A Symbiotic Security, que está anunciando uma rodada de investimento semente de $3 milhões hoje, observa os desenvolvedores enquanto eles codificam e aponta potenciais problemas de segurança em tempo real. Outras empresas fazem isso, mas a Symbiotic também enfatiza o próximo passo: ensinar os desenvolvedores a evitar esses bugs desde o início.
Idealmente, isso significa que os desenvolvedores corrigirão bugs de segurança antes de eles entrarem em um repositório de código, o que, por sua vez, deve acelerar o processo geral de desenvolvimento. E como os desenvolvedores aprendem no trabalho e no ambiente em que já estão trabalhando, é muito mais provável que implementem corretamente as mudanças necessárias. Isso é mais eficaz do que fazê-los passar por um treinamento de segurança anual em SuccessFactors.
A empresa, que foi lançada no início deste ano, lançou seu MVP há cerca de um mês, com foco em linguagens de infraestrutura como código, como Terraform. Como disse Jerome Robert, cofundador e CEO da Symbiotic, a empresa fez isso para colocar um MVP no mercado e provar sua visão. Com o tempo, a equipe planeja expandir para o restante da pilha de aplicativos e suportar linguagens como Python e JavaScript.
Robert observou que mesmo as ferramentas de segurança mais amigáveis para desenvolvedores ainda são, em sua essência, ferramentas para as equipes de segurança. “Elas estão capacitando as equipes de segurança a serem melhores policiais. Elas não são ferramentas que tornam os desenvolvedores os mocinhos”, disse ele. “Elas são ferramentas que permitem que as equipes de segurança enviem centenas de mensagens toda semana, dizendo: ‘Você cometeu um erro. Você precisa corrigir isso.’”
Enquanto isso, o desenvolvedor constantemente precisa escolher entre corrigir problemas de segurança e desenvolver novas funcionalidades.
A ideia por trás da Symbiotic Security é orientar os desenvolvedores na direção certa, semelhante às ferramentas de conclusão de código que eles já conhecem. A Symbiotic, idealmente, pode ajudar os desenvolvedores a corrigir bugs no ciclo interno, enquanto ainda estão codificando, e muito antes que as plataformas de integração e entrega contínuas comecem a escanear o código em busca de problemas. Uma vez que isso acontece, o processo desacelera imediatamente, com tickets do Jira e processos adicionais de revisão de código assumindo o controle.
Isso também é onde a Symbiotic dá um passo adiante. “Não seria suficiente apenas permitir que eles corrigissem [os problemas] e os detectassem”, explicou Robert. “Nós também precisamos treiná-los em segurança — e os desenvolvedores adoram treinar; isso é uma certeza absoluta de 100%. No entanto, os treinamentos de segurança são dolorosos.”
Para os desenvolvedores, Robert argumenta que fazer o treinamento no local é algo com o qual eles podem se relacionar. É focado em suas necessidades imediatas e não algo abstrato — e com apenas alguns minutos, é curto.
Atualmente, essas lições e vídeos de treinamento são pré-gravados, mas com o tempo, eles podem se tornar mais impulsionados por IA, o que permitiria à Symbiotic torná-los ainda mais relevantes para os problemas específicos que o desenvolvedor está enfrentando.
Há também uma outra reviravolta interessante aqui. Para melhor treinar um modelo para corrigir automaticamente problemas de segurança, você precisa de um corpus de código com bugs de segurança e as versões corrigidas desses trechos de código. Como a Symbiotic está vendo o problema e, em seguida, dizendo ao desenvolvedor como corrigi-lo, poderia idealmente criar um conjunto de dados de alta qualidade para construir um modelo de remediação. Por enquanto, isso é um projeto de longo prazo, porém.
A Symbiotic é apoiada por nomes como Lerer Hippeau, Axeleo Capital e Factorial Capital. “Jerome e o cofundador Edouard Viot têm uma compreensão profunda dos problemas subjacentes à segurança do código tradicional e demonstraram uma notável previsão com sua abordagem para atender à crescente demanda por soluções de segurança shift-left”, disse Graham Brown, parceiro gerente da Lerer Hippeau. “A Symbiotic tem o potencial de transformar a indústria, capacitando desenvolvedores e equipes de segurança.”