Blog

Aug 18, 2023

Lemos de GitLab: la IA y la automatización son clave para DevSecOps

Lemos de GitLab: la IA y la automatización son clave para DevSecOps Se envió su correo electrónico al CISO de GitLab, Josh Lemos, sobre cómo proteger el CI/CD del software con herramientas de IA generativa y cómo la automatización permite la continuidad.

Lemos de GitLab: la IA y la automatización son clave para DevSecOps

Tu correo ha sido enviado

Josh Lemos, CISO de GitLab, habla sobre cómo proteger la CI/CD del software con herramientas de IA generativa y cómo la automatización permite la seguridad continua en la cadena de suministro de desarrollo de software.

GitLab, al igual que su competidor GitHub, nació del proyecto Git de código abierto y sigue siendo una empresa de núcleo abierto (es decir, una empresa que comercializa software de código abierto en el que cualquiera puede contribuir). Desde su lanzamiento en 2011 como plataforma de intercambio de código de fuente abierta, ha visto crecer su paquete de software DevOps a más de 30 millones de usuarios. En mayo de 2023, la empresa lanzó nuevas capacidades de inteligencia artificial en su plataforma DevSecOps con GitLab 16, incluidas casi 60 nuevas funciones y mejoras, según la empresa.

En la conferencia Black Hat 2023 de este mes, Josh Lemos, director de seguridad de la información de GitLab, habló con TechRepublic sobre DevSecOps y cómo la empresa incorpora características de seguridad en su plataforma, y ​​cómo la IA está acelerando la integración continua y facilitando el cambio de seguridad hacia la izquierda. . Lemos explica que GitLab tiene sus raíces en la gestión del código fuente y la integración y canalización continua; una fundición, por así decirlo, para crear software.

Salta a:

Karl Greenberg:¿Puedes hablar sobre tu rol en GitLab?

José Lemos: Primero, cuando la seguridad se incorporó a DevOps y a todo el ciclo de vida del código, nos dio la oportunidad de insertar la seguridad en una etapa más temprana de la cadena de construcción. Como CISO, básicamente tengo un meta rol de ayudar a las empresas a proteger sus procesos de construcción. Entonces, no solo estoy ayudando a GitLab y haciendo lo que haría por cualquier empresa como CISO, en términos de proteger el software de nuestro propio producto, sino que también lo estoy haciendo a escala para miles de empresas.

VER: ¿Cuáles son las implicaciones de la IA generativa para la ciberseguridad? En Black Hat, los expertos debaten (TechRepublic)

Karl Greenberg:En este ecosistema de repositorios, ¿cómo se diferencia GitLab de, digamos, GitHub?

José Lemos: Este ecosistema es básicamente un duopolio. GitHub se centra más en la gestión del código fuente y las fases de construcción; GitLab se ha centrado en DevSecOps o en toda la cadena de construcción, es decir, la infraestructura como código y la integración continua: todo el ciclo hasta la producción.

Karl Greenberg:Cuando se observan las cadenas de destrucción de los actores de amenazas dentro de ese ciclo, los ataques que DevSecOps pretende frustrar (ataques a la cadena de suministro utilizando Log4j, por ejemplo), no se trata de un actor motivado financieramente que busca un rescate, ¿verdad?

José Lemos: Ese sería un resultado, claro, pero el ransomware es un final bastante finito. Creo que lo que es más interesante desde la perspectiva de un atacante es descubrir cómo mantener el silencio sin ser detectado durante un largo período de tiempo. En última instancia, el objetivo [de los atacantes] es comprometer los datos u obtener información sobre una empresa, gobierno o cualquier organización por diversos motivos; podría tener motivaciones financieras, políticas o comprometer la propiedad intelectual.

Karl Greenberg:O, cuando pienso en la presencia persistente de un actor de amenazas en una red, supongo que los agentes de acceso hacen esto.

José Lemos: Generalmente, los atacantes no quieren quemar su acceso, por lo que sí quieren mantener esos registros de persistencia el mayor tiempo posible. Entonces, volviendo a la primera pregunta, mi objetivo en todo esto es crear el entorno en el que las empresas puedan proteger sus procesos de construcción de manera efectiva, limitar el acceso a sus secretos y utilizar la seguridad en la nube y los controles de seguridad de CI/CD a escala.

VER: Revisión de la herramienta GitLab CI/CD (TechRepublic)

Karl Greenberg: GitHub ha tenido mucho éxito con la adopción de Copilot. ¿Cuáles son las innovaciones en IA generativa de GitLab?

José Lemos: Tenemos más de una docena de funciones de IA, algunas diseñadas para hacer cosas como generación de código, un caso de uso obvio; nuestra versión de Copilot, por ejemplo, es GitLab Duo. Hay otras características de IA que tenemos que son muy útiles en términos de realizar cambios sugeridos y revisores para proyectos: podemos ver quién ha contribuido al proyecto, quién podría querer revisar ese cambio y luego hacer esas recomendaciones usando IA. Por lo tanto, todas estas herramientas automatizan la incorporación de seguridad al desarrollo sin que los desarrolladores tengan que frenar y buscar errores.

VER: Informe de GitLab sobre DevSecOps: cómo la IA está remodelando las funciones de los desarrolladores (TechRepublic)

Karl Greenberg:Pero obviamente, debes hacerlo temprano porque, cuando esté disponible, es costoso y estás lidiando con un problema de exposición: una vulnerabilidad viva.

José Lemos: Sí, es un cambio hacia la izquierda en términos de ajustar el ciclo de retroalimentación al principio del proceso, cuando el desarrollador va a confirmar el código, mientras todavía está pensando en ese fragmento de código. Y recibirán comentarios en términos de identificar un problema y solucionarlo dentro de su proceso y en nuestra plataforma, para que no tengan que recurrir a una herramienta externa. Además, debido a este estrecho circuito de retroalimentación, no tienen que esperar a que el software entre en producción y luego identificar el problema cuando ocurre en el momento de la compilación.

Karl Greenberg:¿Qué desafíos de seguridad clave en el proceso de software necesitan algún tipo de solución de seguridad más allá de las herramientas de las que ha hablado?

José Lemos: En general, creo que gran parte del cambio de terminología hacia la izquierda tiene que ver realmente con garantizar que podamos proteger la cartera de software independientemente del número de desarrolladores involucrados. Podemos hacerlo proporcionando comentarios buenos, prácticos y significativos a los desarrolladores que trabajan en el proceso de construcción y desarrollo. Queremos que esta parte se automatice tanto como sea posible para que podamos comenzar a utilizar nuestros equipos de seguridad para realizar el trabajo más profundo de diseño y arquitectura en una etapa más temprana del proceso, incluso antes de llegar a la parte donde están construyendo y comprometiendo. código.

Karl Greenberg:¿Estamos hablando exclusivamente de herramientas impulsadas por ML e IA?

José Lemos: Hay una combinación de herramientas y capacidades. Algunas de ellas son herramientas tradicionales de análisis de código estático; algunos de ellos son escaneos de contenedores que buscan CVE (vulnerabilidades y exposiciones comunes) y paquetes conocidos. Entonces hay una mezcla de IA y no IA. Pero existe una gran oportunidad para la automatización. Y ya sea que se trate de automatización de IA o software tradicional, automatización de tipo de seguridad CI/CD, estos pueden reducir el nivel de trabajo y esfuerzo manual, lo que le permite orientar a su equipo para que se concentre en otros problemas que aún no se pueden automatizar. Y creo que ese es el gran movimiento en los equipos de seguridad: ¿Cómo podemos pasar a la automatización primero para poder escalar y alcanzar la velocidad que debemos alcanzar como empresa y la velocidad que necesitamos para reunirnos con nuestros equipos de ingeniería?

Fortalezca las defensas de seguridad de TI de su organización manteniéndose al tanto de las últimas noticias, soluciones y mejores prácticas de ciberseguridad.