„Velocity with guardrails“ (Geschwindigkeit mit Leitlinien): KI, Automatisierung und die Beseitigung des Kompromisses zwischen Sicherheit und Geschwindigkeit

Technologieteams stehen unter enormem Druck. Sie arbeiten mit eingeschränkten Ressourcen, müssen aber dennoch einen Fuß fest auf dem Innovationspedal haben und ihren Kund(inn)en einen Mehrwert bieten. Gleichzeitig müssen sie ihre Software-Lieferkette schützen – und das inmitten der schier endlosen Anzahl an Integrationen und Add-ons, die in einer modernen Entwicklungsumgebung gang und gäbe sind. Die Dynamik ist brutal. Sicherheitsingenieur(innen) sind in der Unterzahl. Ein Kunde erzählte mir, dass es auf 100 Entwickler(innen) nur eine(n) Sicherheitsingenieur(in) gibt. Dazu kommen immer kleiner werdende Budgets: Laut dem globalen DevSecOps-Bericht von GitLab für das Jahr 2023 gaben 85 % der Befragten an, dass ihre Sicherheitsbudgets gleich bleiben oder gesenkt werden. So entsteht eine Dynamik, in der Geschwindigkeit und Komfort Vorrang vor Sicherheit und Compliance haben.

Aber diese Dynamik muss nicht die Norm sein.

Wir glauben an ein einfaches Mantra: Velocity with guardrails. Künstliche Intelligenz und Automatisierungslösungen beschleunigen die Codeerstellung und schaffen in Kombination mit einer umfassenden DevSecOps-Plattform die Sicherheits- und Compliance-Leitlinien, die jedes Unternehmen benötigt. „Velocity with guardrails“ bedeutet, dass sich schnelle Softwareinnovationen und der Bedarf nach sicherer Softwareentwicklung nicht mehr gegenseitig ausschließen. „Velocity with guardrails“ gibt es nur in einer Welt, in der KI und Automatisierung über die Codeerstellung hinausgehen. In unserem globalen DevSecOps-Bericht gaben 62 % der Entwickler(innen) an, dass sie KI/ML zum Überprüfen von Code verwenden, und 65 % der Entwickler(innen) verwenden KI/ML für Tests oder planen, dies in den nächsten drei Jahren zu tun.

Angesichts der eingeschränkten Ressourcen, mit denen DevSecOps-Teams kämpfen, werden Automatisierung und künstliche Intelligenz selbst zu einer strategischen Ressource. Unsere DevSecOps-Plattform hilft Teams, kritische Lücken zu schließen, während sie automatisch Richtlinien durchsetzt, Compliance-Frameworks anwendet, Sicherheitstests mit den Automatisierungsfunktionen von GitLab durchführt und KI-gestützte Empfehlungen bereitstellt, wodurch die Entwickler(innen) Zeit für andere Tätigkeiten haben.

In den letzten Monaten haben wir eine Vielzahl neuer Funktionen und Möglichkeiten eingeführt, um dieses Mantra in der Praxis umzusetzen. Hier ist ein kleiner Vorgeschmack.

Mehr Geschwindigkeit mit Codevorschlägen der Funktion „Code Suggestions“

Jeden Tag nutzen Millionen von Entwickler(inne)n GitLab, um an Code mitzuarbeiten. Im Februar haben wir die Beta-Version unserer Funktion „Code Suggestions“ eingeführt und arbeiten seitdem kontinuierlich daran, dass diese für mehr Entwickler(innen) verfügbar gemacht wird. Während der Beta-Phase sind Code Suggestions für alle Ultimate- und Premium-Kund(inn)en kostenlos nutzbar. GitLab Code Suggestions kann die Produktivität, den Fokus und die Innovation von Entwickler(inne)n auf einer einzigen DevSecOps-Plattform verbessern, sodass kein Kontextwechsel mehr nötig ist.

Code Suggestions ist nur der Anfang unseres Weges, auf dem wir KI/ML in alle Aspekte des Software-Entwicklungsprozesses integrieren werden. Zusammen mit vorgeschlagenen Prüfer(inne)n geben wir jeden Donnerstag in einer wöchentlichen Serie eine Vorschau dieser KI/ML-gestützten Funktionen in unserem Blog.

KI-gestützte Hilfe bei Sicherheitslücken

Laut unserem globalen DevSecOps-Bericht haben Befragte, die im Sicherheitsbereich tätig sind und keine DevSecOps-Plattform verwenden, oft Schwierigkeiten damit, zu erkennen, wer Abhilfemaßnahmen treffen kann. Außerdem finden sie es schwierig, Ergebnisse zu Sicherheitslücken richtig zu interpretieren. Um Teams dabei zu helfen, Sicherheitslücken im Kontext ihrer jeweiligen Codebase so effektiv wie möglich zu beheben, haben wir eine experimentelle Funktion veröffentlicht, mit der GitLab KI-gestützte Empfehlungen zu Sicherheitslücken gibt und diese mithilfe großer Sprachmodelle erklärt. Dabei zeigt die Funktion grundlegende Informationen zur Sicherheitslücke an und kombiniert sie mit Einblicke aus dem Code des Kunden bzw. der Kundin, um die Sicherheitslücke im Kontext zu erklären, zu zeigen, wie sie ausgenutzt werden kann, und eine mögliche Behebung vorzuschlagen. Erste Tests zeigen, dass dadurch die Zeit, die benötigt wird, um eine Sicherheitslücke zu beheben, erheblich verkürzt werden kann.

Das ist nur eine von vielen experimentellen, KI-unterstützten Funktionen, die wir in den letzten Monaten eingeführt haben, um die Produktivität der Entwickler(innen) und die Effizienz bei der Softwarebereitstellung zu verbessern.

Erreiche ein neues Maß an Sichtbarkeit mit dem Wertstrom-Dashboard

Da KI die Produktivität beschleunigt, sind Sichtbarkeit und Transparenz wichtiger denn je. Unser neues Wertstrom-Dashboard bietet strategische Einblicke in Metriken, die Entscheidungsträger(inne)n dabei helfen, Trends und Muster zu identifizieren, um die Softwarebereitstellung zu optimieren. Diese Daten basieren auf DORA4-Metriken und dem Wertstrom über Projekte und Gruppen hinweg.

Das Wertstrom-Dashboard bietet Transparenz über jeden Schritt des Software-Entwicklungsprozesse, ohne dass ein Tool von Drittanbietern gekauft oder gewartet werden muss. Das Ergebnis: weniger Tools, mehr Sichtbarkeit und mehr Transparenz – und all das innerhalb von GitLab.

Lege Lizenzrichtlinien fest und überprüfe Softwarelizenzen auf Konformität

Verletzungen oder Verstöße gegen eine Lizenz durch die Verwendung von Software mit einer inkompatiblen Lizenz kann zu einem teuren Rechtsstreit oder vielen Entwicklerstunden führen, um problematischen Code zu entfernen. Wir haben kürzlich einen neuen und verbesserten Lizenz-Compliance-Scanner sowie Lizenz-Approvalrichtlinien veröffentlicht. Der neue Scanner extrahiert Lizenzinformationen aus Paketen, die unter zwei verschiedenen Lizenzen zur Verfügung gestellt werden oder mehrere Lizenzen haben, und analysiert und identifiziert automatisch mehr als 500 verschiedene Arten von Lizenzen, was eine erhebliche Steigerung gegenüber der bislang 20 identifizierten Arten von Lizenzen darstellt.

Lizenz-Approvalrichtlinien helfen, das Risiko zu minimieren, dass nicht genehmigte Lizenzen verwendet werden. So müssen Unternehmen nicht mehr zeitaufwändig und mühsam überprüfen, ob die Compliance eingehalten wird.

Schütze Geheimnisse vor dem Durchsickern

Eine kürzlich aufgetretene Reihe von Angriffen hatte vermutlich durchgesickerte persönliche Zugriffstoken (PATs) als Ursache. Davor kann dich die Erkennung von Geheimnissen mit GitLab schützen. Wir widerrufen jetzt automatisch PATs, die in öffentlichen GitLab-Repositorys durchgesickert sind, und verringern so das Risiko, dass Entwickler(innen) versehentlich ein PAT in ihren Code integrieren. Diese Funktion schützt GitLab-Benutzer(innen) und ihre Unternehmen davor, dass Zugangsdaten offengelegt werden, und senkt das Risiko für Anwendungen in der Produktivumgebung.

Das gilt aber nicht nur für von GitLab verwaltete Zugangsdaten. Wir unterstützen jetzt die Reaktion auf geleakte Geheimnisse in öffentlichen Projekten, indem wir die Zugangsdaten widerrufen oder den Anbieter, der sie ausgestellt hat, benachrichtigen. Wir erweitern aktiv die Liste der unterstützten Anbieter, der jeder SaaS-Anbieter beitreten kann, um uns dabei zu helfen, alle Geheimnisse zu schützen, die Entwickler(innen) verwenden könnten.

Automatische Durchsetzung von Sicherheitsrichtlinien

Es kann zeitaufwändig sein, Sicherheitsrichtlinien für verschiedene Projekte und Code-Commits manuell durchzusetzen. Indem die Durchsetzung von Sicherheitsrichtlinien automatisiert wird, verhinderst du, dass diese ohne entsprechende Genehmigung umgangen werden. Sicherheitsteams können Richtlinienregeln konfigurieren und beispielsweise festlegen, dass Genehmiger(innen) von verschiedenen Teams (z. B. Qualitätssicherung, Betrieb, Rechtsabteilung) erforderlich sind, dass ein zweistufiger Genehmigungsprozess eingehalten wird oder dass Genehmigungen für Ausnahmen mithilfe von Ausnahmelizenzen benötigt werden. Solche Richtlinien können auf mehrere Entwicklungsprojekte auf Gruppen- oder Untergruppenebene angewendet werden, um die Pflege eines einzigen, zentralen Regelsatzes zu vereinfachen.

Vermeide falsch positive Ergebnisse bei Sicherheitstests

Laut der globalen DevSecOps-Umfrage 2023 von GitLab gehören zu viele falsche positive Ergebnissen zu den drei größten Frustrationsbereichen von Sicherheitsexpert(inn)en. Unser DAST API Analyzer arbeitet jetzt noch genauer und reduziert falsch positive Ergebnisse um geschätzte 78 %, was es DevSecOps-Teams erleichtert, sich auf echte Sicherheitsbedrohungen zu konzentrieren.

Wir haben vor kurzem außerdem Gründe für die Ablehnung von Sicherheitslücken eingeführt, um nachzuverfolgen, warum Sicherheitslücken behoben wurden, um die Compliance-Nachverfolgung und die Audit-Berichte zu verbessern.

Außerdem haben wir viele weitere Funktionen eingeführt, die es unseren Kund(inn)en ermöglichen, Geschwindigkeit mit Leitlinien zu erreichen. In diesem 90-sekündigen Video erfährst du, wie GitLab deine Software-Lieferkette durchgängig schützt.

Demnächst: Noch mehr Geschwindigkeit und noch mehr Leitlinien

Auch 2023 verfolgt GitLab eine ambitionierte Roadmap, damit wir Sicherheit noch einfacher in die Software-Entwicklungsprozesse unserer Kund(inn)en integrieren. Dadurch können diese sicheren Code einfacher und effizienter bereitstellen. Demnächst sind folgende Funktionen verfügbar:

• Listen mit Abhängigkeiten auf Gruppen- und Untergruppenebene bieten Benutzer(inne)n eine einfache Möglichkeit, die Abhängigkeiten ihrer Projekte anzuzeigen. Die Verwaltung von Abhängigkeiten auf Projektebene kann für Unternehmen mit hunderten Projekten nämlich schwierig sein.
• Kontinuierliche Container-Scans und Abhängigkeitssuchen sorgen dafür, dass Sicherheitslücken transparent und zeitnah entdeckt werden, indem jedes Mal, wenn ein neuer Sicherheitshinweis veröffentlicht oder Code geändert wird, automatisch ein Scan durchgeführt wird.
• Management-Tools für Compliance-Frameworks ermöglichen es Kund(inn)en, die Compliance-Frameworks auf bestehende Projekte und mehrere Projekte gleichzeitig anzuwenden. Derzeit können Kund(inn)en Compliance-Frameworks und Richtlinien nur individuell pro Projekt anwenden.
• SBOM-Erfassung ermöglicht es GitLab, CycloneDX-Dateien aus Tools von Drittanbietern zu importieren. So entsteht eine einzige Quelle für alle Abhängigkeiten der Software, wodurch größere systemweite Transparenz geschaffen wird und du einfacher umsetzbare Erkenntnisse generieren kannst.

Erfahre, wie du die Geschwindigkeit sicher mit Secure-by-Design-Prinzipien erhöhen kannst.