Tsahy Shapsa é o co-fundador e co-CEO da Jit, uma plataforma que simplifica a segurança contínua para que os desenvolvedores possam criar aplicativos de nuvem seguros por design desde o dia zero.
Você esteve envolvido em segurança cibernética durante a maior parte de sua carreira, o que inicialmente o atraiu para o setor?
Crescendo, sempre fui atraído pela ficção científica, e foi o filme “Jogos de Guerra” que realmente despertou minha imaginação sobre o papel que os computadores desempenhariam na segurança de nosso mundo. Enquanto assistia ao jovem hacker do filme tropeçar inadvertidamente em um conflito cibernético de alto risco, fiquei cativado pelas possibilidades e desafios de um futuro digital. Mais tarde na vida, como um adulto cercado pelo espírito inovador da “Nação Startup” de Israel, senti um forte chamado para contribuir para este domínio emocionante e crucial. Essa inspiração, aliada à minha imigração para os Estados Unidos, “a terra das oportunidades”, me levou a abrir minha primeira empresa de segurança cibernética. Tive a sorte de desempenhar um papel na formação do futuro da segurança cibernética, abraçando o espírito empreendedor dos meus dois países de origem-EUA e Israel.
Você poderia compartilhar a história da gênese por trás de Jit?
A história da gênese de Jit. io começou comigo e com meus cofundadores identificando uma lacuna crítica no cenário de segurança cibernética. Como as equipes de engenharia modernas adotaram rapidamente a abordagem de CI/CD, a integração da segurança cibernética muitas vezes ficou para trás, levando a um maior risco de vulnerabilidades. Parte do problema era a grande quantidade de ferramentas de segurança shift-left disponíveis, com as equipes de engenharia frequentemente precisando juntar de 15 a 20 ferramentas em AppSec, CI/CD, Cloud e DAST para criar uma solução de segurança abrangente. Cada uma dessas ferramentas veio com sua própria experiência de integração, gerenciamento e desenvolvedor, o que reduziu significativamente a velocidade de desenvolvimento.
Impulsionado pela missão de tornar ridiculamente fácil para essas equipes incorporar segurança cibernética em seu CI/CD pipelines, nasceu o Jit.io. Minha equipe decidiu acelerar o DevSecOps selecionando meticulosamente as melhores ferramentas de segurança de código aberto do mundo e reunindo-as em uma única plataforma unificada. Ao oferecer um DevX simplificado, o Jit.io permite que as equipes de engenharia modernas integrem e gerenciem perfeitamente a segurança de seus produtos, eliminando a necessidade de integrações complexas de cadeia de ferramentas e processos de integração demorados. Isso garante que medidas robustas de segurança de aplicativos não sejam apenas uma reflexão tardia, mas um componente essencial e facilmente alcançável do processo de desenvolvimento.
Essa abordagem inovadora posicionou o Jit.io como um divisor de águas no domínio da segurança cibernética , revolucionando a maneira como as equipes de engenharia lidam com o cenário de ameaças digitais em constante evolução, simplificando e consolidando a implementação de ferramentas de segurança essenciais, aumentando a velocidade e a eficiência do desenvolvimento.
Para leitores que não estão familiarizados com a terminologia DevSecOps, você poderia definir isso para nós?
DevSecOps é a prática de integração de segurança em todas as etapas do processo de desenvolvimento e implantação de software para equipes de engenharia modernas, unificando AppSec, segurança de CI/CD, e segurança na nuvem. Isso permite que os desenvolvedores sejam donos da segurança de seus produtos da mesma forma que possuem CI e CD, ao mesmo tempo em que promove a colaboração e a responsabilidade compartilhada entre as equipes de desenvolvimento, segurança e operações.
Jit permite que os desenvolvedores sejam donos da segurança dos produtos eles estão construindo desde o dia zero, por que é tão importante priorizar a segurança em um estágio tão inicial?
Usando uma analogia de construção de edifícios, vamos considerar como o DevSecOps abrange vários aspectos do processo de desenvolvimento de software , incluindo AppSec (Application Security), CI/CD (Continuous Integration/Continuous Deployment), Cloud e DAST (Dynamic Application Security Testing).
No processo de construção de edifícios, AppSec é semelhante a garantir o edifício os materiais e o projeto arquitetônico são seguros e seguem os padrões de segurança. O CI/CD é semelhante à coordenação perfeita das atividades de construção, permitindo a montagem e integração eficientes de diferentes componentes, como encanamento, eletricidade e sistemas de segurança. A segurança na nuvem representa a infraestrutura e os serviços públicos que dão suporte ao edifício, como abastecimento de água, eletricidade e conectividade com a Internet. Por fim, o DAST é comparável à realização de inspeções e testes regulares de segurança para identificar e abordar possíveis vulnerabilidades nos sistemas de segurança do edifício.
Ao incorporar o DevSecOps em todo o ciclo de vida do desenvolvimento de software, as organizações podem garantir que a segurança seja parte integrante de cada estágio, desde o projeto de código de aplicativo seguro (AppSec) e a integração eficiente de medidas de segurança no pipeline de CI/CD, até a proteção da infraestrutura de nuvem e a realização de testes de segurança dinâmicos contínuos (DAST). Essa abordagem holística ajuda a criar aplicativos mais seguros e confiáveis e minimiza vulnerabilidades e riscos de segurança em todos os aspectos do processo de desenvolvimento de software.
Você poderia descrever como o Jit se diferencia de outras ferramentas de segurança cibernética?
Jit se diferencia de outras ferramentas de segurança cibernética por oferecer uma plataforma DevSecOps abrangente e unificada que simplifica a integração e o gerenciamento de várias ferramentas de segurança’shift-left’em AppSec, CI/CD, Cloud e DAST. Essa abordagem simplifica as operações de segurança e a experiência do desenvolvedor, permitindo uma colaboração perfeita.
Ao eliminar a necessidade de integrações complexas de cadeia de ferramentas e dependência de fornecedores, o Jit permite que os engenheiros de segurança de produtos e aplicativos escolham o melhor de criar soluções de segurança adaptadas às suas necessidades específicas. Essa adaptabilidade capacita as equipes a criar medidas de segurança robustas, mantendo uma experiência de desenvolvedor nativa e unificada.
O foco do Jit em uma experiência contínua e consistente para desenvolvedores e equipes de segurança permite monitoramento, análise e resposta mais eficientes a ameaças em todos os aspectos do ciclo de vida do desenvolvimento de software. Como resultado, o Jit acelera a implementação das melhores práticas de DevSecOps e promove uma responsabilidade compartilhada pela segurança em toda a organização.
Você costuma discutir como evitar o’bloqueio de ferramentas’para ter um futuro-proof DevSecOps, você poderia descrever o que é bloqueio de ferramenta e por que é um problema tão grande?
No contexto de DevSecOps e fornecedores de segurança shift-left, bloqueio de ferramenta pode pode ser particularmente problemático por vários motivos:
Portfólios de produtos medíocres: muitos fornecedores de segurança shift-left obtêm sucesso inicialmente devido a um produto excelente. No entanto, à medida que expandem suas ofertas, muitas vezes por meio de aquisições, podem acabar com um portfólio de produtos medíocres que não necessariamente se integram bem ou fornecem as melhores soluções para todos os aspectos de segurança. Táticas de vendas e marketing: fornecedores com um portfólio diversificado muitas vezes usam várias táticas de vendas e marketing para “forçar” os clientes a comprar todo o seu conjunto de produtos. Essa abordagem impede que os usuários tenham a liberdade de escolher as melhores soluções e pode levar a resultados de segurança abaixo do ideal. Adaptabilidade prejudicada: o bloqueio de ferramentas restringe a capacidade de uma organização de se adaptar às ameaças de segurança em evolução ou aproveitar os avanços da tecnologia. Quando preso às ofertas de um fornecedor específico, torna-se um desafio explorar e adotar melhores soluções de segurança à medida que elas se tornam disponíveis.Inovação reduzida: depender do portfólio de segurança de um único fornecedor pode sufocar a inovação, pois a organização pode ficar excessivamente focada nos recursos do ferramentas atuais em vez de buscar soluções alternativas e potencialmente superiores.
Para construir uma cadeia de ferramentas DevSecOps à prova de futuro e evitar as armadilhas do bloqueio de ferramentas, é crucial que as organizações mantenham a flexibilidade para escolher o melhor da categoria soluções de segurança adaptadas às suas necessidades. Essa abordagem permite que as organizações criem uma postura de segurança mais robusta e eficaz, promovendo a inovação e a adaptabilidade diante dos cenários de segurança em constante mudança.
Como o Jit cria um sistema unificado e completo’solução que evita esse problema?
Jit aborda o problema de bloqueio de ferramentas priorizando flexibilidade, integração e adaptabilidade. Veja como o Jit consegue isso:
Integração perfeita de várias ferramentas: a plataforma do Jit foi projetada para integrar as melhores soluções de segurança em AppSec, CI/CD, nuvem e DAST. Isso permite que as organizações escolham as ferramentas mais adequadas para suas necessidades específicas, enquanto o Jit lida com as complexidades de gerenciamento e integração dessas ferramentas díspares em um sistema coeso. e alternar entre diferentes ferramentas de segurança à medida que seus requisitos evoluem. Essa flexibilidade garante que as organizações sempre possam adotar as soluções mais eficazes para suas necessidades de segurança, sem serem limitadas pelo portfólio de um único fornecedor. Experiência unificada de desenvolvimento e operações de segurança: o Jit simplifica a experiência do desenvolvedor e das operações de segurança, fornecendo uma interface consistente e amigável para gerenciar e interagir com várias ferramentas de segurança. Essa experiência unificada simplifica o processo de incorporação de práticas de segurança no ciclo de vida de desenvolvimento de software e garante que desenvolvedores e equipes de segurança possam colaborar de maneira eficaz. Inovação e adaptabilidade contínuas: ao permitir que as organizações aproveitem as melhores soluções de segurança, o Jit promove inovação e adaptabilidade contínuas. À medida que surgem novas ferramentas e tecnologias de segurança, a plataforma da Jit pode facilmente acomodar esses avanços, garantindo que as organizações sempre tenham acesso a soluções de segurança de ponta.
Oferecendo uma plataforma unificada e flexível que integra perfeitamente várias ferramentas de segurança, mantendo um desenvolvedor consistente e experiência em operações de segurança, o Jit evita efetivamente as armadilhas do bloqueio de ferramentas e permite que as organizações criem plataformas DevSecOps à prova de futuro que podem se adaptar e crescer com suas crescentes necessidades de segurança
Jit-DevSecOps se descreve como uma abordagem enxuta e iterativa para adicionar segurança’Just-In-Time’. Você poderia detalhar a importância de aplicar segurança dessa maneira?
Jit-DevSecOps, uma abordagem enxuta e iterativa para adicionar segurança”Just-In-Time”, enfatiza a importância de integração de segurança eficiente. Esse método permite a detecção precoce e a correção de vulnerabilidades, ciclos de desenvolvimento mais rápidos e colaboração aprimorada. A abordagem baseada em mudança/delta do Jit concentra-se em abordar os problemas de segurança à medida que surgem, garantindo que as vulnerabilidades mais críticas sejam corrigidas primeiro. Ao priorizar uma mentalidade de corrigir primeiro e adaptar-se aos cenários de segurança em constante mudança, o Jit-DevSecOps permite que as organizações mantenham uma segurança robusta, garantindo agilidade e eficiência no processo de desenvolvimento.
Qual é a sua visão para o futuro de DevSecOps e segurança cibernética em geral?
Minha visão para o futuro de DevSecOps e segurança cibernética é aproveitar o poder de tecnologias avançadas, como inteligência artificial, aprendizado de máquina e automação para identificar e responder a ameaças em tempo real. Por exemplo, soluções de segurança orientadas por IA podem ajudar a detectar anomalias e possíveis vulnerabilidades, enquanto a resposta automatizada a incidentes pode ajudar a conter e mitigar incidentes de segurança.
Além disso, exploraremos tecnologias emergentes, como blockchain e criptografia, para aprimorar segurança e privacidade de dados. Essas tecnologias podem ajudar a garantir a integridade e a confidencialidade dos dados e evitar acesso não autorizado ou adulteração.
No geral, minha visão enfatiza a importância da colaboração, inovação e medidas proativas para ficar à frente das ameaças emergentes. E, claro, sempre nos lembraremos da regra de ouro da segurança cibernética: o único computador seguro é aquele que está desconectado, enterrado no concreto e nunca ligado.
Obrigado pela ótima entrevista, leitores que desejam para saber mais, visite Jit.