La società tecnologica europea Cube gestisce un software sicuro con l'IA usando GitLab Duo

Per Cube, la decisione di adottare GitLab Ultimate è stata una svolta che ha fornito nuovi stimoli all'intera azienda. Quasi tutta la sua forza lavoro opera all'interno di un framework DevSecOps che si dedica a creare, mettere in sicurezza ed eseguire il deployment dei prodotti in modo efficiente. Dall'adozione di GitLab nel 2019, Cube ha continuamente cercato modi per ottimizzare i propri processi. Nella primavera del 2024 ha ampliato il proprio toolkit con GitLab Duo, che aggiunge funzionalità di IA al piano GitLab Ultimate: questa novità ha migliorato la capacità di fornire applicazioni software e siti web e di gestire i dati in background per i clienti.

Cube sfrutta una vasta gamma di funzionalità di Ultimate, dall'automazione alla scansione della sicurezza, fino alla gestione del flusso di valore; uno dei principali motivi per cui ha effettuato l'aggiornamento all'inizio di quest'anno, però, è la possibilità di usare GitLab Duo. Il team DevSecOps desiderava usare l'IA per accelerare la creazione di codice e avere un assistente in formato chat.

Innanzitutto, Cube ha provato lo strumento Copilot di GitHub e l'assistente di IA JetBrains. Nessuno dei due ha fornito l'integrazione di IA fluida che il team voleva nell'intero ciclo di sviluppo software. Cube aveva infatti bisogno di una singola piattaforma in cui tutti i membri del team, sviluppatori, ingegneri di test, specialisti della sicurezza e project manager potessero usare GitLab Duo.

"Abbiamo scelto GitLab Duo perché ha alcune funzionalità, come i suggerimenti di codice, la generazione di test e i riepiloghi, che ci hanno subito permesso di essere più efficienti", racconta Mans Booijink, responsabile delle operazioni di Cube. "Volevamo usare un intero pacchetto di funzionalità di IA su un'unica piattaforma".

Cube ha iniziato a utilizzare GitLab Duo nella primavera del 2024, immergendosi nel mondo dell'IA inizialmente con i suggerimenti di codice e con GitLab Duo Chat, un assistente conversazionale basato sull'IA. I vantaggi sono stati evidenti da subito, in particolare per gli sviluppatori junior che avevano più bisogno di aiuto nello sviluppo del codice e nel comprendere lunghe liste di richieste o commenti.

"Siamo ancora nella fase iniziale dell'utilizzo dell'IA e principalmente sfruttiamo i suggerimenti di codice, ma i dipendenti si sono già detti felici dei miglioramenti, perché possono ridurre le attività manuali e risparmiare tempo", afferma Booijink. "Quando uno sviluppatore ha un ticket con 20 o 30 commenti, può essere difficile risolverli tutti. Ma con Duo Chat può chiedere al sistema cosa è più importante o quali sono i passaggi da svolgere. Duo Chat offre una panoramica veloce che indica la giusta direzione e accorcia i tempi."

L'uso dell'IA in Cube è solo agli inizi, ma i risultati sono già sotto gli occhi di tutti.

Gli sviluppatori hanno usato GitLab Duo per migliorare e aggiungere nuove funzionalità a un'app mobile per un cliente di lunga data. L'app consente di analizzare e gestire il consumo giornaliero di gas o elettricità e di sapere quanta parte dell'energia è stata prodotta dai pannelli solari.

Grazie ai suggerimenti di codice e alle spiegazioni del codice, gli sviluppatori hanno risparmiato tempo e fatica, fornendo rapidamente i miglioramenti richiesti a un cliente di punta.

Cube sta già pianificando come espandere l'uso dell'IA nei propri team e nell'intero ciclo di sviluppo.

"Vogliamo usare tutte le funzionalità di IA disponibili in GitLab Duo per sviluppare software sicuri più velocemente", afferma Booijink. "È importante per la nostra attività. Dobbiamo essere veloci ed efficienti per rimanere competitivi sul mercato. Ciò significa che dobbiamo usare funzionalità di IA, ad esempio i riepiloghi delle richieste di merge, le spiegazioni delle vulnerabilità e i riepiloghi dei ticket e delle richieste di merge nell'intero ciclo di sviluppo software. Ci piace il fatto che, con GitLab, tutto sia riunito in un unico sistema."

Booijink non vede l'ora che i suoi team inizino a usare funzionalità di IA incentrate sulla sicurezza, per rilevare e generare avvisi immediati sui potenziali rischi del codice prima ancora che entrino nelle richieste di merge. In futuro Booijink, che è entusiasta della roadmap di GitLab per le funzionalità self-hosted, intende anche usare l'IA per risolvere le vulnerabilità.

"Mi interessano molto i piani di espansione di GitLab con funzionalità self-hosted", ha dichiarato Booijink. "Vogliamo provare tutte le funzionalità non appena sono pronte, perché ci aiuteranno a risparmiare ancora più tempo e a diventare più efficienti.

Di pari passo con l'aumento delle funzionalità di IA, Booijink vuole incrementare anche il numero di dipendenti che usano GitLab Duo: spera che entro la fine del 2024 tutti i team DevSecOps usino l'IA, dal 60% del luglio dello stesso anno. In questo momento alcuni sviluppatori usano ancora Copilot, ma Booijink si aspetta che passeranno a GitLab Duo da soli, come già fatto dai loro colleghi, quando noteranno che questa piattaforma permette di usare l'IA non solo per semplici suggerimenti di codice.

"Sì, i suggerimenti sono utili, ma il lavoro del personale DevSecOps è molto più diversificato, non comprende solo la scrittura e il controllo del codice", aggiunge. "Vogliamo migliorare l'intero ciclo di sviluppo. Ed è qui che possiamo davvero aumentare l'efficienza. Questo sarà il motivo per cui tutti passeranno a GitLab Duo".

Cube ha offerto alcuni corsi di formazione sull'IA, e prevede di aumentarli in futuro. I dipendenti vogliono aumentare costantemente il ricorso all'IA, sia tra i team che nell'intero ciclo di sviluppo, perciò ritengono necessaria la formazione per tenere il passo con questa espansione.

Si dovrà quindi incentivare i colleghi con più esperienza a fare da mentori agli altri e a collaborare al processo.

"Vogliamo aiutare i nostri team, ma stiamo anche incoraggiando i dipendenti a comunicare tra loro e a sostenersi a vicenda", afferma Booijink, sottolineando che Cube offrirà corsi anche tramite GitLab University. "Abbiamo già visto che le persone condividono le proprie conoscenze sull'uso dell'IA in GitLab per i suggerimenti di codice. Abbiamo organizzato sessioni di condivisione il venerdì, dove mostriamo esempi su un grande schermo. Ci piace imparare gli uni dagli altri".

Usare GitLab Duo era solo uno dei motivi per cui Cube voleva passare da Premium a Ultimate. L'azienda voleva anche usare le funzionalità di sicurezza automatiche aggiuntive come l'analisi delle dipendenze, i test statici e dinamici della sicurezza delle applicazioni e il rilevamento dei segreti. I team DevSecOps hanno immediatamente iniziato a implementare le nuove funzionalità di sicurezza perché sapevano che li avrebbero aiutati a ottenere la certificazione ISO 27001, che è uno standard internazionale di sicurezza delle informazioni.

"È più facile sviluppare software sicuri senza perdere velocità nello sviluppo o nel deployment", dice Booijink. "Abbiamo scanner automatici che analizzano tutto il nuovo codice e abbiamo approvato regole che garantiscono che ogni vulnerabilità venga gestita adeguatamente, indipendentemente da chi sta lavorando a quel codice. In questo modo è più facile proteggere il nostro software, ma è anche meglio per i nostri clienti, perché hanno la certezza che qualsiasi problema viene sempre gestito correttamente".

Il cuore del DevSecOps è la collaborazione. Si tratta di uno gioco di squadra, dove una singola piattaforma end-to-end favorisce il lavoro comune.

Booijink osserva che grazie a epic, ticket, traguardi e iterazioni in GitLab, i team sono sempre al corrente degli sviluppi e dello stato dei progetti, possono dire la propria e aiutarsi a vicenda. "Usano GitLab fin dalle prime fasi di pianificazione di un progetto", afferma. "Comunicano i passi da intraprendere tramite i ticket. Inoltre, i clienti e altri stakeholder possono essere coinvolti come utenti ospiti, collaborando in GitLab, ponendo domande e fornendo risposte. È molto più efficiente che inviare continuamente email".

Come racconta Booijink, i clienti possono persino aprire i propri ticket per sollevare dubbi o presentare richieste. "È fantastico entrare in contatto con i clienti, mostrare informazioni approfondite sulle nostre attività e sul perché le stiamo facendo, comunicare a che punto è il processo e ricevere rapidamente la loro opinione", aggiunge Booijink. "È un ambiente molto più collaborativo".

La gestione del flusso di valore, che mira a migliorare la sicurezza e i processi DevSecOps, è stata importante per i team di Cube. Sono stati fatti grandi passi avanti, usando la piattaforma di GitLab per creare una dashboard dei flussi di valore che segnala dove si verificano ostacoli e rallentamenti. Risolvere i problemi è infatti più facile e veloce se si sa quali sono e quando si verificano.

Queste informazioni rapide permettono a Cube di rimanere in linea con le aspettative dei clienti.

"Riusciamo a stare al passo con i tempi di risposta previsti dal contratto di servizio", spiega Booijink. "Quando i clienti creano un nuovo ticket per un progetto, il nostro tempo di risposta è previsto dal contratto. Monitorando queste dashboard, vediamo a che punto siamo con il time-to-market previsto. Dal momento che dobbiamo dare ai clienti aggiornamenti regolari sui nostri tempi di risposta, le dashboard ci forniscono le informazioni di cui abbiamo bisogno, ci permettono di risolvere i colli di bottiglia e di migliorare le tempistiche".

Sviluppare queste dashboard critiche è stato più facile per Cube, che ha potuto farlo nell'ambito della piattaforma. "Sarebbe stato molto più difficile senza GitLab", racconta Booijink. "È stato facile da usare, e ora abbiamo una chiara comprensione dei processi, dei numeri e di cosa c'è dietro tutti quei dati. Inoltre, funziona allo stesso modo per ogni progetto".

Come spiega Booijink, tutte le funzionalità di Ultimate, come IA, scansione automatica della sicurezza o gestione del flusso di valore, fanno tutte parte di un'unica piattaforma, che semplifica il lavoro per i dipendenti Cube che usano GitLab.