Aug 18, 2023
Лемос из GitLab: ИИ и автоматизация — ключ к DevSecOps
Лемос из GitLab: ИИ и автоматизация — ключ к DevSecOps. Ваше письмо отправлено. Джош Лемос, директор по информационной безопасности GitLab, рассказывает о защите CI/CD программного обеспечения с помощью генеративных инструментов ИИ и о том, как автоматизация обеспечивает непрерывную работу.
Lemos от GitLab: ИИ и автоматизация — ключ к DevSecOps
Ваше письмо отправлено
Директор по информационной безопасности GitLab Джош Лемос о защите CI/CD программного обеспечения с помощью инструментов генеративного искусственного интеллекта и о том, как автоматизация обеспечивает непрерывную безопасность в цепочке поставок разработки программного обеспечения.
GitLab, как и его конкурент GitHub, родился в результате проекта Git с открытым исходным кодом и до сих пор остается компанией с открытым исходным кодом (т. е. компанией, которая коммерциализирует программное обеспечение с открытым исходным кодом, в развитие которого каждый может внести свой вклад). С момента своего запуска в 2011 году в качестве платформы для совместного использования кода с открытым исходным кодом количество ее программного пакета DevOps выросло до более чем 30 миллионов пользователей. По данным компании, в мае 2023 года компания запустила новые возможности искусственного интеллекта на своей платформе DevSecOps с GitLab 16, включая около 60 новых функций и улучшений.
На конференции Black Hat 2023 в этом месяце Джош Лемос, директор по информационной безопасности GitLab, рассказал TechRepublic о DevSecOps и о том, как компания внедряет функции безопасности в свою платформу, а также о том, как искусственный интеллект ускоряет непрерывную интеграцию и упрощает смещение безопасности влево. . Лемос объясняет, что GitLab уходит корнями в управление исходным кодом, непрерывную интеграцию и конвейеры; литейный завод, если хотите, по созданию программного обеспечения.
Перейти к:
Карл Гринберг:Можете ли вы рассказать о своей роли в GitLab?
Джош Лемос: Во-первых, когда безопасность была включена в DevOps и весь жизненный цикл кода, это дало нам возможность включить безопасность на более ранних этапах цепочки сборки. Как директор по информационной безопасности я, по сути, выполняю мета-роль, помогая компаниям обеспечить безопасность их конвейеров сборки. Так что я не только помогаю GitLab и делаю то, что я бы сделал для любой компании в качестве директора по информационной безопасности, с точки зрения обеспечения безопасности нашего собственного программного обеспечения, я также делаю это в масштабе для тысяч компаний.
SEE: Каковы последствия генеративного искусственного интеллекта для кибербезопасности? На Black Hat обсуждают эксперты (TechRepublic)
Карл Гринберг:Чем GitLab отличается в этой экосистеме репозиториев, скажем, от GitHub?
Джош Лемос: Эта экосистема по сути представляет собой дуополию. GitHub больше ориентирован на управление исходным кодом и этапы сборки; GitLab сосредоточился на DevSecOps или всей цепочке сборки, то есть на инфраструктуре как коде и непрерывной интеграции — на всем цикле вплоть до производства.
Карл Гринберг:Когда вы смотрите на цепочки убийств злоумышленников в этом цикле, атаки, которые DevSecOps стремится предотвратить — например, атаки на цепочки поставок с использованием Log4j — речь идет не о каком-то финансово мотивированном субъекте, требующем выкупа, не так ли?
Джош Лемос: Конечно, это был бы один из результатов, но программы-вымогатели — это довольно конечная цель. Я думаю, что с точки зрения злоумышленника более интересно выяснить, как сохранять молчание, оставаясь незамеченным в течение длительного периода времени. В конечном итоге цель [злоумышленников] — либо скомпрометировать данные, либо получить информацию о компании, правительстве или любой организации по разным причинам; это может быть финансово мотивировано, политически мотивировано или мотивировано компрометацией интеллектуальной собственности.
Карл Гринберг:Или, когда я думаю о постоянном присутствии злоумышленника в сети, я предполагаю, что это делают брокеры доступа.
Джош Лемос: Как правило, злоумышленники не хотят уничтожать свой доступ, поэтому да, они хотят хранить эти записи постоянства как можно дольше. Итак, возвращаясь к первому вопросу, моя цель во всем этом — создать среду, в которой компании смогут эффективно защищать свои конвейеры сборки, ограничивать доступ к своим секретам и использовать облачную безопасность и средства контроля безопасности CI/CD в масштабе.
СМОТРИТЕ: Обзор инструмента GitLab CI/CD (TechRepublic)
Карл Гринберг: GitHub добился большого успеха с внедрением Copilot. Каковы инновации GitLab в области генеративного искусственного интеллекта?
Джош Лемос: У нас есть более дюжины функций ИИ, некоторые из которых предназначены для таких вещей, как генерация кода, что является очевидным вариантом использования; наша версия Copilot, например, — GitLab Duo. У нас есть и другие функции ИИ, которые очень полезны с точки зрения внесения предлагаемых изменений и рецензентов проектов: мы можем посмотреть, кто внес свой вклад в проект, кто, возможно, захочет просмотреть это изменение, а затем дать эти рекомендации с помощью ИИ. Таким образом, все эти инструменты автоматизируют обеспечение безопасности в разработке, и разработчикам не приходится замедляться и искать ошибки.