Endor Labs начала жизнь в 2022 году, пытаясь решить пробную проблему безопасности приложений в то время, когда изменялась практика разработки программного обеспечения, причем 80–90% кода был открытым исходным кодом. Организации изо всех сил пытались адаптироваться к сдвигу в кодировании к открытому исходному коду, при этом инструменты сканирования посылали огромное количество оповещений для разработчиков, которые обнаружили, что большинство из них были неверными или ложными положительными.
По словам соучредителя и генерального директора Варуна Бадхвара, Endor Lab. Пало-Альто, калифорнийский стартап создал новый подход к вызову, создав глобальный график вызовов для приложений.
Благодаря технологии, Endor Labs мог понять все строки кода, из зависимостей пакетов, библиотек, которые использовались, а не использовались, и как бы позвонить каждая библиотека.
«Мы могли бы проследить весь график вашего приложения на протяжении всего статического анализа, ничего во время выполнения», — сказал Badhwar The New Stack, давая компании возможность уменьшить количество оповещений на 92%. «Очень быстро мы взяли их:« Это безнадежная ситуация », чтобы« только один инженер в моей компании теперь может справиться с этим [alert] отставание.
Вся работа по созданию графика и картирования множества зависимостей открытого исходного кода поставила Labs Endor в положение для решения следующих море в разработке разработки программного обеспечения: использование ИИ в кодировании и повышение «кодирования атмосфера». По данным компании, если 80% или более кода поступит из открытого исходного кода, это скоро переведет к 80%.
Защита ИИ с помощью ИИ
С этой целью Endor Labs на этой неделе расширяет свою платформу Appsec для решения быстрой миграции в направлении кодирования на основе искусственного интеллекта, предлагая обзор кода безопасности искусственного интеллекта, агентскую функцию искусственного интеллекта для выявления рисков, распределения их приоритетов, рекомендовать исправления и автоматически применять исправления.
«Поскольку разработчики производят это программное обеспечение, мы рассматриваем, что с объективом архитектора безопасности и специалиста по обеспечению безопасности приложений рассуждают с этим и понимаем не только известные уязвимости, где всегда зафиксировано много средств соответствия — давайте посмотрим на CEE [common execution environment] и CWES [common weakness enumerations] — Но, глядя на фундаментальные архитектурные проблемы с производством программного обеспечения », — сказал он.
Это включает в себя наблюдение за AI, сгенерированным AI, разоблачает API, который неправильно защищен или гарантирует, что новая схема базы данных, которая нажимает личную информацию (PII), правильно зашифрована и защищена.
«Мы пытаемся обеспечить этот баланс для в основном борьбы с кодом AI с обзорами кода безопасности на основе AI»,-сказал Бадхвар.
Разработчики захватывают ИИ
Это имеет смысл. Разработчики используют ИИ, поскольку они стремятся повысить свою производительность и как можно быстрее создать программное обеспечение и выходить на рынок. Github в 2024 году обнаружил, что 97% опрошенных программистов заявили, что в какой -то момент они используют инструменты кодирования ИИ. Переполнение стека видит похожий энтузиазм. В опросе 65 437 программистов в прошлом году 76% заявили, что используют или планируют использовать такие инструменты.
Он поставляется с рисками безопасности, от кражи модели до утечек данных, в последнее время, красочно называемым «Слопкваттинг».
Endor Labs не единственный поставщик, который делает игру AI-to-Secure-AI. В сообщении в блоге в январе SEMGREP рассказал о том, как ее технология AITOTRIAGE на основе AI использует крупные языковые модели (LLMS) и поколение поиска (RAG), чтобы помочь своим уязвимости SEMGREP Assistant Triage Security в кодировании с точностью 96%.
«В другое дело: помощник редко пропускает истинный позитив, поэтому группы безопасности могут уверенно использовать помощника, чтобы отфильтровать невыполненные выводы (и сообщать разработчикам, что они будут предупреждены только тогда, когда есть реальные проблемы с их кодом)»,-пишет Джек Мокссон, менеджер по продукту персонала в Semgrep, и Сед Джаксик, инженер программного обеспечения с компанией San Francisco.
По словам генерального директора, дифференциатор Endor Labs — это данные, которые лежат в основе своей технологии, которые он создавал за последние три года. Компания проанализировала 4,5 миллиона проектов с открытым исходным кодом и моделей искусственного интеллекта, наметила более 150 факторов риска по каждому, создавая графики вызовов, индексируя миллиарды функций и библиотек, и подробные точные линии, где существуют известные недостатки безопасности.
Ссылки между открытым исходным кодом и кодом искусственного интеллекта
Несмотря на то, что они погружены в открытый исходный код, такие данные являются ключевыми при рассмотрении кодирования на основе искусственного интеллекта.
«Как вы смотрите сегодня, больше этого кода написана курсорами и копистатами мира, за исключением того, что есть одна фундаментальная вещь: эти апопилоты не пишут новое программное обеспечение», — сказал генеральный директор. «Они пишут программное обеспечение, на котором они обучаются и учатся, которое является в основном программным обеспечением с открытым исходным кодом. Все эти модели, независимо от того, какие поставщики вы выберете, обучены программному обеспечению с открытым исходным кодом».
Расширенная платформа Endor Labs теперь включает выделенные агенты искусственного интеллекта, созданные для безопасности приложений, которые могут рассуждать над кодом — как это делают разработчики и архитекторы — при просмотре кода, определяя риски и рекомендуя исправления, как это делают группы безопасности.
Первая агентская возможность ИИ заключается в обзорах кода безопасности, которые будут доступны в мае, используя несколько агентов для рассмотрения запросов на привлечение изменений в архитектуре, которые влияют на позу безопасности предприятия и не могут быть получены с помощью статического тестирования безопасности приложений (SAST) и инструментов сканирования уязвимостей. Изменения включают в себя добавление систем, уязвимых, чтобы вызвать инъекции — когда плохие субъекты манипулируют подсказками, чтобы заставить модель ИИ действовать за пределами своих политик безопасности — или общедоступных конечных точек API, изменений в криптографических инструментах или процессах авторизации или модификации в том, как обрабатываются чувствительные данные.
MCP -сервер Endor Labs
Endor Labs также вводит сервер MCP для решения таких эволюций, как кодирование Vibe, где разработчики используют свою интуицию при кодировании, что позволяет им быстро двигаться. Плагин помогает решать проблемы безопасности, поскольку используются такие инструменты AI, как Cursor и Github Copilot.
«Это эра кодирования Vibe, где помощники по кодированию ИИ генерируют большие объемы кода с минимальным надзором или обзором разработчиков»,-написал Амонд Гупта, вице-президент по продукту в Endor Labs, и DiMitri Stiliadis, соучредитель и технический директор, в посте в блоге. «Разработчики все чаще доверяют своим помощникам искусственного интеллекта, часто принимая предложения с небольшим изменением. Это быстро, эффективно и преобразующе — но это также рискованно».
По словам Бадхвара, сервер MCP существует, чтобы снизить этот риск.
«По сути, это делает причины с курсором и апопилотами, поскольку они производят код и взаимодействуют с ним, чтобы помочь ему, и побуждает его писать более безопасный код, когда он строится, флагируют его проблемы сразу же, когда даже будет создан запрос на притяжение, чтобы сказать:« Вот проблемы в коде, которую вы рекомендуете », — сказал он.
Плагин MCP также будет рекомендовать разные пути для решения проблем безопасности.
«Этот интерактивный процесс будет чрезвычайно ценным двигаться вперед, потому что, если вы не предотвратите создание этих проблем с программным обеспечением в первую очередь, если вы думаете, что у вас есть болото из -за невыполнения CVE и проблем безопасности, которые накапливаются в течение последнего десятилетия, он станет в пять раз хуже», — сказал генеральный директор.
93 миллиона долларов неожиданно
По мере того, как Endor Labs продвигается вперед, он увеличивается на 93 миллиона долларов в финансировании серии B во главе с DFJ Growth и участием Salesforce Ventures. Также существующие инвесторы, такие как Lightspeed Venture Partners, Coatue, Dell Technologies Capital, раздел 32 и Citi Ventures. Компания объявила в августе 2023 года, что собрала 70 миллионов долларов в раунде серии А.
Badhwar сказал, что деньги будут использованы для продолжения разработки своей продукции и привлечения большего количества сотрудников, и в этом году планируется увеличить 140 с лишним рабочей силой на 50%.
Руководители Endor Labs также следят за макроэкономикой, причем генеральный директор отмечает, что даже лучшие экономисты не уверены, будет ли мир в рецессию или валюты продолжают ослаблять.
«Находясь в силе с капиталом, позволяет нам делать большие ставки, которые мы хотим, не ставя под угрозу качество продукции или наше видение, чтобы быть лучшей… компании по безопасности на планете », — сказал он, отметив 30 -кратный доход компании в 30 раз (NRR).
Гупта и Стилиадис Endor Labs написали в своем блоге, что больше уже в пути.
«Запуск нашего MCP Server и обзора кода безопасности AI представляет собой первый этап нашего видения для обеспечения будущего разработки программного обеспечения AI-коляска»,-написали они. «Наша дорожная карта включает в себя дополнительные возможности, запланированные для выпуска в ближайшие месяцы, и все они были сосредоточены на предоставлении команд безопасности действенными инструментами интеллекта и автоматического восстановления».
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Джеффри Берт был журналистом более трех десятилетий, последние 20 с лишним лет охватывали технологии. В течение более 16 лет в Eweek и за годы, как в качестве независимого технического журналиста, он рассмотрел все из данных … Подробнее от Джеффри Берта
