Symbiotic Security, das heute eine 3-Millionen-Dollar-Seed-Runde ankündigt, überwacht Entwickler beim Programmieren und weist in Echtzeit auf potenzielle Sicherheitsprobleme hin. Andere Unternehmen tun dies, aber Symbiotic legt auch Wert auf den nächsten Schritt: Entwicklern beizubringen, diese Fehler von vornherein zu vermeiden.
Im Idealfall bedeutet dies, dass Entwickler Sicherheitslücken beheben, bevor sie überhaupt in ein Code-Repository gelangen, was wiederum den gesamten Entwicklungsprozess beschleunigen sollte. Und da die Entwickler am Arbeitsplatz und in der Umgebung, in der sie bereits arbeiten, lernen können, ist die Wahrscheinlichkeit, dass sie die erforderlichen Änderungen korrekt umsetzen, weitaus größer. Das ist effektiver, als sie eine jährliche Sicherheitsschulung in SuccessFactors absolvieren zu lassen.
Das Anfang des Jahres gegründete Unternehmen veröffentlichte vor etwa einem Monat sein MVP mit Schwerpunkt auf Infrastructure-as-Code-Sprachen wie Terraform. Wie mir der Mitbegründer und CEO von Symbiotic, Jerome Robert, sagte, tat das Unternehmen dies, um einen MVP auf die Beine zu stellen und seine Vision unter Beweis zu stellen. Im Laufe der Zeit plant das Team, den Rest des Anwendungsstapels zu erweitern und Sprachen wie Python und JavaScript zu unterstützen.
Robert stellte fest, dass selbst die entwicklerfreundlichsten Sicherheitstools im Kern immer noch Tools für die Sicherheitsteams sind. „Sie ermöglichen es den Sicherheitsteams, bessere Polizisten zu sein. Es sind keine Werkzeuge, die die Entwickler zu den Guten machen“, sagte er. „Es handelt sich um Tools, die es Sicherheitsteams ermöglichen, die ganze Woche über Hunderte von Nachrichten zu versenden, in denen es heißt: ‚Sie haben einen Fehler gemacht.‘ Du musst es reparieren.‘“
Unterdessen muss sich der Entwickler ständig zwischen der Behebung von Sicherheitsproblemen und der Entwicklung neuer Funktionen entscheiden.
Die Idee hinter Symbiotic Security besteht darin, Entwickler in die richtige Richtung zu lenken, ähnlich wie die Code-Vervollständigungstools, mit denen sie bereits vertraut sind. Symbiotic kann Entwicklern im Idealfall dabei helfen, Fehler in der inneren Schleife zu beheben, während sie noch programmieren und lange bevor die Plattformen für kontinuierliche Integration und Bereitstellung beginnen, den Code auf Probleme zu scannen. Sobald dies geschieht, verlangsamt sich der Prozess sofort, und Jira-Tickets und zusätzliche Code-Review-Prozesse übernehmen die Kontrolle.
Auch hier geht Symbiotic noch einen Schritt weiter. „Es würde nicht ausreichen, ihnen nur die Reparatur zu erlauben [the issues] und um es zu erkennen“, erklärte Robert. „Wir müssen sie auch zum Thema Sicherheit schulen – und Entwickler lieben es, zu schulen; Es ist eine absolute, 100 % sichere Sache. Allerdings sind Sicherheitsschulungen schmerzhaft.“
Für die Entwickler argumentiert Robert, dass die Schulung vor Ort etwas ist, mit dem sie sich identifizieren können. Es konzentriert sich auf ihre unmittelbaren Bedürfnisse und nicht auf etwas Abstraktes – und ist mit nur wenigen Minuten kurz.
Derzeit sind diese Schulungseinheiten und Videos vorab aufgezeichnet, aber im Laufe der Zeit könnten sie stärker KI-gesteuert werden, was es Symbiotic ermöglichen würde, sie noch relevanter für die spezifischen Probleme zu machen, an denen der Entwickler arbeitet.
Hier gibt es noch eine weitere interessante Wendung. Um ein Modell so zu trainieren, dass es Sicherheitsprobleme automatisch behebt, benötigen Sie einen Codekorpus mit Sicherheitsfehlern und die behobenen Versionen dieser Codeausschnitte. Da Symbiotic das Problem erkennt und dem Entwickler dann sagt, wie er es beheben kann, könnte es idealerweise einen hochwertigen Datensatz für die Erstellung eines Behebungsmodells erstellen. Im Moment ist das allerdings ein langfristiges Projekt.
Symbiotic wird von Unternehmen wie unterstützt Lerer Hippeau, Axeleo Capitalund Faktorkapital. „Jerome und Mitbegründer Edouard Viot verfügen über ein tiefes Verständnis der Probleme, die der traditionellen Codesicherheit zugrunde liegen, und haben mit ihrem Ansatz zur Bewältigung der wachsenden Nachfrage nach Shift-Left-Sicherheitslösungen bemerkenswerte Weitsicht bewiesen“, sagte Graham Brown, geschäftsführender Gesellschafter von Lerer Hippeau. „Symbiotic hat das Potenzial, die Branche zu verändern und Entwicklern und Sicherheitsteams gleichermaßen neue Möglichkeiten zu bieten.“