„Symbiotic Security“, kuri šiandien paskelbia apie 3 mln. Kitos įmonės tai daro, tačiau „Symbiotic“ taip pat pabrėžia kitą žingsnį: mokyti kūrėjus visų pirma vengti šių klaidų.
Idealiu atveju tai reiškia, kad kūrėjai ištaisys saugos klaidas prieš patekdami į kodų saugyklą, o tai savo ruožtu turėtų pagreitinti bendrą kūrimo procesą. O kadangi kūrėjai mokosi darbe ir aplinkoje, kurioje jau dirba, daug didesnė tikimybė, kad reikiamus pakeitimus įgyvendins teisingai. Tai veiksmingiau, nei priversti juos dalyvauti kasmetiniuose saugumo mokymuose „SuccessFactors“.
Šių metų pradžioje startavusi bendrovė savo MVP išleido maždaug prieš mėnesį, daugiausia dėmesio skirdama infrastruktūros kaip kodo kalboms, tokioms kaip Terraform. Kaip man sakė „Symbiotic“ įkūrėjas ir generalinis direktorius Jerome'as Robertas, bendrovė tai padarė, kad ištrauktų MVP ir patvirtintų savo viziją. Laikui bėgant komanda planuoja plėstis į likusią programų paketą ir palaikyti tokias kalbas kaip Python ir JavaScript.
Robertas pažymėjo, kad net patys kūrėjams palankiausi saugos įrankiai vis dar yra saugos komandų įrankiai. „Jie leidžia apsaugos komandoms būti geresniais policininkais. Tai nėra įrankiai, kurie kūrėjus paverčia gerais žmonėmis“, – sakė jis. „Tai įrankiai, leidžiantys saugos komandoms visą savaitę siųsti šimtus pranešimų, sakydami: „Padarėte klaidą. Jūs turite tai sutvarkyti.“
Tuo tarpu kūrėjas nuolat turi rinktis tarp saugumo problemų sprendimo ir naujų funkcijų kūrimo.
„Symbiotic Security“ idėja yra nukreipti kūrėjus tinkama linkme, panašiai kaip jiems jau žinomi kodo užbaigimo įrankiai. Idealiu atveju simbiotinė programa gali padėti kūrėjams ištaisyti vidinės kilpos klaidas, kol jie vis dar koduoja, ir gerokai anksčiau, nei nuolatinės integracijos ir pristatymo platformos pradeda nuskaityti kodą dėl problemų. Kai tai įvyksta, procesas iš karto sulėtėja, o perima Jira bilietai ir papildomi kodo peržiūros procesai.
Čia Symbiotic žengia dar vieną žingsnį. „Neužtektų tik leisti jiems išspręsti (problemas) ir jas aptikti“, – paaiškino Robertas. „Mes taip pat turime juos mokyti saugumo klausimais – ir kūrėjai mėgsta mokyti; tai absoliutus, 100% tikras dalykas. Tačiau saugumo mokymai yra skausmingi“.
Kūrėjams Robertas teigia, kad mokymas vietoje yra kažkas, su kuo jie gali būti susiję. Jis sutelktas į tiesioginius jų poreikius, o ne į tai, kas yra abstraktu – ir vos kelios minutės, tai trumpa.
Šiuo metu šios mokymo pamokos ir vaizdo įrašai yra iš anksto įrašyti, tačiau laikui bėgant jie gali tapti labiau pagrįsti dirbtiniu intelektu, o tai leistų Symbiotic padaryti juos dar labiau susijusius su konkrečiomis problemomis, su kuriomis dirba kūrėjas.
Čia taip pat yra dar vienas įdomus posūkis. Norint geriausiai išmokyti modelį automatiškai išspręsti saugos problemas, jums reikia kodo su saugos klaidomis ir pataisytų tų kodo fragmentų versijų. Kadangi „Symbiotic“ mato problemą ir nurodo kūrėjui, kaip ją išspręsti, idealiu atveju jis galėtų sukurti aukštos kokybės duomenų rinkinį, kad būtų sukurtas ištaisymo modelis. Tačiau kol kas tai yra ilgalaikis projektas.
„Symbiotic“ remia tokie kaip „Lerer Hippeau“, „Axeleo Capital“ ir „Factorial Capital“. „Jerome'as ir vienas iš įkūrėjų Edouardas Viotas puikiai supranta tradicinio kodo saugumo problemas ir demonstravo nepaprastą įžvalgumą, siekdami patenkinti didėjančią perėjimo į kairę saugos sprendimų paklausą“, – sakė Lerer Hippeau vadovaujantis partneris Grahamas Brownas. „Symbiotic gali pakeisti pramonę, įgalindamas kūrėjus ir saugumo komandas.