Tsahy Shapsa è il co-fondatore e co-CEO di Jit, una piattaforma che consente di semplificare la sicurezza continua, in modo che gli sviluppatori possano creare proteggere le app cloud fin dall’inizio.
Sei stato coinvolto nella sicurezza informatica per la maggior parte della tua carriera, cosa ti ha attratto inizialmente del settore?
Crescendo, sono sempre stato attratto dalla fantascienza, ed è stato il film”WarGames”che ha davvero acceso la mia immaginazione sul ruolo che i computer avrebbero avuto nella sicurezza del nostro mondo. Mentre guardavo il giovane hacker del film inciampare inavvertitamente in un conflitto informatico ad alto rischio, sono rimasto affascinato dalle possibilità e dalle sfide di un futuro digitale. Più tardi nella vita, da adulto circondato dallo spirito innovativo della”Startup Nation”di Israele, ho sentito una forte chiamata a contribuire a questo dominio emozionante e cruciale. Questa ispirazione, unita alla mia immigrazione negli Stati Uniti,”la terra delle opportunità”, mi ha portato ad avviare la mia prima azienda di sicurezza informatica. Ho avuto la fortuna di svolgere un ruolo nel plasmare il futuro della sicurezza informatica abbracciando allo stesso tempo lo spirito imprenditoriale dei miei due paesi d’origine: Stati Uniti e Israele.
Potresti condividere la storia della genesi di Jit?
La storia della genesi di Jit. io è iniziato con me e i miei co-fondatori che identificavano una lacuna critica nel panorama della sicurezza informatica. Man mano che i moderni team di ingegneri hanno adottato rapidamente l’approccio CI/CD, l’integrazione della sicurezza informatica spesso è rimasta indietro, portando a un aumento del rischio di vulnerabilità. Parte del problema era la travolgente pletora di strumenti di sicurezza con spostamento a sinistra disponibili, con i team di ingegneri che spesso avevano bisogno di unire 15-20 strumenti tra AppSec, CI/CD, Cloud e DAST per creare una soluzione di sicurezza completa. Ciascuno di questi strumenti è stato fornito con la propria esperienza di onboarding, gestione e sviluppo, che ha notevolmente rallentato la velocità di sviluppo.
Spinto dalla missione di rendere incredibilmente facile per questi team incorporare la sicurezza informatica nel loro CI/CD pipeline, è nato Jit.io. Il mio team ha deciso di accelerare DevSecOps curando meticolosamente i migliori strumenti di sicurezza open source al mondo e impacchettandoli in un’unica piattaforma unificata. Offrendo un DevX semplificato, Jit.io consente ai moderni team di ingegneri di integrare e gestire senza problemi la sicurezza dei loro prodotti, eliminando la necessità di complesse integrazioni di toolchain e lunghi processi di onboarding. Ciò garantisce che solide misure di sicurezza delle applicazioni non siano solo un ripensamento, ma una componente essenziale e facilmente raggiungibile del processo di sviluppo.
Questo approccio innovativo ha posizionato Jit.io come un punto di svolta nel regno della sicurezza informatica , rivoluzionando il modo in cui i team di ingegneri affrontano il panorama delle minacce digitali in continua evoluzione semplificando e consolidando l’implementazione di strumenti di sicurezza essenziali, aumentando in definitiva la velocità e l’efficienza dello sviluppo.
Per i lettori che non hanno familiarità con la terminologia DevSecOps, potresti definirlo per noi?
DevSecOps è la pratica di integrare la sicurezza in ogni fase del processo di sviluppo e distribuzione del software per i moderni team di ingegneri, unificando AppSec, sicurezza CI/CD, e sicurezza del cloud. Ciò consente agli sviluppatori di possedere la sicurezza dei propri prodotti proprio come possiedono CI e CD, promuovendo al contempo la collaborazione e la responsabilità condivisa tra i team di sviluppo, sicurezza e operativi.
Jit consente agli sviluppatori di possedere la sicurezza dei prodotti stanno costruendo dal giorno zero, perché è così importante dare la priorità alla sicurezza in una fase così precoce?
Utilizzando un’analogia con la costruzione di edifici, consideriamo come DevSecOps abbraccia vari aspetti del processo di sviluppo del software , tra cui AppSec (Sicurezza dell’applicazione), CI/CD (Integrazione continua/Distribuzione continua), Cloud e DAST (Dynamic Application Security Testing).
Nel processo di costruzione dell’edificio, AppSec è simile a garantire l’edificio i materiali e il design architettonico sono sicuri e rispettano gli standard di sicurezza. CI/CD è simile al coordinamento continuo delle attività di costruzione, consentendo un efficiente assemblaggio e integrazione di diversi componenti, come impianti idraulici, elettrici e di sicurezza. La sicurezza del cloud rappresenta l’infrastruttura e le utenze che supportano l’edificio, come l’approvvigionamento idrico, l’elettricità e la connettività Internet. Infine, DAST è paragonabile allo svolgimento di ispezioni e test di sicurezza regolari per identificare e affrontare potenziali vulnerabilità nei sistemi di sicurezza dell’edificio.
Incorporando DevSecOps durante l’intero ciclo di vita dello sviluppo del software, le organizzazioni possono garantire che la sicurezza sia parte integrante di ogni fase, dalla progettazione del codice dell’applicazione sicura (AppSec) e dall’integrazione efficiente delle misure di sicurezza nella pipeline CI/CD, alla protezione dell’infrastruttura cloud e alla conduzione di test dinamici di sicurezza (DAST) in corso. Questo approccio olistico aiuta a creare applicazioni più sicure e affidabili e riduce al minimo le vulnerabilità e i rischi per la sicurezza in tutti gli aspetti del processo di sviluppo del software.
Potresti descrivere in che modo Jit si differenzia dagli altri strumenti di sicurezza informatica?
Jit si differenzia dagli altri strumenti di sicurezza informatica offrendo una piattaforma DevSecOps completa e unificata che semplifica l’integrazione e la gestione di più strumenti di sicurezza”shift-left”su AppSec, CI/CD, Cloud e DAST. Questo approccio semplifica le operazioni di sicurezza e l’esperienza degli sviluppatori, consentendo una collaborazione senza soluzione di continuità.
Eliminando la necessità di complesse integrazioni di toolchain e vincoli del fornitore, Jit consente ai tecnici della sicurezza di prodotti e applicazioni di scegliere il meglio di-allevare soluzioni di sicurezza su misura per le loro esigenze specifiche. Questa adattabilità consente ai team di creare solide misure di sicurezza pur mantenendo un’esperienza di sviluppo unificata e nativa.
L’attenzione di Jit su un’esperienza uniforme e coerente sia per gli sviluppatori che per i team di sicurezza consente un monitoraggio, un’analisi e una risposta più efficienti a minacce in tutti gli aspetti del ciclo di vita dello sviluppo del software. Di conseguenza, Jit accelera l’implementazione delle best practice DevSecOps e promuove una responsabilità condivisa per la sicurezza in tutta l’organizzazione.
Spesso si discute di evitare il”lock-in degli strumenti”per avere un futuro piattaforma DevSecOps sicura, potresti descrivere cos’è il lock-in degli strumenti e perché è un tale problema?
Nel contesto di DevSecOps e dei fornitori di sicurezza con spostamento a sinistra, il lock-in degli strumenti può essere particolarmente problematico per diversi motivi:
Portafogli di prodotti mediocri: molti fornitori di sicurezza con spostamento a sinistra ottengono inizialmente successo grazie a un prodotto eccezionale. Tuttavia, mentre espandono le loro offerte, spesso attraverso acquisizioni, possono finire con un portafoglio di prodotti mediocri che non si integrano necessariamente bene o forniscono le migliori soluzioni per ogni aspetto della sicurezza. Tattiche di vendita e marketing: Fornitori con un portafoglio diversificato spesso utilizzano varie tattiche di vendita e marketing per”costringere”i clienti ad acquistare l’intera suite di prodotti. Questo approccio impedisce agli utenti di avere la libertà di scegliere le migliori soluzioni e può portare a risultati di sicurezza non ottimali. Adattabilità ostacolata: il blocco degli strumenti limita la capacità di un’organizzazione di adattarsi alle minacce alla sicurezza in evoluzione o di sfruttare i progressi della tecnologia. Quando si è bloccati nelle offerte di un fornitore specifico, diventa difficile esplorare e adottare soluzioni di sicurezza migliori man mano che diventano disponibili. Innovazione ridotta: fare affidamento sul portafoglio di un singolo fornitore per la sicurezza può soffocare l’innovazione, poiché l’organizzazione potrebbe concentrarsi eccessivamente sulle capacità del strumenti attuali piuttosto che cercare soluzioni alternative e potenzialmente superiori.
Per creare una catena di strumenti DevSecOps a prova di futuro ed evitare le insidie del lock-in degli strumenti, è fondamentale che le organizzazioni mantengano la flessibilità necessaria per scegliere il migliore soluzioni di sicurezza su misura per le loro esigenze. Questo approccio consente alle organizzazioni di creare una posizione di sicurezza più solida ed efficace, promuovendo in ultima analisi l’innovazione e l’adattabilità di fronte a scenari di sicurezza in continua evoluzione.
In che modo Jit crea un’unica soluzione unificata?’soluzione che eviti questo problema?
Jit affronta il problema del blocco degli strumenti dando priorità a flessibilità, integrazione e adattabilità. Ecco come Jit ottiene questo risultato:
Integrazione perfetta di più strumenti: la piattaforma di Jit è progettata per integrare le migliori soluzioni di sicurezza tra AppSec, CI/CD, Cloud e DAST. Ciò consente alle organizzazioni di scegliere gli strumenti più adatti alle loro esigenze specifiche, mentre Jit gestisce le complessità della gestione e dell’integrazione di questi strumenti disparati in un sistema coeso. Flessibilità e scelta: Jit consente alle organizzazioni di evitare il blocco del fornitore offrendo la libertà di selezionare e passare da uno strumento di sicurezza all’altro man mano che i requisiti si evolvono. Questa flessibilità garantisce che le organizzazioni possano sempre adottare le soluzioni più efficaci per le loro esigenze di sicurezza, senza essere vincolate dal portafoglio di un singolo fornitore. Esperienza unificata per sviluppatori e operazioni di sicurezza: Jit semplifica l’esperienza degli sviluppatori e delle operazioni di sicurezza fornendo un’interfaccia coerente e intuitiva per la gestione e l’interazione con vari strumenti di sicurezza. Questa esperienza unificata semplifica il processo di incorporazione delle pratiche di sicurezza nel ciclo di vita dello sviluppo del software e garantisce che gli sviluppatori e i team di sicurezza possano collaborare in modo efficace. Innovazione e adattabilità continue: consentendo alle organizzazioni di sfruttare le migliori soluzioni di sicurezza, Jit favorisce l’innovazione e l’adattabilità continue. Man mano che emergono nuovi strumenti e tecnologie di sicurezza, la piattaforma di Jit può facilmente adattarsi a questi progressi, garantendo che le organizzazioni abbiano sempre accesso a soluzioni di sicurezza all’avanguardia.
Offrendo una piattaforma unificata e flessibile che integra perfettamente più strumenti di sicurezza mantenendo uno sviluppatore coerente e l’esperienza nelle operazioni di sicurezza, Jit evita efficacemente le insidie del lock-in degli strumenti e consente alle organizzazioni di creare piattaforme DevSecOps a prova di futuro in grado di adattarsi e crescere con le loro esigenze di sicurezza in continua evoluzione
Jit-DevSecOps si descrive come approccio snello e iterativo per aggiungere sicurezza”Just-In-Time”. Potresti approfondire l’importanza di applicare la sicurezza in questo modo?
Jit-DevSecOps, un approccio snello e iterativo per aggiungere la sicurezza”Just-In-Time”, sottolinea l’importanza di soluzioni tempestive e integrazione efficiente della sicurezza. Questo metodo consente il rilevamento precoce e la risoluzione delle vulnerabilità, cicli di sviluppo più rapidi e una migliore collaborazione. L’approccio basato su cambiamento/delta di Jit si concentra sull’affrontare i problemi di sicurezza man mano che si presentano, assicurando che le vulnerabilità più critiche vengano risolte per prime. Dando la priorità a una mentalità orientata alla correzione e adattandosi ai mutevoli scenari di sicurezza, Jit-DevSecOps consente alle organizzazioni di mantenere una solida sicurezza garantendo al tempo stesso agilità ed efficienza nel processo di sviluppo.
Qual è la tua visione per il futuro di DevSecOps e della sicurezza informatica in generale?
La mia visione per il futuro di DevSecOps e della sicurezza informatica è sfruttare la potenza di tecnologie avanzate come l’intelligenza artificiale, l’apprendimento automatico e l’automazione per identificare e rispondere a minacce in tempo reale. Ad esempio, le soluzioni di sicurezza basate sull’intelligenza artificiale possono aiutare a rilevare anomalie e potenziali vulnerabilità, mentre la risposta automatizzata agli incidenti può aiutare a contenere e mitigare gli incidenti di sicurezza.
Inoltre, esploreremo tecnologie emergenti come blockchain e crittografia per migliorare sicurezza e riservatezza dei dati. Queste tecnologie possono aiutare a garantire l’integrità e la riservatezza dei dati e impedire l’accesso non autorizzato o la manomissione.
Nel complesso, la mia visione sottolinea l’importanza della collaborazione, dell’innovazione e delle misure proattive per stare al passo con le minacce emergenti. E, naturalmente, ricorderemo sempre la regola d’oro della sicurezza informatica: l’unico computer sicuro è quello scollegato, sepolto nel cemento e mai acceso.
Grazie per l’ottima intervista, lettori che desiderano per saperne di più, visita Jit.