Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Aug 18, 2023
Lemos di GitLab: AI e automazione sono fondamentali per DevSecOps
Lemos di GitLab: AI e automazione sono fondamentali per DevSecOps La tua email è stata inviata al CISO di GitLab Josh Lemos sulla protezione CI/CD del software con strumenti di intelligenza artificiale generativa e su come l'automazione consente la continuità
Lemos di GitLab: AI e automazione sono fondamentali per DevSecOps
La tua email è stata inviata
Josh Lemos, CISO di GitLab, parla della protezione CI/CD del software con strumenti di intelligenza artificiale generativa e di come l'automazione consenta una sicurezza continua nella catena di fornitura dello sviluppo software.
GitLab, come il suo concorrente GitHub, è nato dal progetto open source Git ed è ancora un'azienda open-core (ovvero un'azienda che commercializza software open source a cui chiunque può contribuire). Dal suo lancio nel 2011 come piattaforma di condivisione di codice open source, il suo pacchetto software DevOps è cresciuto fino a raggiungere oltre 30 milioni di utenti. Nel maggio 2023, secondo l’azienda, la società ha lanciato nuove funzionalità di intelligenza artificiale nella sua piattaforma DevSecOps con GitLab 16, tra cui quasi 60 nuove funzionalità e miglioramenti.
Alla conferenza Black Hat del 2023 di questo mese, Josh Lemos, responsabile della sicurezza informatica di GitLab, ha parlato con TechRepublic di DevSecOps e di come l'azienda infonde funzionalità di sicurezza nella sua piattaforma e di come l'intelligenza artificiale sta accelerando l'integrazione continua e rendendo più semplice spostare la sicurezza a sinistra. . Lemos spiega che GitLab affonda le sue radici nella gestione del codice sorgente, nell'integrazione e nelle pipeline continue; una fonderia, se vuoi, per la creazione di software.
Salta a:
Karl Greenberg:Puoi parlarci del tuo ruolo in GitLab?
Josh Lemos: Innanzitutto, quando la sicurezza è stata incorporata in DevOps e nell'intero ciclo di vita del codice, ci ha dato l'opportunità di inserirla nelle prime fasi della catena di creazione. In qualità di CISO, ho fondamentalmente un meta ruolo nell'aiutare le aziende a proteggere le loro pipeline di costruzione. Quindi non solo sto aiutando GitLab e facendo quello che farei per qualsiasi azienda come CISO, in termini di protezione del software del nostro prodotto, lo sto anche facendo su larga scala per migliaia di aziende.
VEDI: Quali sono le implicazioni dell'intelligenza artificiale generativa per la sicurezza informatica? A Black Hat, gli esperti discutono (TechRepublic)
Karl Greenberg:In questo ecosistema di repository, in che modo GitLab si differenzia, ad esempio, da GitHub?
Josh Lemos: Questo ecosistema è fondamentalmente un duopolio. GitHub è più orientato alla gestione del codice sorgente e alle fasi di compilazione; GitLab si è concentrato su DevSecOps o sull'intera catena di creazione, quindi sull'infrastruttura come codice e sull'integrazione continua: l'intero ciclo fino alla produzione.
Karl Greenberg:Quando si considerano le kill chain degli attori delle minacce all'interno di quel ciclo, gli attacchi che DevSecOps mira a contrastare (attacchi alla catena di fornitura che utilizzano Log4j, ad esempio), non si tratta di qualche attore motivato finanziariamente in cerca di riscatto, vero?
Josh Lemos: Questo sarebbe un risultato, certo, ma il ransomware è un gioco finale piuttosto limitato. Penso che ciò che è più interessante dal punto di vista di un aggressore sia capire come mantenere il silenzio, senza essere scoperto per un lungo periodo di tempo. In definitiva, l'obiettivo [per gli aggressori] è compromettere i dati o ottenere informazioni su un'azienda, un governo o qualsiasi organizzazione per vari motivi; potrebbe essere motivato finanziariamente, politicamente o motivato dalla compromissione della proprietà intellettuale.
Karl Greenberg:Oppure, quando penso alla presenza persistente di un attore di minacce in una rete, suppongo che i broker di accesso lo facciano.
Josh Lemos: In genere, gli aggressori non vogliono bruciare il proprio accesso, quindi sì, vogliono conservare i record di persistenza il più a lungo possibile. Quindi, tornando alla prima domanda, il mio obiettivo in tutto questo è creare l'ambiente in cui le aziende possano proteggere in modo efficace le proprie pipeline di costruzione, limitare l'accesso ai propri segreti e utilizzare la sicurezza del cloud e i controlli di sicurezza CI/CD su larga scala.
VEDI: Recensione dello strumento CI/CD GitLab (TechRepublic)
Karl Greenberg: GitHub ha avuto molto successo con l'adozione di Copilot. Quali sono le innovazioni di IA generativa di GitLab?
Josh Lemos: Abbiamo più di una dozzina di funzionalità AI, alcune progettate per fare cose come la generazione di codice, un caso d'uso ovvio; la nostra versione di Copilot, ad esempio, è GitLab Duo. Ci sono altre funzionalità di intelligenza artificiale di cui disponiamo che sono molto utili in termini di modifiche suggerite e revisori per i progetti: possiamo vedere chi ha contribuito al progetto, chi potrebbe voler rivedere quella modifica, quindi formulare tali raccomandazioni utilizzando l'intelligenza artificiale. Tutti questi strumenti automatizzano quindi l'integrazione della sicurezza nello sviluppo senza che gli sviluppatori debbano rallentare e cercare errori.