Velocidad con medidas de protección: IA y automatización sin sacrificar la seguridad ni velocidad

Los equipos de tecnología están bajo una intensa presión. Aunque sus recursos son limitados, deben avanzar con fuerza para impulsar la innovación y ofrecer valor a sus clientes. Además, deben hacerlo al mismo tiempo que protegen su cadena de suministro de software: la enorme cantidad de integraciones y complementos en el entorno de desarrollo moderno actual.

La dinámica es brutal. Los ingenieros de seguridad son pocos frente a la demanda. Un cliente me dijo que por cada 100 desarrolladores, hay solo 1 ingeniero de seguridad. A esto se suman los presupuestos cada vez más ajustados. Según el Informe global de DevSecOps de GitLab de 2023: Seguridad sin sacrificios, el 85 % de las personas encuestadas afirmó que los presupuestos de seguridad se mantienen igual o han disminuido, lo que crea una dinámica donde la velocidad y la comodidad suelen prevalecer sobre la seguridad y el cumplimiento. Pero esa dinámica no tiene por qué ser la norma.

Creemos en un principio simple: velocidad con medidas de protección. Las tecnologías de inteligencia artificial y las soluciones de automatización aceleran la creación de código y, al combinarlas con una plataforma de DevSecOps integral, crean las medidas de protección de seguridad y cumplimiento que toda empresa necesita. Gracias a la velocidad con medidas de protección, se puede dejar atrás la disyuntiva entre innovar rápido en software y desarrollar software de forma segura. La velocidad con medidas de protección solo es posible en un mundo donde la IA y la automatización van más allá de la creación de código. De hecho, según nuestro Informe global de DevSecOps, el 62 % de los desarrolladores dijeron que usan IA o ML para verificar el código, y el 65 % ya usan (o planean usar en los próximos tres años) estas tecnologías en pruebas.

Dadas las limitaciones de recursos que enfrentan los equipos de DevSecOps, la automatización y la inteligencia artificial se convierten en un recurso estratégico. Nuestra plataforma de DevSecOps ayuda a los equipos a resolver necesidades críticas al aplicar políticas de forma automática, implementar marcos de cumplimiento, realizar pruebas de seguridad mediante funcionalidades de automatización de GitLab y proporcionar sugerencias asistidas por IA, lo que permite dejar recursos libres.

En los últimos meses, presentamos muchas funcionalidades nuevas para dar vida a este principio. Aquí tiene un adelanto.

Aumente la velocidad con sugerencias de código

Cada día, millones de desarrolladores usan GitLab para contribuir con código. En febrero, lanzamos una versión beta de nuestra funcionalidad de sugerencias de código y, desde entonces, nos hemos esforzado para poner las sugerencias de código a disposición de más desarrolladores. Durante la versión beta, las sugerencias de código son gratis para todos los clientes de GitLab Ultimate y GitLab Premium. Las sugerencias de código de GitLab pueden mejorar la productividad, el enfoque y la innovación de los desarrolladores sin cambiar de contexto, todo dentro de una sola plataforma de DevSecOps.

Las sugerencias de código son solo el comienzo de nuestro camino hacia la integración de la IA o ML en todos los aspectos del ciclo de desarrollo de software. Junto con los revisores sugeridos, hemos compartido adelantos de estas funcionalidades con tecnología de IA o ML en nuestro blog todos los jueves en una serie semanal.

Guía de vulnerabilidades asistida por IA

Según nuestro Informe global de DevSecOps, las personas encuestadas del área de seguridad que no usan una plataforma de DevSecOps tienen más probabilidades de enfrentar dificultades para identificar quién puede realizar la corrección y consideran que es difícil comprender los hallazgos de vulnerabilidades. Para ayudar a los equipos a identificar una forma efectiva de corregir una vulnerabilidad dentro del contexto de su código base específico, lanzamos una funcionalidad experimental que proporciona sugerencias de vulnerabilidad asistidas por IA de GitLab que aprovechan la capacidad de los modelos de lenguaje grandes para generar explicaciones detalladas. Esta funcionalidad combina información básica sobre vulnerabilidades con información derivada del código del cliente para explicar la vulnerabilidad en contexto, demostrar cómo puede explotarse y proporcionar un ejemplo de corrección. Las pruebas iniciales muestran un gran potencial para reducir el tiempo necesario para determinar cómo corregir una vulnerabilidad.

Esta es solo una de una serie de funcionalidades experimentales asistidas por IA que compartimos en los últimos meses para mejorar la productividad de los desarrolladores y la eficiencia en la entrega de software.

Obtenga un nuevo nivel de visibilidad con el panel de flujos de valor

Con la agilización de la productividad gracias a la IA, contar con visibilidad y transparencia es más crucial que nunca. Nuestro nuevo panel de flujos de valor proporciona información estratégica sobre las métricas que ayudan a los responsables de la toma de decisiones a identificar tendencias y patrones para optimizar la entrega de software. Estos datos se basan en las métricas DORA-4 y el flujo de entrega de valor en todos los proyectos y grupos.

El panel de flujos de valor ofrece visibilidad en cada paso del ciclo de desarrollo de software, sin necesidad de comprar o mantener una herramienta de terceros. Gracias a este panel, tendrá menos herramientas y una mayor visibilidad y transparencia, todo dentro de GitLab.

Establezca políticas de licencias y analice las licencias de software para verificar el cumplimiento

El incumplimiento o las violaciones de seguridad de una licencia mediante el uso de software con una licencia incompatible puede provocar una demanda costosa o muchas horas de trabajo de los desarrolladores para eliminar el código problemático. Hace poco lanzamos un nuevo y mejorado escáner de cumplimiento de licencia junto con políticas de aprobación de licencias. El nuevo escáner extrae información de paquetes con licencias dobles o múltiples, y analiza automáticamente más de 500 tipos de licencias, un avance considerable frente a los 20 que identificaba antes. Las políticas de aprobación de licencias ayudan a reducir el riesgo de que se utilicen licencias no aprobadas, lo que ahorra a las organizaciones tiempo y esfuerzo para garantizar de forma manual el cumplimiento.

Proteja los secretos contra filtraciones

Una reciente serie de ataques señaló como causa principal la filtración de tokens de acceso personal (PAT) en el código fuente. La detección de secretos de GitLab ofrece protección contra ese tipo de filtraciones. Ahora revocamos automáticamente los tokens de acceso personal filtrados en repositorios públicos de GitLab, lo que mitiga el riesgo de que un desarrollador confirme por error un token de acceso personal en su código. Esta funcionalidad ayuda a proteger a los usuarios de GitLab y sus organizaciones contra la exposición de credenciales y también reduce el riesgo para las aplicaciones de producción.

No basta con corregir las credenciales gestionadas en GitLab. Ahora hacemos posible responder a la filtración de secretos en proyectos públicos revocando la credencial o notificando al proveedor que la emitió. Estamos expandiendo de forma activa la lista de proveedores admitidos a los que cualquier proveedor de SaaS puede unirse para ayudarnos a proteger cualquier secreto que un desarrollador pueda usar.

Aplique de forma automática las políticas de seguridad

Aplicar de forma manual las políticas de seguridad para diferentes proyectos y las confirmaciones de código puede llevar mucho tiempo. Aplicar la automatización a la aplicación de políticas puede evitar que se omitan las reglas de seguridad sin la aprobación adecuada. Los equipos de seguridad pueden configurar reglas de políticas como las siguientes: requerir varios aprobadores en varios equipos (por ejemplo, Garantía de Calidad, Negocios o Legal), contar con un proceso de aprobación de dos pasos y uno de aprobación de excepciones para el uso de licencias fuera de la política. Dichas políticas pueden aplicarse a varios proyectos de desarrollo, a nivel de grupo o subgrupo, para facilitar el mantenimiento de un conjunto de reglas único y centralizado.

Evite los falsos positivos en las pruebas de seguridad

Según la Encuesta global de DevSecOps de 2023 de GitLab, el exceso de falsos positivos es una las tres principales frustraciones de los profesionales de la seguridad. Nuestro analizador de API DAST ahora es más preciso y reduce los falsos positivos en un 78 %, lo que facilita a los equipos de DevSecOps centrarse en las verdaderas amenazas de seguridad.

También incorporamos recientemente los motivos de anulación de vulnerabilidades para ayudar a registrar por qué se resolvieron ciertas vulnerabilidades, lo que mejora el seguimiento del cumplimiento y los informes de auditoría.

Introducimos muchas funcionalidades nuevas que permiten a nuestros clientes conseguir velocidad con medidas de protección. Mire este video de 90 segundos para ver cómo GitLab protege su cadena de suministro de software de inicio a fin.

Próximamente, más velocidad y más medidas de protección

GitLab tiene un plan de desarrollo ambicioso en 2023 para facilitar la integración de seguridad en el ciclo de desarrollo de software de nuestros clientes, de modo que puedan entregar código seguro de manera más sencilla y eficiente. Próximamente estarán disponibles las siguientes funcionalidades:

• Listas de dependencias a nivel de grupo y subgrupo: ofrecen a los usuarios una forma sencilla de visualizar las dependencias de sus proyectos, ya que gestionarlas de forma individual a nivel de proyecto puede resultar problemático para las organizaciones con cientos de proyectos.
• Análisis continuo de contenedores y dependencias: mejora la visibilidad y la puntualidad del descubrimiento de vulnerabilidades al hacer un análisis automático de nuevos hallazgos cada vez que se publica un nuevo aviso de seguridad o se cambia el código.
• Herramientas de gestión para marcos de cumplimiento: permiten a los clientes aplicar los marcos de cumplimiento a proyectos existentes y a múltiples proyectos a la vez. Actualmente, los clientes pueden aplicar marcos de cumplimiento y políticas de forma individual por proyecto.
• La ingestión de SBOM permitirá a GitLab la importación de archivos CycloneDX de herramientas de terceros para crear una fuente única para todas las dependencias de software, lo que brinda una mayor visibilidad en todo el sistema y ayuda a crear información útil.

Conozca cómo aumentar la velocidad de forma segura con los principios de Secure by Design.