צ'קמרקס נכנסת לתחום הגנת רשתות
"תשתיות כקוד זו מגמה חדשה היום. אתה כותב כמה שורות קוד לענן ויש לך רשת ארגונית", אומר מתי סימן, CTO ומייסד חברת צ'קמרקס הישראלית המפתחת פלטפורמה לבדיקת קוד
עמי רוחקס דומבה
| 25/02/2020
מתי סימן, CTO ומייסד צ'קמרקס. צילום: ינאי רובחה
המציאות של עולם התוכנה בימינו מכתיבה צורך במחזורי פיתוח מהירים מאד. היצרנים רוצים לצאת לשוק מהר (TTM) בכדי להשיג ייתרון בשווקים, כאשר המשתמשים מצידם צמאים לפיצ'רים חדשים. משוואת הביקוש וההיצע הזו אינה פועלת בריק. אליה יש להוסיף את עולם אבטחת המידע והסייבר המציבים בפני מפתחי הקוד מערכת אילוצים קרובה לבלתי אפשרית. איך מפתחים קוד מהר, איכותי, בלי שגיאות וחורי אבטחת מידע?
"כיום נדרשים מחזורי פיתוח מאד מהירים בשוק הפרטי והפדרלי", מסביר מתי סימן, CTO ומייסד חברת צ'קמרקס הישראלית המפתחת פלטפורמה לבדיקת קוד בשלב הפיתוח בראיון לאתר ישראל דיפנס. "בארה"ב יש מקומות שצמצמו מחזור פיתוח של 24 חודשים ל24 שעות. מהרגע שיש צמצום כזה, כל חוליה בתהליך צריכה להתקצר משמעותית."
המטרה: להגיע מהר לשוק
בעבר, הייתה גישה בעולם התוכנה להביא מוצר מושלם. היו מתכנננים חודשים ואחר כך מפתחים חודשים, ולאחר שנתיים פיתוח של מוצר, היה תהליך בדיקה של מספר ימים. אם הארגון טעה, ואין כבר צורך במוצר שפיתח, הוא קרס או לפחות הפסיד המון כסף. בשנים האחרונות עברו לגישה אחרת. מפתחים קצת, בודקים ומשחררים לשוק. מקבלים משוב, וחוזר חלילה.
"גישה זו מאפשרת לארגון להגיע לשוק מהר. תעשה משהו , תגלה את הטעות , ותתקן. בחלק מהארגונים, אתה צריך כל יום להוציא לשוק גרסה חדשה. בשביל זה פיתחנו במוצר שלנו יכולת של סריקה תוספתית המאפשרת לבדוק רק את תוספות הקוד האחרונות שביצעת. בדיקה של השינויים בלבד מקצרת את זמן בדיקת הקוד משמעותית."
המערכת של צ'קמרקס יודעת להתממשק לכל סוגי מאגרי הקוד (גיטים). מתכנת כותב קוד, שומר אותו במאגר מרכזי, וכאשר עולה קוד חדש, המערכת מקבלת התראה ובודקת אותו. לאחר הבדיקה הקוד מאושר או נדחה עם הערות למתכנת. "אנחנו לא מתמקדים בביצועים של הקוד, אלא רק באבטחת מידע. כשלים שיכולים להוביל למתקפות SQL injection לדוגמא", מסביר סימן.
"אחד האתגרים בשוק פיתוח התוכנה שאין תהליך הכשרה פורמלי לכתוב קוד מאובטח. אין בזה הכשרה מספיקה. הטכנולוגיות כל הזמן משתנות, יש הרבה שפות, לכל שפה המאפיינים שלה. מתכנתים נמדדים על אספקת פיצ'רים, וכמעט אין מדידה על כתיבת קוד מאובטח. אתגרים נוספים הם רגולציות. תקנים כמו HIPPA או PCI מחייבים סריקת קוד. מעבר לזה יש חברות גדולות שמבינות את הצורך. 42 חברות מתוך ה-500 הגדולות בארה"ב הן לקוחות שלנו. המודעות לנושא בארה"ב ואירופה גבוהה יותר משאר העולם."
איך מודדים את האפקטיביות שלכם? "לקוחות בדרך כלל לא משתפים אותנו במתקפות שהם חווים. לכן אנחנו לא יודעים. אנחנו כן יודעים שלקוחות משתמשים במוצר הרבה שנים וזה מעיד על אפקטיביות מסוימת. בדיקות PT יכולות להעיד על תוצאות יותר מובהקות", אומר סימן.
הגנה על רשתות וקוד פתוח
תחום נוסף אליו מתכוונת להיכנס החברה היא הגנת רשתות. "תשתיות כקוד זו מגמה חדשה היום. אתה כותב כמה שורות קוד ויש לך רשת תקשורת נתונים ומחשבים. הכל על תשתיות וירטואליות. באמצעות סריקת קוד אנחנו עומדים להכנס לתחום הגנת רשתות", אומר סימן. "הרעיון הוא שהקמת רשת חדשה נעשית באמצעות כתיבת קוד לענן. יש לזה הרבה יתרונות. אפשר להקים מספר עותקים בענן, הקוד של הרשת שמור בגיטהאב ועוד."
תחום נוסף שצ'קמרקס עוסקת בו הוא הגנה על פרויקטי קוד פתוח. עם השימוש ההולך וגובר של ארגונים בקוד פתוח, צפויה עלייה בהסתננות פושעי סייבר לפרויקטיים אלו. כלומר, תוקפים "שתורמים" לקהילות קוד פתוח על-ידי הזרקת מטען זדוני היישר לחבילות הקוד הפתוח. "בצורה כזו מפתחים וארגונים המשתמשים בקוד ישתילו אותו ביישומי הארגון מבלי לדעת שהוא נגוע", מסביר סימן.
"ככל שהמודעות לתרחיש הזה תגדל, כך יהיה צורך בתהליכים כגון בדיקות רקע של מפתחים ותורמים לקוד הפתוח. כיום סביבות הקוד הפתוח מבוססות על אמון. רוב הארגונים אינם בודקים פרויקטים קודמים של המפתחים שתורמים את הקוד או את המוניטין שלהם. ואולם, ככל שתוקפים ינצלו זאת לרעה, האמון הזה יישחק ויאלץ ארגונים לנקוט בצעדי מניעה פרואקטיביים, לרבות סינון ובדיקה יסודית של הקוד ביישומים הארגוניים, כמו גם בדיקה של מי שמספק אותו."
"תשתיות כקוד זו מגמה חדשה היום. אתה כותב כמה שורות קוד לענן ויש לך רשת ארגונית", אומר מתי סימן, CTO ומייסד חברת צ'קמרקס הישראלית המפתחת פלטפורמה לבדיקת קוד
מתי סימן, CTO ומייסד צ'קמרקס. צילום: ינאי רובחה
המציאות של עולם התוכנה בימינו מכתיבה צורך במחזורי פיתוח מהירים מאד. היצרנים רוצים לצאת לשוק מהר (TTM) בכדי להשיג ייתרון בשווקים, כאשר המשתמשים מצידם צמאים לפיצ'רים חדשים. משוואת הביקוש וההיצע הזו אינה פועלת בריק. אליה יש להוסיף את עולם אבטחת המידע והסייבר המציבים בפני מפתחי הקוד מערכת אילוצים קרובה לבלתי אפשרית. איך מפתחים קוד מהר, איכותי, בלי שגיאות וחורי אבטחת מידע?
"כיום נדרשים מחזורי פיתוח מאד מהירים בשוק הפרטי והפדרלי", מסביר מתי סימן, CTO ומייסד חברת צ'קמרקס הישראלית המפתחת פלטפורמה לבדיקת קוד בשלב הפיתוח בראיון לאתר ישראל דיפנס. "בארה"ב יש מקומות שצמצמו מחזור פיתוח של 24 חודשים ל24 שעות. מהרגע שיש צמצום כזה, כל חוליה בתהליך צריכה להתקצר משמעותית."
המטרה: להגיע מהר לשוק
בעבר, הייתה גישה בעולם התוכנה להביא מוצר מושלם. היו מתכנננים חודשים ואחר כך מפתחים חודשים, ולאחר שנתיים פיתוח של מוצר, היה תהליך בדיקה של מספר ימים. אם הארגון טעה, ואין כבר צורך במוצר שפיתח, הוא קרס או לפחות הפסיד המון כסף. בשנים האחרונות עברו לגישה אחרת. מפתחים קצת, בודקים ומשחררים לשוק. מקבלים משוב, וחוזר חלילה.
"גישה זו מאפשרת לארגון להגיע לשוק מהר. תעשה משהו , תגלה את הטעות , ותתקן. בחלק מהארגונים, אתה צריך כל יום להוציא לשוק גרסה חדשה. בשביל זה פיתחנו במוצר שלנו יכולת של סריקה תוספתית המאפשרת לבדוק רק את תוספות הקוד האחרונות שביצעת. בדיקה של השינויים בלבד מקצרת את זמן בדיקת הקוד משמעותית."
המערכת של צ'קמרקס יודעת להתממשק לכל סוגי מאגרי הקוד (גיטים). מתכנת כותב קוד, שומר אותו במאגר מרכזי, וכאשר עולה קוד חדש, המערכת מקבלת התראה ובודקת אותו. לאחר הבדיקה הקוד מאושר או נדחה עם הערות למתכנת. "אנחנו לא מתמקדים בביצועים של הקוד, אלא רק באבטחת מידע. כשלים שיכולים להוביל למתקפות SQL injection לדוגמא", מסביר סימן.
"אחד האתגרים בשוק פיתוח התוכנה שאין תהליך הכשרה פורמלי לכתוב קוד מאובטח. אין בזה הכשרה מספיקה. הטכנולוגיות כל הזמן משתנות, יש הרבה שפות, לכל שפה המאפיינים שלה. מתכנתים נמדדים על אספקת פיצ'רים, וכמעט אין מדידה על כתיבת קוד מאובטח. אתגרים נוספים הם רגולציות. תקנים כמו HIPPA או PCI מחייבים סריקת קוד. מעבר לזה יש חברות גדולות שמבינות את הצורך. 42 חברות מתוך ה-500 הגדולות בארה"ב הן לקוחות שלנו. המודעות לנושא בארה"ב ואירופה גבוהה יותר משאר העולם."
איך מודדים את האפקטיביות שלכם? "לקוחות בדרך כלל לא משתפים אותנו במתקפות שהם חווים. לכן אנחנו לא יודעים. אנחנו כן יודעים שלקוחות משתמשים במוצר הרבה שנים וזה מעיד על אפקטיביות מסוימת. בדיקות PT יכולות להעיד על תוצאות יותר מובהקות", אומר סימן.
הגנה על רשתות וקוד פתוח
תחום נוסף אליו מתכוונת להיכנס החברה היא הגנת רשתות. "תשתיות כקוד זו מגמה חדשה היום. אתה כותב כמה שורות קוד ויש לך רשת תקשורת נתונים ומחשבים. הכל על תשתיות וירטואליות. באמצעות סריקת קוד אנחנו עומדים להכנס לתחום הגנת רשתות", אומר סימן. "הרעיון הוא שהקמת רשת חדשה נעשית באמצעות כתיבת קוד לענן. יש לזה הרבה יתרונות. אפשר להקים מספר עותקים בענן, הקוד של הרשת שמור בגיטהאב ועוד."
תחום נוסף שצ'קמרקס עוסקת בו הוא הגנה על פרויקטי קוד פתוח. עם השימוש ההולך וגובר של ארגונים בקוד פתוח, צפויה עלייה בהסתננות פושעי סייבר לפרויקטיים אלו. כלומר, תוקפים "שתורמים" לקהילות קוד פתוח על-ידי הזרקת מטען זדוני היישר לחבילות הקוד הפתוח. "בצורה כזו מפתחים וארגונים המשתמשים בקוד ישתילו אותו ביישומי הארגון מבלי לדעת שהוא נגוע", מסביר סימן.
"ככל שהמודעות לתרחיש הזה תגדל, כך יהיה צורך בתהליכים כגון בדיקות רקע של מפתחים ותורמים לקוד הפתוח. כיום סביבות הקוד הפתוח מבוססות על אמון. רוב הארגונים אינם בודקים פרויקטים קודמים של המפתחים שתורמים את הקוד או את המוניטין שלהם. ואולם, ככל שתוקפים ינצלו זאת לרעה, האמון הזה יישחק ויאלץ ארגונים לנקוט בצעדי מניעה פרואקטיביים, לרבות סינון ובדיקה יסודית של הקוד ביישומים הארגוניים, כמו גם בדיקה של מי שמספק אותו."
