“Bizim hikayemiz Cenk’in aile şirketi olan Endpoint Labs’den başlıyor. Cenk orada uygulama güvenliği alanında hem ürün satışı hem de danışmanlık hizmetleri verirken sektördeki ihtiyacı fark ediyor ve öncelikle kendi işini kolaylaştırmak amacıyla ürünün ilk versiyonunu geliştiriyor. Daha sonra ürünün potansiyelini fark edince ikimiz bir araya geldik ve yaklaşık 1 yıl 3 aydır ürünü geliştiriyoruz. Ben bundan önce Adphorus’ta finans direktörü olarak çalışıyordum ve orada exit ile biten macerada operasyon tarafında da pek çok alana dokunma fırsatım olmuştu. Cenk ile küçük basketbol takımından çocukluk arkadaşıyız. Her zaman bazı projeleri konuşurduk ama bu sefer zamanlama olarak doğru zamanı yakaladık diyebiliriz.” Can Taylan, Kurucu Ortak
Can Taylan Bilgin ve Cenk Kalpakoğlu tarafından kurulan Kondukto, girişim sermayesi fonu 500 Istanbul‘dan yatırım aldığını açıkladı. Değerleme veya miktar açıklanmadı.
Kondukto, siber güvenliğin uygulama güvenliği tarafında çözüm sunan bir üründür. Dünyada Application Security Testing Orchestration (ASTO) adıyla anılan, geçtiğimiz 2-3 senede dünyada ismini duyurmaya başlayan sektör. Gartner ve Forrester gibi sektör raporları yayınlayan kuruluşların son raporlarında alttan gelen ve ümit vaad eden bir sektör olarak da gösteriliyor. Network güvenliği tarafında daha uzun zamandır var olan SIEM ya da SOAR araçlarının application security tarafındaki muadili olarak nitelendirebiliriz.
Can Taylan “Dünyada şu an bu alanda ürünü olan yaklaşık 10 tane firma sayabiliyoruz. Çoğunnun hikayesi de bizimkinde olduğu gibi danışmanlık hizmeti verirken ihtiyacı görüp geliştirilen bir ürünle başlıyor.”
Kondukto hangi sorunları çözüyor?
Can Taylan şu şekilde cevapladı:
- Kurumsal şirketlerde çok büyük yazılım ekipleri olmasına rağmen Security Engineer sayısı çok düşük (her 100 geliştirici için 3-4 güvenlik mühendisinden bahsedebiliriz). Dolayısıyla yazılan kodların güvenliğinden emin olabilmek için bir çok farklı uygulama güvenlik tarayıcısı aynı anda kullanılıyor. Her bir tarayıcı onlarca hatta bazen yüzlerce sayfalık bulgu raporları oluşturuyor. Zaten ufak olan güvenlik ekipleri bu bulgu yığınının arasından hangilerinin önceliklendirilmesi gerektiğinin analizini yapmak durumunda kalıyor ki bu şu an oldukça manuel olarak işleyen bir süreç. Biz burada kullanılan tarayıcılara entegre olarak bulguların konsolidasyonunu ve analizini otomatize ederek hızlandırıyoruz.
- Bulgular tespit edildikten sonra bulguların çözümü de oldukça manuel işliyor şu anda. Yazılımcılara pdf ya da excel spreadsheet’i olarak gönderilen bulgular yazılımcılar tarafında büyük dirençle karşılanıyor. Yazılımcı camiası pdf ve spreadsheetlerle çalışmaya alışkın değil ve bu iki ekibi (güvenlik ve yazılım) ortak bir noktada birleştirecek bir platforma ihtiyaç var. Biz burada da devreye girip kodun hangi kısmında bir güvenlik zaafiyeti varsa, o kodu yazan yazılımcıyı otomatik olarak tespit edip kurumda kullanılan ticket sistemi üzerinde yine otomatik olarak o yazılımcıya atanmış bir ticket açabiliyoruz.
- Software development life cycle’da güvenlik açıkları ne kadar geç tespit edilirse çözümü de o kadar zaman alıyor ve maliyetli oluyor. Bu noktada automated testleri bu life cycle’ın her aşamasına yayarak zaman ve para kaybının önüne geçebiliyoruz. Yine belli güvenlik kriterlerini (müşteriler tarafından custom belirlenebilen) yerine getirmeyen projelerin canlıya alınmasını engelleyerek, güvenliği yazılım sürecinin bir parçası haline getiriyoruz.
Girişimi yakından takip etmeye başladık. Yeni gelişmeler oldukça paylaşmaya devam edeceğiz.