BoostSecurity CEO Zaid Al Hamami谈供应链攻击

关键要点

• BoostSecurity 获得 1200 万美元种子资金，以推动新的开发功能并扩大业务。
• 公司旨在为客户提供整个软件管道的透明度，并自动化安全检查。
• 供应链攻击的威胁凸显了软件安全开发的重要性。
• 在安全领域的创新机会依然广阔。

BoostSecurity 最近从隐秘状态中浮出水面，获得了 1200 万美元的种子资金，CEO Zaid Al Hamami表示，这将帮助公司扩展客户的新开发功能、招聘更多开发人员，并总体上推动业务增长。

SC Media 最近与 Al Hamami 坐下来讨论供应链攻击的严重性，以及 BoostSecurity 如何提供以前只有亚马逊网络服务、微软
Azure 和谷歌等超大规模公司才能享有的自动化服务。

DevSecOps 团队在安全开发代码方面面临的主要挑战是什么？

有两个主要挑战。首先，开发团队在尝试构建安全软件，通常被称为应用安全。其次是安全地开发软件。这第二点意味着开发团队构建软件的方式可能会在供应链攻击中受到滥用。这两个方面是相互关联的，都会影响
CI/CD 管道。

关于超大规模公司与普通企业

在您最近的新闻稿中提到，许多企业没有超大规模公司的资源。您如何定义超大规模公司，而普通企业在资源和专业知识方面又缺少什么？

超大规模公司指的是亚马逊、谷歌以及主要的云提供商和科技公司。许多公司在十年前就解决了这些开发问题。他们的需求非常极端，必须在内部构建这种能力，最终形成了一套高效且简化的安全代码开发方式。在过去的五到六年中，这种知识逐渐渗透到
DevSecOps 行业中。我们旨在将超大规模公司的做法以 SaaS 产品的形式提供给整个行业。

通过
BoostSecurity，客户可以完全了解他们的软件管道和代码库。在了解所有信息后，他们需要在软件管道中添加安全检查，使用我们的工具可以配置适当的安全检查。在识别出需要处理的供应链安全问题后，他们就知道开发人员需要专注于什么，并可以针对这些问题为开发人员制定相应的政策。这种自动化功能可以立即使用，以前这类工作往往需要数月甚至数年的时间，而我们客户在第一天就可以达到这一点。在过去，有效使用自动化的企业必须在内部完成这项工作，聘请应用安全专家，通常需要三到四年的时间，花费数百万美元。虽然这个挑战将长期存在，但未来，开发团队将不必与三到四个厂商合作以获得全面覆盖。

供应链攻击的新防护策略

我明白安全开发代码是主要目标。但是，在当前的威胁环境中，防止供应链攻击不应该是更重要的目标吗？

是的，100%。如今，大家都知道，可以采取最佳实践和安全流程来检测和防止所谓的 SolarWinds风格的供应链攻击。例如，我们可以通过适当的密码检查来检测共同篡改。但我们所努力做的，是促使人们提出以下问题：我能信任我的供应链吗？我是否正确使用
GitHub？我是否相信代码库配置得当，能够防止恶意行为者注入代码？团队是否拥有必要的检查，以确保在代码处理过程中没有篡改？虽然安全地开发代码仍处于不断发展的状态，但我们可能需要一些时间，才能够一键检测和防止
SolarWinds 攻击。

BoostSecurity 如何在安全公司裁员的环境中获得资金

我知道 1200 万美元的种子资金相对较少，但在安全公司裁员严重的环境中，BoostSecurity 是如何成功获得资金的？

有两个或三个原因。首先，我们有一支经验丰富的团队，深谙这个领域。其次，我们已有非常好的客户，产品在生产中使用了大约一年，并在保护他们的软件供应链。第三，我认为问题的严重性也是一个因素。人们常常来找我说这个领域竞争激烈，但即使获得了大量资金，数据泄露事件依然屡创历史新高，因此在软件供应链问题上仍然有很多创新空间。