности в SuccessFactors.
Компания, которая начала свою деятельность в начале этого года, выпустила свой MVP около месяца назад с акцентом на языки инфраструктуры-как-код, такие как Terraform. Как рассказал мне соучредитель и генеральный директор Symbiotic Джером Роберт, компания сделала это, чтобы выпустить MVP и доказать свое видение. Со временем команда планирует расширить стек приложений и поддерживать такие языки, как Python и JavaScript.
Роберт отметил, что даже самые удобные для разработчиков инструменты безопасности по своей сути все равно остаются инструментами для команд безопасности. «Они позволяют командам безопасности быть лучшими полицейскими. Это не те инструменты, которые делают разработчиков хорошими парнями», - сказал он. «Это инструменты, которые позволяют командам безопасности отправлять сотни сообщений в течение всей недели, говоря: «Вы совершили ошибку. Вам нужно ее исправить».
Тем временем разработчику постоянно приходится выбирать между исправлением проблем безопасности и разработкой новых функций.
Идея Symbiotic Security заключается в том, чтобы подтолкнуть разработчиков в правильном направлении, подобно инструментам завершения кода, с которыми они уже знакомы. В идеале Symbiotic может помочь разработчикам исправить ошибки во внутреннем цикле, пока они еще пишут код, и задолго до того, как платформы непрерывной интеграции и доставки начнут проверять код на наличие проблем. Как только это происходит, процесс сразу же замедляется, и на смену приходят тикеты Jira и дополнительные процессы проверки кода.
Именно здесь Symbiotic делает еще один шаг вперед. «Было бы недостаточно просто позволить им исправить [проблемы] и обнаружить их», - объясняет Роберт. «Нам также нужно обучить их безопасности - а разработчики любят обучать, это абсолютная, стопроцентная уверенность. Однако тренинги по безопасности очень болезненны».
Роберт утверждает, что для разработчиков обучение на месте - это то, с чем они могут смириться. Оно ориентировано на их насущные потребности, а не на что-то абстрактное - и длится всего несколько минут.
Сейчас эти обучающие уроки и видео записаны заранее, но со временем они могут стать более управляемыми искусственным интеллектом, что позволит Symbiotic сделать их еще более релевантными конкретным проблемам, над которыми работает разработчик.
Есть и еще один интересный момент. Чтобы наилучшим образом обучить модель автоматическому исправлению проблем безопасности, необходим корпус кода с ошибками безопасности и исправленные версии этих фрагментов кода. Поскольку Symbiotic видит проблему, а затем говорит разработчику, как ее исправить, в идеале она могла бы создать высококачественный массив данных для построения модели исправления. Пока что это долгосрочный проект.
Symbiotic поддерживают такие компании, как Lerer Hippeau, Axeleo Capital и Factorial Capital. «Жером и соучредитель компании Эдуард Виот глубоко понимают проблемы, лежащие в основе традиционной защиты кода, и продемонстрировали удивительную дальновидность в своем подходе к удовлетворению растущего спроса на левосторонние решения в области безопасности», - сказал Грэм Браун, управляющий партнер Lerer Hippeau. «Symbiotic обладает потенциалом для преобразования отрасли, расширяя возможности разработчиков и команд безопасности».
Оригинал
Уникальность
