이안 리오펠Root.io의 CEO이자 공동 설립자는 Cloud-Native 솔루션으로 소프트웨어 공급망을 확보하기위한 회사의 사명을 이끌고 있습니다. 기술 및 사이버 보안에서 15 년이 넘는 기업인 Slim.AI 및 FXP에서 리더십 역할을 수행하여 엔터프라이즈 판매, 마켓 전략 및 공공 부문 성장에 중점을 두었습니다. 그는 Mit Sloan에서 에이스를 보유하고 있으며 미 육군 정보 학교를 졸업했습니다.
root.io 기업이 소프트웨어 공급망을 보호 할 수 있도록 설계된 클라우드 네이티브 보안 플랫폼입니다. Root.io는 개발 파이프 라인에 대한 신뢰 및 규정 준수를 자동화함으로써 최신 DevOps 팀을위한보다 빠르고 신뢰할 수있는 소프트웨어 제공을 가능하게합니다.
루트의 창립에 영감을 주었고 자동 취약성 개선 (AVR)에 대한 아이디어는 어떻게 생겼습니까?
루트는 우리가 반복적으로 직면 한 깊은 좌절에서 태어났습니다. 엄청난 시간과 자원을 전념하는 조직은 결코 완전히 사라지지 않은 취약점을 쫓는 것입니다. 심사는 CVE 기술 부채를 급격히 발생시키는 것에 대한 유일한 방어력이되었지만 신흥 취약성의 비율로 인해 심사만으로는 더 이상 충분하지 않습니다.
Slim Toolkit (이전의 Dockerslim)의 관리자로서 우리는 이미 컨테이너 최적화 및 보안에 깊이 관여했습니다. 컨테이너가 표준 소프트웨어 개발 수명주기의 일부로 사전에 스스로를 고칠 수 있다면 어떻게해야합니까? 자동화 된 취약성 개선 (“AVR”)으로 알려진 자동 고정은 우리의 솔루션이었습니다.이 솔루션은 심사 및 목록 건물에 중점을 두지 않고 소프트웨어에서 직접 변경 사항을 제거하지 않고 자동으로 제거합니다.
루트는 이전에 Slim.ai로 알려져 있습니다.이 브랜드를 자극 한 이유는 무엇이며, 그 전환 중에 회사는 어떻게 진화 했습니까?
Slim.ai는 개발자가 컨테이너를 최소화하고 최적화 할 수 있도록 도구로 시작했습니다. 그러나 우리는 곧 우리의 기술이 훨씬 더 큰 영향을 미쳤다는 것을 깨달았습니다. 규모로 생산을 위해 소프트웨어를 적극적으로 보호 할 수있는 강력한 플랫폼입니다. 브랜드로의 루트는 개발자 최적화 도구에서 몇 분 안에 오픈 소스 소프트웨어에 대한 엄격한 보안 요구를 충족시킬 수 있도록 강력한 보안 솔루션에 이르기까지 이러한 혁신적인 변화를 캡처합니다. 루트는 우리의 사명을 구현합니다. 소프트웨어 위험의 근본에 도달하고 사고가되기 전에 취약점을 개선합니다.
Cisco, Trustwave 및 Snyk의 사이버 보안에 깊은 뿌리를 가진 팀이 있습니다. 당신의 집단 경험은 뿌리의 DNA를 어떻게 형성 했습니까?
우리 팀은 보안 스캐너를 구축하고, 글로벌 기업을 방어했으며, 가장 민감하고 고위용 인프라를위한 건축 솔루션을 만들었습니다. 우리는 속도, 보안 및 개발자 경험 사이의 상충 관계를 직접 파악했습니다. 이 집단 경험은 근본적으로 뿌리의 DNA를 형성합니다. 우리는 자동화 및 통합에 집착합니다. 보안 문제를 식별하는 것뿐만 아니라 새로운 마찰을 만들지 않고 신속하게 해결합니다. 우리의 경험은 모든 결정에 정보를 제공하여 보안이 혁신을 늦추지 않고 혁신을 가속화하도록합니다.
루트는 몇 초 안에 컨테이너 취약성을 패치한다고 주장합니다. 귀하의 AVR 기술은 실제로 실제로 어떻게 작동합니까?
AVR은 컨테이너 레이어에서 직접 작동하여 복잡한 재건이 필요하지 않고 취약한 패키지를 신속하게 식별하고 이미지 자체 내에서 패치 또는 교체합니다. 종속성, 레이어 및 런타임 동작을 보존하는 동안 안전한 대체 기능을 갖춘 취약한 코드 스 니펫을 원활하게 핫핑하는 취약한 코드 스 니펫으로 생각하십시오. 더 이상 업스트림 패치를 기다리지 않으며 파이프 라인을 다시 구축 할 필요가 없습니다. 그것은 혁신의 속도로 치료입니다.
Chainguard 또는 Rapidfort와 같은 다른 보안 솔루션과 구별되는 내용을 설명 할 수 있습니까? 이 공간에서 당신의 가장자리는 무엇입니까?
선별 된 이미지 또는 Rapidfort를 사용하여 재건을 요구하는 Chainguard와 달리 취약점을 직접 해결하지 않고 공격 표면을 축소하면 기존 컨테이너 이미지를 직접 패치합니다. 우리는 마찰, 핸드 오프가없는 혼란없이 파이프 라인에 원활하게 통합됩니다. 우리는 당신의 워크 플로를 교체하기 위해 여기에 있지 않습니다. 우리는 그것을 가속화하고 향상시키기 위해 왔습니다. 루트를 통해 실행되는 모든 이미지는 본질적으로 취약점을 줄이고 시간을 절약하여 고정되고 투명하며 제어되는 빠른 ROI를 제공하는 황금 이미지가됩니다. 당사의 플랫폼은 몇 주 또는 며칠에서 120-180 초에서 120-180 초로 개선을 삭감하여 고도로 규제 된 산업의 회사가 단일 세션에서 몇 달 동안의 취약점 백 로그를 제거 할 수있게합니다.
개발자는 신제품을 구축하고 운송하는 데 중점을 두어야합니다. 보안 취약점을 고정하는 데 시간이 걸리지 않고 혁신을 중단하는 소프트웨어 개발의 시간이 많이 걸리고 종종 두려운 측면입니다. 더 나쁜 것은, 이러한 취약점 중 많은 부분이 자체적이지 않습니다. 그들은 타사 공급 업체 나 오픈 소스 소프트웨어 프로젝트의 약점에서 비롯되어 팀이 다른 사람의 문제를 해결하는 데 귀중한 시간을 소비해야합니다.
개발자와 R & D 팀은 인적 자원과이를 지원하는 소프트웨어 및 클라우드 인프라 측면에서 모든 조직에서 가장 큰 비용 센터 중 하나입니다. 루트는 알려진 취약점을 수동으로 확인하고 패치하기 위해 24 시간 내내 일하는 개발자 팀에 의존하지 않고 에이전트 AI를 활용하여 이러한 부담을 완화합니다.
루트는 특히 에이전트 AI를 활용하여 취약성 개선 프로세스를 자동화하고 간소화하는 방법은 무엇입니까?
우리의 AVR 엔진은 에이전트 AI를 사용하여 노련한 보안 엔지니어의 사고 프로세스 및 조치를 복제하여 CVE 영향을 평가하고, 가장 좋은 패치를 식별하고, 엄격하게 테스트하고, 안전하게 수정을 적용합니다. 그것은 수천 개의 이미지에 걸쳐 동시에 스케일링하는 상당한 수동 노력이 필요한 것을 몇 초 만에 달성합니다. 모든 치료법은 시스템을 지속적으로 향상시켜 효과와 적응성을 지속적으로 향상시켜 본질적으로 풀 타임 보안 엔지니어의 전문 지식을 이미지에 직접 포함시킵니다.
루트는 마찰을 추가하지 않고 기존 개발자 워크 플로에 어떻게 통합됩니까?
루트는 기존 워크 플로에 쉽게 통합되어 컨테이너 레지스트리 또는 파이프 라인에 직접 연결됩니다 (Rebasing, 새로운 에이전트 및 추가 사이드카). 개발자는 평소와 같이 이미지를 푸시하고 루트는 업데이트 된 이미지를 완벽하게 또는 새 태그로 패치 및 게시합니다. 우리의 솔루션은 필요할 때까지 보이지 않으며, 자세한 감사 트레일, 포괄적 인 SBOM 및 원하는 경우 간단한 롤백 옵션을 통해 완벽한 가시성을 제공합니다.
자동화 및 제어의 균형을 잡는 방법은 무엇입니까? 가시성과 감독을 원하는 팀의 경우 루트가 얼마나 맞는가?
루트에서는 자동화가 감소하지 않음으로 조정됩니다. 우리의 플랫폼은 사용자 정의가 가능하므로 팀이 자동화 수준을 특정 요구 사항으로 확장 할 수 있습니다. 당신은 무엇을 자동으로, 수동 검토를 포함시켜야하는지, 그리고 무엇을 배제 해야하는지 결정합니다. 우리는 상세한 차이 견해, 변경 사항 및 충격 분석을 통해 광범위한 가시성을 제공하여 보안 팀이 정보를 얻고 권한을 부여 할 수 있도록하고, 결코 어둠 속에 남아 있지 않도록합니다.
수천 개의 취약점이 자동으로 고정되면 어떻게 안정성을 보장하고 종속성을 깨거나 생산을 방해하지 않습니까?
안정성과 신뢰성은 루트의 AVR이 취하는 모든 행동을 뒷받침합니다. 기본적으로, 우리는 보수적 인 접근 방식을 채택하고, 의존성 그래프를 세 심하게 추적하고, 호환성 인식 패치를 사용하며, 배포 전에 오픈 소스 프로젝트에 대해 공개적으로 이용 가능한 모든 테스트 프레임 워크에 대해 모든 개선 된 이미지를 엄격하게 테스트합니다. 문제가 발생하면 일찍 잡히고 롤백은 쉽지 않습니다. 실제로, 우리는 수천 개의 자동화 된 수정에서 0.1% 미만의 실패율을 유지했습니다.
AI가 발전함에 따라 잠재적 공격 표면도 진행됩니다. 루트가 신흥 AI-ARE 보안 위협을 어떻게 준비하고 있습니까?
우리는 AI를 잠재적 인 위협 벡터와 방어 초강대국으로 본다. 루트는 소프트웨어 공급망에 직접 탄력성을 사전에 포함시켜 복잡한 AI/ML 스택을 포함한 컨테이너화 된 워크로드가 지속적으로 강화되도록합니다. 우리의 에이전트 AI는 위협이 발전함에 따라 발전하여 공격자가 행동 할 수있는 것보다 더 빠른 방어를 자율적으로 적응시킵니다. 우리의 궁극적 인 목표는 자율 소프트웨어 공급망 탄력성입니다. 신흥 위협의 속도로 스스로를 방어하는 인프라입니다.
훌륭한 인터뷰에 감사드립니다. 더 배우고 싶은 독자들은 방문해야합니다. root.io.
게시물 Ian Riopel, Root.io의 CEO 겸 공동 창립자-인터뷰 시리즈 먼저 나타났습니다 Unite.ai.
