blog

Aug 18, 2023

Lemos do GitLab: IA e automação são fundamentais para DevSecOps

Lemos do GitLab: IA e automação são fundamentais para DevSecOps Seu e-mail foi enviado CISO Josh Lemos do GitLab sobre como proteger CI/CD de software com ferramentas generativas de IA e como a automação permite

Lemos do GitLab: IA e automação são fundamentais para DevSecOps

Seu e-mail foi enviado

CISO Josh Lemos do GitLab sobre como proteger CI/CD de software com ferramentas generativas de IA e como a automação permite segurança contínua na cadeia de suprimentos de desenvolvimento de software.

O GitLab, assim como seu concorrente GitHub, nasceu do projeto de código aberto Git e ainda é uma empresa de núcleo aberto (ou seja, uma empresa que comercializa software de código aberto com o qual qualquer pessoa pode contribuir). Desde o seu lançamento em 2011 como uma plataforma de compartilhamento de código-fonte aberto, seu pacote de software DevOps cresceu para mais de 30 milhões de usuários. Em maio de 2023, a empresa lançou novos recursos de IA em sua plataforma DevSecOps com GitLab 16, incluindo quase 60 novos recursos e melhorias, de acordo com a empresa.

Na conferência Black Hat 2023 deste mês, Josh Lemos, diretor de segurança da informação do GitLab, conversou com a TechRepublic sobre DevSecOps e como a empresa infunde recursos de segurança em sua plataforma e como a IA está acelerando a integração contínua e tornando mais fácil mudar a segurança para a esquerda. . Lemos explica que o GitLab tem suas raízes no gerenciamento de código-fonte e na integração contínua e pipelines; uma fundição, por assim dizer, para construção de software.

Pule para:

Carlos Greenberg:Você pode falar sobre sua função no GitLab?

Josh Lemos: Primeiro, quando a segurança foi incorporada ao DevOps e a todo o ciclo de vida do código, tivemos a oportunidade de inserir a segurança mais cedo na cadeia de construção. Como CISO, tenho basicamente uma meta função em ajudar as empresas a proteger seus pipelines de construção. Portanto, não estou apenas ajudando o GitLab e fazendo o que faria por qualquer empresa como CISO, em termos de segurança de nosso próprio software de produto, mas também estou fazendo isso em escala para milhares de empresas.

VER: Quais são as implicações da IA ​​generativa para a segurança cibernética? Na Black Hat, especialistas discutem (TechRepublic)

Carlos Greenberg:Neste ecossistema de repositórios, como o GitLab se diferencia, digamos, do GitHub?

Josh Lemos: Este ecossistema é basicamente um duopólio. O GitHub é mais voltado para o gerenciamento do código-fonte e as fases de construção; O GitLab se concentrou em DevSecOps ou em toda a cadeia de construção, ou seja, infraestrutura como código e integração contínua – todo o ciclo até a produção.

Carlos Greenberg:Quando você olha para as cadeias de morte dos atores de ameaças dentro desse ciclo, os ataques que o DevSecOps pretende impedir – ataques à cadeia de suprimentos usando Log4j, por exemplo – não se trata de algum ator motivado financeiramente buscando resgate, não é?

Josh Lemos: Esse seria um resultado, claro, mas o ransomware é um jogo final bastante finito. Acho que o mais interessante do ponto de vista de um invasor é descobrir como manter o silêncio, passando despercebido por um longo período de tempo. Em última análise, o objetivo [dos invasores] é comprometer dados ou obter insights sobre uma empresa, governo ou qualquer organização por vários motivos; pode ser motivado financeiramente, politicamente ou motivado pelo comprometimento da propriedade intelectual.

Carlos Greenberg:Ou, quando penso na presença persistente de um agente de ameaça em uma rede, suponho que os corretores de acesso façam isso.

Josh Lemos: Geralmente, os invasores não querem queimar seu acesso, então sim, eles querem manter esses registros de persistência pelo maior tempo possível. Então, voltando à primeira pergunta, meu objetivo em tudo isso é criar o ambiente no qual as empresas possam proteger seus pipelines de construção de forma eficaz, limitar o acesso aos seus segredos e utilizar segurança na nuvem e controles de segurança CI/CD em escala.

VEJO: Revisão da ferramenta GitLab CI/CD (TechRepublic)

Carlos Greenberg: O GitHub teve muito sucesso com a adoção do Copilot. Quais são as inovações generativas de IA do GitLab?

Josh Lemos: Temos mais de uma dúzia de recursos de IA, alguns projetados para fazer coisas como geração de código, um caso de uso óbvio; nossa versão do Copilot, por exemplo, é o GitLab Duo. Existem outros recursos de IA que temos que são muito úteis em termos de fazer sugestões de alterações e revisores para projetos: Podemos ver quem contribuiu para o projeto, quem pode querer revisar essa mudança e, em seguida, fazer essas recomendações usando IA. Portanto, todas essas ferramentas automatizam a infusão de segurança no desenvolvimento sem que os desenvolvedores tenham que desacelerar e procurar erros.