Ovaj tim ReversingLabsa u Zagrebu razvija inovativni proizvod koji će promijeniti sigurnosnu industriju
Foto: Marin Pavelić

Ovaj tim ReversingLabsa u Zagrebu razvija inovativni proizvod koji će promijeniti sigurnosnu industriju

Kako izgleda razvoj proizvoda kad radiš proizvod kakav još ne postoji? Kad ne možeš pogledati kako su neke stvari riješene kod konkurencije ili se pozvati na najbolje prakse iz industrije. A ne možeš ni pitati korisnike što bi htjeli jer ni oni često nisu sigurni što im treba. Pitali smo stručnjake iz tvrke ReversingLabs koji rade upravo to.

Kopernikanski obrat u industriji zaštite lanca nabave softvera koji će promijeniti sigurnosnu branšu globalno. Tako svoj novi proizvod Secure.Software nazivaju u ReversingLabsu.

Proizvod koji svu njihovu ekspertizu u obrani od napada na lance nabave softvera, sve analize građene posljednjih 15 godina i dobrim dijelom zasnovane na originalnoj tehnologiji čini šire dostupnima. Jer, u sigurnosnoj branši, objašnjavaju, ekspertiza i uvidi još uvijek nisu lako dostupni i automatizirani.

“Bit će lako znati je li softver koji si razvio ili kupio siguran”

Otud i tvrdnja o kopernikanskom obratu – Secure.Software svu tu ekspertizu donosi kao SaaS (software as a service) rješenje, objašnjava Tomislav Zoričić, Principal Engineer na projektu.

Secure.Software je, dodaje, veliki korak prema tome da SSCS (software supply chain security – sigurnost lanca nabave softvera) postane mainstream:

Bit će lako znati je li tvoj softver siguran ili ne, bilo da si ga kupio ili sam razvio. Postat će šire prihvaćeno imati takve vrste provjera. Oni koji razvijaju softver, ili ga puštaju u produkciju, činit će to s većom sigurnošću nego danas.

Igor Crnković, Software Development Manager zadužen za timove koji rade na Secure.Softwareu dodaje da rade na proizvodu koji će bitno utjecati na čitavu branšu, na najveće firme i organizacije, ali i programere-pojedince širom svijeta.

Zbog toga osjećaju još veću odgovornost, a zbog toga i kroče nekim neutabanim putovima te poznate i priznate najbolje prakse prilagođavaju sebi.

Za početak, razvoj Secure.Softwarea je pravi razvojno-istraživački (R&D) projekt. Doslovce razvijaju tip proizvoda kakav još ne postoji i to u niši koja je tek u nastajanju. Jer, s pitanjem sigurnosti lanaca opskrbe softvera šira javnost (među njima i američki predsjednik Joe Biden) upoznali su se u proljeće 2020. kad su ruski hakeri napali softversku tvrtku SolarWinds. Stručnjaci ReversingLabsa tad su među prvima i najtočnije objasnili što se dogodilo u tom tihom, neprimjetnom napadu u kojem je kompromitirani kod – odaslan na 18.000 klijenata kroz redovito ažuriranje – mjesecima “vrebao” u njihovim aplikacijama.

Nakon napada na SolarWinds, prvi smo demonstrirali da imamo tehnologiju za otkrivanje takve vrste napada. Sada je na nama da to pretvorimo u produkt, u nešto što svaki tim može jednostavno koristiti u svom razvojnom procesu.

Foto: Marin Pavelić

R&D softver: Kad radiš sve prvi, istražuješ, isprobavaš i rješavaš teške probleme

Ekspertizu nedvojbeno imaju, proizvod se oslanja na sve analize, baze malwarea i iskustvo koje su skupljali kroz 15 godina rada u toj branši, u kojoj su predvodnici. Međutim, u puno toga ne samo da su morali kretati otpočetka, nego nisu mogli, kao kod standardnog razvoja proizvoda, pitati potencijalne korisnike što im treba, govori softverska arhitektica Katja Peričin:

Često ni klijenti nisu sigurni što im treba, pa nam ne mogu dati smjernice. Kompanije sve više prepoznaju da im treba rješenje za zaštitu lanca opskrbe softvera, ali često ne mogu dati listu zahtjeva, primjere, ni predloške, nego ih velikim dijelom mi kreiramo, i onda u praksi testiramo.

Paralelno s razvojem proizvoda, probijamo se na SSCS tržište i educiramo ga, i kroz to zapravo sudjelujemo u njegovom nastanku i oblikovanju. Sve teče u isto vrijeme.

Crnković povlači paralelu s CRM-om ili softverom za rezervacije:

Takvi proizvodi već dugo postoje na tržištu, imaju različite profile korisnika, zna se vrlo konkretno na koje potrebe i zahtjeve odgovaraju pa možete pogledati kako je netko prije vas radio i naučiti nešto iz toga.

Na proizvodu koji mi radimo to nije slučaj, nego se mnoge stvari rade iz temelja. Osim toga, veliki izazov je kako korisnicima smisleno prikazati i objasniti rezultate analize njihovog software supply chaina, a da im budu što jasniji, i što korisniji.

I na kraju, da bismo vidjeli što funkcionira, a što ne, potrebno je vrijeme, a ono je uvijek škakljivi faktor, jer ga nitko nema napretek.

Katja Peričin, software architect u timu Secure.Software Foto: Marin Pavelić

Startup unutar scaleupa: Istraživanje i inovacija ne trpe fokus na procese

Zbog toga se tim koji radi na razvoju Secure.Softwarea ponaša kao startup unutar scaleupa i razvijaju ga po klasičnom startuperskom ciklusu razvoja – razvoj, slušanje povratnih informacija, iteracije i tako ukrug.

S obzirom na to da je problem koji rješavaju kompleksan, poseban izazov je svu tu tehničku ekspertizu ‘upakirati’ u jednostavno i intuitivno sučelje. Zoričić objašnjava:

Tehnički izazovi idu ruku pod ruku s UX izazovima. Radimo s velikim brojem datoteka (više)gigabitnih veličina. Njihovi reportovi, koje generira naš engine za statičku analizu, stvaraju ogromnu količinu podataka.

Osim što trebamo efikasno spremiti i dohvaćati toliko podataka, potrebno ih je i znati oblikovati i sažeti tako da krajnji korisnici na najintuitivniji mogući način razumiju u kojem je stanju njihov softver, i koji su idući koraci koje mogu poduzeti da ga još bolje zaštite.

Dodatni izazov je, nastavlja Peričin, što je sustav za statičku analizu datoteka kakav ima ReversingLabs doista jedinstven:

Nema ga nitko drugi pa za UX ne postoje neka najbolje prakse na koje bismo se mogli nasloniti. U developmentu moramo brzo iterirati, da vidimo ima li neko rješenje smisla ili nema. Budući da nema gotovih primjera, isprobavamo i tražimo najbolja rješenja.

Istraživački dio projekta počeo je 2020., a SaaS sloj se razvija oko dvije godine. Proizvod je prvi put predstavljen sredinom 2021 na konferenciji RSA u SAD-u te na konferenciji BlackHat u Las Vegasu 2022. Među ostalima, već ga koriste i testiraju sve kompanije koje su imale napada putem lanca opskrbe softvera.

To nikako ne znači da je proizvod gotov i razvoj završen, uostalom i zbog specifičnosti industrije, objašnjava Peričin:

Kako napreduje detekcija napada, tako hakeri smišljaju nove. Osim toga, dolaze novi frameworci i jezici i trendovi – što god novo dođe, naš proizvod to mora podržati, i to vrlo brzo. Ne možemo reći: naša provjera radi samo za C++.

Trebamo stalno biti u korak s razvojem industrije, i ispred nje. A da bismo to mogli, moramo imati velike kapacitete za istraživanje. Rekla bih da je ovo što radimo „zauvijek R&D“.

S obzirom na to da razvijaju tako specifičan proizvod, i posao su organizirali prilagodivši sebi načela agilnog razvoja softvera. Jer, kako kaže Crnković, istraživanje i inovacija se ne mogu voditi fokusiranjem na procese:

U prvom planu je cilj, ono što se želi postići. Procesi jesu važni i postoje, ali im je postizanje cilja i vrijednosti pretpostavljeno.

Vrlo je važna autonomnost timova koji rade na proizvodu. Vjerujemo da je bitno dobro razumjeti cilj prema kojem idemo, a na timu je da nalazi rješenja kako ga postići.

Igor Crnković kao Software Development Manager vodi i tim zadužen za Secure.Software Foto: Marin Pavelić

Razvoju Secure.Softwarea u ReversingLabsu trenutno je posvećeno desetak ljudi, a sigurnošću lanaca opskrbe softvera bavi se njih 50-ak. Tim, za koji traže nove kolege, kombinacija je svježine i iskustva:

Budući da se radi o novim tehnologijama, SaaS tim smo u posljednjih godinu dana pojačali novim ljudima. No u njemu je i nekolicina stručnjaka koji rade u ReversingLabsu već dugo. Radi se o kvalitetnoj kombinaciji iskustva i novih znanja, nužnoj za projekt takve vrste.

Ne trebate biti bijeli hakeri da biste se bavili sigurnošću softvera

Traže nove kolege i odmah napominju, za sve one koji pomalo osjećaju strahopoštovanje pri spomenu sigurnosne branše, da ne morate biti bijeli haker da biste radili na ovakvom projektu.

Štoviše, Maja Vučetić Ivković iz ljudskih potencijala otkriva da 70 % inženjera u ReversingLabsu čine programeri, stručnjaci za big data, analitiku i mnoga druga područja.

Mit je da se u kibernetičku sigurnost teško ulazi ako niste white hat ili nemate iskustva u sigurnosnoj branši.

Ako ste ozbiljno i predano radili na mikroservisima, big data projektima, cloud aplikacijama i sl., velike su šanse da ćete se brzo uklopiti i dati dobar doprinos. To nam se u praksi pokazalo već mnogo puta.

Tomislav Zoričić, principal engineer u timu Secure.Software Foto: Marin Pavelić

Odlično developersko iskustvo za brži i kvalitetniji razvoj

Zoričić, koji je u ReversingLabs došao prije 6 mjeseci iz Mete, iz svog iskustva navodi koliko se brzo uklopio u tim i brzo počeo pridonositi razvoju. Ključan je bio interni fokus na odlično developersko iskustvo. Za početak, s obzirom na to da se radi o proizvodu koji se stvara iz temelja, sigurno nećete naslijediti nečiji legacy kod.

Osim toga, pokazatelji developerskog iskustva u nekoj tvrtci su jasni i sadržani u odgovoru na pitanje: Koliko lako ti je početi raditi? Što imaš u tom trenutku, prvi tjedan na poslu? Ako se ne morate boriti i mučiti s okolinom, nego možete već u prvom tjednu ili čak u prvih nekoliko dana dati doprinos, to je znak da su stvari dobro postavljene.

Od kvalitetnog, dokumentiranog i testiranog koda, učenja konteksta security branše do slobode u istraživanju i implementiranju rješenja, mi je omogućilo najlakši mogući onboarding. Mogao sam brzo početi doprinositi razvoju.

Često se događa, nastavlja, da zbog želje ili pritiska da se nešto brzo razvije i isporuči, neke stvari ostanu neriješene, a zatim ih se zaboravi. Ne kod njih:

Takav pristup vodi fragilnosti koda, a proizvod koji tako nastaje teško je dalje razvijati i održavati. Smatramo da što je developer experience bolji, razvoj će biti brži i kvalitetniji.

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Prikaz

Native Teams u Hrvatskoj: Kako olakšavaju brigu o porezima, doprinosima i zapošljavanju u inozemstvu?

Native Teams, platforma za freelancere i digitalno plaćanje koju globalno koristi gotovo sto tisuća ljudi, u Hrvatsku je stigla prije dvije godine. Otkrivamo kako im je izgledalo širenje na regiju te što su u međuvremenu nova uveli.

Zabava i zanimljivosti

Hrvati napokon mogu glasati elektronski, i to zahvaljujući Samu Altmanu (i botovima)

Već niz godina naklapa se i navija za uvođenje elektronskog glasanja u Hrvatskoj. Ako nismo tijekom pandemije koronavirusa, kad ćemo, pitaju se mnogi. Ova superizborna godina, u kojoj nas čekaju parlamentarni, europski i predsjednički izbori jedina je još sila (ne)prilika koja bi mogla nagnati Državno izborno povjerenstvo da poduzmu mjere po tom pitanju.

Tvrtke i poslovanje

Znate li koristiti svoj “mozak izvan mozga”?

Proces u kojem naš mozak prati samog sebe i procjenjuje koliko mu dobro ide radimo svakodnevno, s više ili manje uspjeha. Riječ je o metakogniciji koja utječe na svaki aspekt našeg ponašanja - od definiranja životnih ciljeva i kako do njih doći do procjenjivanja vlastitih osjetila.

Što ste propustili

Digitalni marketing

Gen Z ima pažnju od 8 sekundi, kako ih zainteresirati?

Odrasli su uz internet i igre, važna im je održivost i transparentnost, zanima ih umjetna inteligencija, o ulaganju i financijama znaju više nego ijedna generacija te žele poruke skrojene samo za njih...

Tvrtke i poslovanje

Nagrađeni su najbolji domaći web trgovci – najbolji webshop Volim Ljuto

Ukupno 92 hrvatska web trgovca prijavili su se na šesto natjecanje eCommAwards powered by FAVI, a natjecali su se u šest kategorija: korisničkoj podršci, analitici, SEO optimizaciji, putovanju kupca, pravnoj usklađenosti i sadržaju.

Tvrtke i poslovanje

Otvorene prijave za Europsko natjecanje u društevnoj inovaciji: Glavna nagrada 75.000 eura

Nagrada promiče društvene inovacije koje pružaju rješenja za društvene izazove i potiču održivi i inkluzivni rast u Europi.

Tvrtke i poslovanje

Pomozite nam doznati tko su, kako rade i što muči hrvatske SaaS tvrtke

Netokracija i SaaStanak udružili su se u istraživanju kako bismo prvi put u Hrvatskoj dobili pregled domaćeg "Software as a Service" ekosustava.

Startupi

Tim MediBoost pobjednik je inovacijskog natjecanja AI4Health.Cro

U natjecanju je sudjelovalo 28 timova, od kojih je 10 ušlo u veliku završnicu te dobilo priliku natjecati se za prve tri nagrade, a pobjedu je odnio tim MediBoost.

Intervju

Moran Cerf: Vrijeme je da marketinška industrija uporabi alate koje su neuroznanstvenici stvorili!

Moran Cerf znanstvenik je koji je revidirao protokol lansiranja nuklearnog oružja, a na Danima komunikacija najavio je marketing budućnosti – marketing u našim snovima. I nije riječ o sanjarenju!