Ovaj tim ReversingLabsa u Zagrebu razvija inovativni proizvod koji će promijeniti sigurnosnu industriju

Kopernikanski obrat u industriji zaštite lanca nabave softvera koji će promijeniti sigurnosnu branšu globalno. Tako svoj novi proizvod Secure.Software nazivaju u ReversingLabsu.

Proizvod koji svu njihovu ekspertizu u obrani od napada na lance nabave softvera, sve analize građene posljednjih 15 godina i dobrim dijelom zasnovane na originalnoj tehnologiji čini šire dostupnima. Jer, u sigurnosnoj branši, objašnjavaju, ekspertiza i uvidi još uvijek nisu lako dostupni i automatizirani.

“Bit će lako znati je li softver koji si razvio ili kupio siguran”

Otud i tvrdnja o kopernikanskom obratu – Secure.Software svu tu ekspertizu donosi kao SaaS (software as a service) rješenje, objašnjava Tomislav Zoričić, Principal Engineer na projektu.

Secure.Software je, dodaje, veliki korak prema tome da SSCS (software supply chain security – sigurnost lanca nabave softvera) postane mainstream:

Bit će lako znati je li tvoj softver siguran ili ne, bilo da si ga kupio ili sam razvio. Postat će šire prihvaćeno imati takve vrste provjera. Oni koji razvijaju softver, ili ga puštaju u produkciju, činit će to s većom sigurnošću nego danas.

Igor Crnković, Software Development Manager zadužen za timove koji rade na Secure.Softwareu dodaje da rade na proizvodu koji će bitno utjecati na čitavu branšu, na najveće firme i organizacije, ali i programere-pojedince širom svijeta.

Zbog toga osjećaju još veću odgovornost, a zbog toga i kroče nekim neutabanim putovima te poznate i priznate najbolje prakse prilagođavaju sebi.

Za početak, razvoj Secure.Softwarea je pravi razvojno-istraživački (R&D) projekt. Doslovce razvijaju tip proizvoda kakav još ne postoji i to u niši koja je tek u nastajanju. Jer, s pitanjem sigurnosti lanaca opskrbe softvera šira javnost (među njima i američki predsjednik Joe Biden) upoznali su se u proljeće 2020. kad su ruski hakeri napali softversku tvrtku SolarWinds. Stručnjaci ReversingLabsa tad su među prvima i najtočnije objasnili što se dogodilo u tom tihom, neprimjetnom napadu u kojem je kompromitirani kod – odaslan na 18.000 klijenata kroz redovito ažuriranje – mjesecima “vrebao” u njihovim aplikacijama.

Nakon napada na SolarWinds, prvi smo demonstrirali da imamo tehnologiju za otkrivanje takve vrste napada. Sada je na nama da to pretvorimo u produkt, u nešto što svaki tim može jednostavno koristiti u svom razvojnom procesu.

R&D softver: Kad radiš sve prvi, istražuješ, isprobavaš i rješavaš teške probleme

Ekspertizu nedvojbeno imaju, proizvod se oslanja na sve analize, baze malwarea i iskustvo koje su skupljali kroz 15 godina rada u toj branši, u kojoj su predvodnici. Međutim, u puno toga ne samo da su morali kretati otpočetka, nego nisu mogli, kao kod standardnog razvoja proizvoda, pitati potencijalne korisnike što im treba, govori softverska arhitektica Katja Peričin:

Često ni klijenti nisu sigurni što im treba, pa nam ne mogu dati smjernice. Kompanije sve više prepoznaju da im treba rješenje za zaštitu lanca opskrbe softvera, ali često ne mogu dati listu zahtjeva, primjere, ni predloške, nego ih velikim dijelom mi kreiramo, i onda u praksi testiramo.

Paralelno s razvojem proizvoda, probijamo se na SSCS tržište i educiramo ga, i kroz to zapravo sudjelujemo u njegovom nastanku i oblikovanju. Sve teče u isto vrijeme.

Crnković povlači paralelu s CRM-om ili softverom za rezervacije:

Takvi proizvodi već dugo postoje na tržištu, imaju različite profile korisnika, zna se vrlo konkretno na koje potrebe i zahtjeve odgovaraju pa možete pogledati kako je netko prije vas radio i naučiti nešto iz toga.

Na proizvodu koji mi radimo to nije slučaj, nego se mnoge stvari rade iz temelja. Osim toga, veliki izazov je kako korisnicima smisleno prikazati i objasniti rezultate analize njihovog software supply chaina, a da im budu što jasniji, i što korisniji.

I na kraju, da bismo vidjeli što funkcionira, a što ne, potrebno je vrijeme, a ono je uvijek škakljivi faktor, jer ga nitko nema napretek.

Startup unutar scaleupa: Istraživanje i inovacija ne trpe fokus na procese

Zbog toga se tim koji radi na razvoju Secure.Softwarea ponaša kao startup unutar scaleupa i razvijaju ga po klasičnom startuperskom ciklusu razvoja – razvoj, slušanje povratnih informacija, iteracije i tako ukrug.

S obzirom na to da je problem koji rješavaju kompleksan, poseban izazov je svu tu tehničku ekspertizu ‘upakirati’ u jednostavno i intuitivno sučelje. Zoričić objašnjava:

Tehnički izazovi idu ruku pod ruku s UX izazovima. Radimo s velikim brojem datoteka (više)gigabitnih veličina. Njihovi reportovi, koje generira naš engine za statičku analizu, stvaraju ogromnu količinu podataka.

Osim što trebamo efikasno spremiti i dohvaćati toliko podataka, potrebno ih je i znati oblikovati i sažeti tako da krajnji korisnici na najintuitivniji mogući način razumiju u kojem je stanju njihov softver, i koji su idući koraci koje mogu poduzeti da ga još bolje zaštite.

Dodatni izazov je, nastavlja Peričin, što je sustav za statičku analizu datoteka kakav ima ReversingLabs doista jedinstven:

Nema ga nitko drugi pa za UX ne postoje neka najbolje prakse na koje bismo se mogli nasloniti. U developmentu moramo brzo iterirati, da vidimo ima li neko rješenje smisla ili nema. Budući da nema gotovih primjera, isprobavamo i tražimo najbolja rješenja.

Istraživački dio projekta počeo je 2020., a SaaS sloj se razvija oko dvije godine. Proizvod je prvi put predstavljen sredinom 2021 na konferenciji RSA u SAD-u te na konferenciji BlackHat u Las Vegasu 2022. Među ostalima, već ga koriste i testiraju sve kompanije koje su imale napada putem lanca opskrbe softvera.

To nikako ne znači da je proizvod gotov i razvoj završen, uostalom i zbog specifičnosti industrije, objašnjava Peričin:

Kako napreduje detekcija napada, tako hakeri smišljaju nove. Osim toga, dolaze novi frameworci i jezici i trendovi – što god novo dođe, naš proizvod to mora podržati, i to vrlo brzo. Ne možemo reći: naša provjera radi samo za C++.

Trebamo stalno biti u korak s razvojem industrije, i ispred nje. A da bismo to mogli, moramo imati velike kapacitete za istraživanje. Rekla bih da je ovo što radimo „zauvijek R&D“.

S obzirom na to da razvijaju tako specifičan proizvod, i posao su organizirali prilagodivši sebi načela agilnog razvoja softvera. Jer, kako kaže Crnković, istraživanje i inovacija se ne mogu voditi fokusiranjem na procese:

U prvom planu je cilj, ono što se želi postići. Procesi jesu važni i postoje, ali im je postizanje cilja i vrijednosti pretpostavljeno.

Vrlo je važna autonomnost timova koji rade na proizvodu. Vjerujemo da je bitno dobro razumjeti cilj prema kojem idemo, a na timu je da nalazi rješenja kako ga postići.

Razvoju Secure.Softwarea u ReversingLabsu trenutno je posvećeno desetak ljudi, a sigurnošću lanaca opskrbe softvera bavi se njih 50-ak. Tim, za koji traže nove kolege, kombinacija je svježine i iskustva:

Budući da se radi o novim tehnologijama, SaaS tim smo u posljednjih godinu dana pojačali novim ljudima. No u njemu je i nekolicina stručnjaka koji rade u ReversingLabsu već dugo. Radi se o kvalitetnoj kombinaciji iskustva i novih znanja, nužnoj za projekt takve vrste.

Ne trebate biti bijeli hakeri da biste se bavili sigurnošću softvera

Traže nove kolege i odmah napominju, za sve one koji pomalo osjećaju strahopoštovanje pri spomenu sigurnosne branše, da ne morate biti bijeli haker da biste radili na ovakvom projektu.

Štoviše, Maja Vučetić Ivković iz ljudskih potencijala otkriva da 70 % inženjera u ReversingLabsu čine programeri, stručnjaci za big data, analitiku i mnoga druga područja.

Mit je da se u kibernetičku sigurnost teško ulazi ako niste white hat ili nemate iskustva u sigurnosnoj branši.

Ako ste ozbiljno i predano radili na mikroservisima, big data projektima, cloud aplikacijama i sl., velike su šanse da ćete se brzo uklopiti i dati dobar doprinos. To nam se u praksi pokazalo već mnogo puta.

Odlično developersko iskustvo za brži i kvalitetniji razvoj

Zoričić, koji je u ReversingLabs došao prije 6 mjeseci iz Mete, iz svog iskustva navodi koliko se brzo uklopio u tim i brzo počeo pridonositi razvoju. Ključan je bio interni fokus na odlično developersko iskustvo. Za početak, s obzirom na to da se radi o proizvodu koji se stvara iz temelja, sigurno nećete naslijediti nečiji legacy kod.

Osim toga, pokazatelji developerskog iskustva u nekoj tvrtci su jasni i sadržani u odgovoru na pitanje: Koliko lako ti je početi raditi? Što imaš u tom trenutku, prvi tjedan na poslu? Ako se ne morate boriti i mučiti s okolinom, nego možete već u prvom tjednu ili čak u prvih nekoliko dana dati doprinos, to je znak da su stvari dobro postavljene.

Od kvalitetnog, dokumentiranog i testiranog koda, učenja konteksta security branše do slobode u istraživanju i implementiranju rješenja, mi je omogućilo najlakši mogući onboarding. Mogao sam brzo početi doprinositi razvoju.

Često se događa, nastavlja, da zbog želje ili pritiska da se nešto brzo razvije i isporuči, neke stvari ostanu neriješene, a zatim ih se zaboravi. Ne kod njih:

Takav pristup vodi fragilnosti koda, a proizvod koji tako nastaje teško je dalje razvijati i održavati. Smatramo da što je developer experience bolji, razvoj će biti brži i kvalitetniji.