Bromure や Nessus などについての Mehul Revankar さんのインタビューにお応えする機会に恵まれ、とても楽しい時間でした。Mehul は Tenable 時代の同僚で、現在は Quantro Security の共同創業者です。

話した内容

インタビューはおよそ1時間です。主なトピックをいくつか挙げます。

Nessus 草創期の話。 1998 年にプロジェクトを立ち上げたこと、 56 MB の RAM に収める必要があった並列スキャナーを書いたこと、 2003 年に毎日プラグインのアップデートを配信していたこと（この用語が登場する前の実質的な CI/CD でした）、そして最終的に Perl を捨てて NASL という専用言語に移行した理由。
「AppSec は死んだ」。 AI が生成する自己修復型のインフラが、従来型のアプリケーションセキュリティの多くを静かに時代遅れにしていること。そしてなぜ今、深く技術的な創業者が不公平なほど有利なのか ——AI エージェントに何をすべきか正確に指示できるからです。当てずっぽうに任せるのではなく。
Bromure が生まれた経緯。 短いバージョンは、金融ハニーポット、本物のマシンで開きたくなかった大量の詐欺リンク、そして「侵害されることを前提に設計されたブラウザ」を誰も出荷していないという気づきから始まります。長いバージョンはポッドキャストで。
Overbearer。 社内の自動化処理が使っている本物の Bearer トークンや API キーをマスクするプロキシです。CI ランナーや開発者のノート PC が侵害されても、攻撃者に本番環境の鍵がそのまま渡らないようにします。
資金調達と VC の現状。 2億ドル規模のシードラウンド、自分自身のイグジットのコントロールを失うこと、そしてユニコーン評価額を追いかけるより、 2週間で2つのオープンソースツールを出荷するほうがずっと健全に感じられた理由。

最後に、「脆弱性の殿堂」を短く巡りました——WannaCry、Heartbleed、 Log4Shell——そして、それぞれが業界に何を教えたか（あるいは教え損ねたか）。