Velocità abbinata a misure protettive: IA, automazione, velocità e sicurezza, senza compromessi

Gli esperti di tecnologia si trovano sotto forte pressione: nonostante le risorse limitate, devono comunque tenere un piede sull'acceleratore per guidare l'innovazione e fornire valore ai clienti. E devono farlo proteggendo la loro catena di fornitura del software, ossia la quantità apparentemente infinita di integrazioni e componenti aggiuntivi nell'ambiente di sviluppo moderno.

È una dinamica brutale, che vede i tecnici della sicurezza in inferiorità numerica. Stando a quanto mi ha riferito un cliente, c'è solo 1 esperto di sicurezza ogni 100 sviluppatori. Aggiungiamo a questo i tagli ai budget (secondo il GitLab Global DevSecOps Report 2023: Security Without Sacrifices, l'85 % degli intervistati ha dichiarato che la quantità di fondi stanziata per la sicurezza è invariata o ridotta), e otteniamo una situazione in cui la velocità e la comodità prevalgono sulla sicurezza e sulla conformità.

Ma questo panorama non deve essere la norma.

Il nostro mantra è semplice: velocità abbinata a misure protettive. Le tecnologie di intelligenza artificiale e le soluzioni di automazione accelerano la creazione del codice e, se unite a una piattaforma DevSecOps completa, permettono di implementare le misure di sicurezza e conformità di cui ogni azienda ha bisogno. Velocità abbinata a misure protettive significa non dover più sacrificare la rapidità dell'innovazione software a favore di uno sviluppo sicuro. Questo è possibile solo in un mondo in cui l'IA e l'automazione vanno oltre la creazione del codice. Secondo il nostro Global DevSecOps Report, il 62 % degli sviluppatori dichiara di usare strumenti di IA/ML per controllare il codice e il 65 % li usa nelle attività di test, o prevede di farlo nei prossimi tre anni.

Considerati i vincoli di risorse dei team DevSecOps, l'automazione e l'intelligenza artificiale diventano una combinazione strategica. La piattaforma DevSecOps di GitLab aiuta a colmare le lacune critiche applicando automaticamente i criteri e i framework di conformità, eseguendo test di sicurezza con le funzionalità di automazione integrate e fornendo consigli assistiti dall'IA, liberando quindi risorse preziose.

Negli ultimi mesi, abbiamo introdotto una serie di novità per mettere in pratica questo mantra. Ecco un assaggio.

Più velocità con i suggerimenti di codice

Ogni giorno, milioni di sviluppatori usano GitLab come aiuto alla scrittura di codice. A febbraio abbiamo lanciato una versione beta della funzionalità Suggerimenti di codice, e da allora abbiamo lavorato per ampliarne la disponibilità a più sviluppatori. Nella versione beta, i suggerimenti di codice sono gratuiti per tutti i clienti Ultimate e Premium. Questa funzionalità di GitLab può migliorare la produttività, la concentrazione e l'innovazione degli sviluppatori senza cambio di contesto e all'interno di un'unica piattaforma DevSecOps.

I suggerimenti di codice sono solo l'inizio del nostro percorso di integrazione di IA/ML in tutti gli aspetti del ciclo di sviluppo software. Oltre al suggerimento dei revisori, abbiamo condiviso le anteprime di queste funzionalità basate su AI/ML nel nostro blog con una serie di articoli settimanali pubblicati ogni giovedì.

Guida alle vulnerabilità assistita dall'IA

In base al nostro Global DevSecOps Report, gli intervistati che non usano una piattaforma DevSecOps hanno più difficoltà a identificare chi può eseguire la correzione e a comprendere i risultati delle vulnerabilità. Per aiutare i team a identificare un modo efficace per risolvere una vulnerabilità nel contesto della loro codebase specifica, abbiamo rilasciato una funzionalità sperimentale che fornisce consigli sulle vulnerabilità assistiti dall'IA di GitLab sfruttando il potere esplicativo dei modelli linguistici di grandi dimensioni. Questa funzionalità combina le informazioni di base sulla vulnerabilità con gli approfondimenti derivati dal codice del cliente per spiegare la vulnerabilità nel contesto, dimostrare come può essere sfruttata e fornire un esempio di correzione. I test iniziali mostrano risultati promettenti in termini di riduzione del tempo necessario per determinare la correzione di una vulnerabilità.


Questa è solo una delle numerose funzionalità sperimentali assistite dall'IA che abbiamo condiviso negli ultimi mesi per migliorare la produttività degli sviluppatori e l'efficienza della distribuzione software.

Più visibilità con la dashboard dei flussi di valore

Con l'accelerazione della produttività dovuta all'IA, la visibilità e la trasparenza hanno acquistato un'importanza senza precedenti. La nuova dashboard dei flussi di valore fornisce approfondimenti strategici sulle metriche utili per i responsabili delle decisioni a identificare tendenze e modelli per ottimizzare la distribuzione software. Questi dati si basano sulle metriche DORA4 e sul flusso di distribuzione del valore tra progetti e gruppi.

La dashboard dei flussi di valore offre visibilità in ogni fase del ciclo di sviluppo software, senza la necessità di acquistare o mantenere uno strumento di terze parti. Il risultato? Meno strumenti, più visibilità e trasparenza, tutto all'interno di GitLab.

Impostazione di criteri di licenza e analisi della conformità delle licenze software

La violazione di una licenza tramite l'utilizzo di software incompatibile può sfociare in una causa legale costosa o in un lungo lavoro da parte degli sviluppatori per rimuovere il codice problematico. Recentemente abbiamo rilasciato uno scanner di conformità delle licenze nuovo e migliorato, insieme ai criteri di approvazione delle licenze. Il nuovo scanner estrae le informazioni sulle licenze dai pacchetti con doppia licenza o con più licenze applicabili, e analizza e identifica automaticamente oltre 500 diversi tipi di licenze, un netto aumento rispetto ai 20 tipi di licenze precedenti. I criteri di approvazione aiutano a ridurre al minimo il rischio che vengano impiegate licenze non approvate, consentendo alle aziende di risparmiare tempo e fatica nella garanzia manuale della conformità.

!

dependencies list

Stop alla fuga dei segreti

Una recente serie di attacchi ha mostrato che la causa derivava dai token di accesso personale (PAT) trapelati nel codice sorgente. Il rilevamento dei segreti di GitLab può proteggere da questo pericolo. Ora, infatti, revochiamo automaticamente i PAT trapelati nei repository pubblici di GitLab, mitigando il rischio che uno sviluppatore esegua erroneamente il commit di un PAT nel proprio codice. Questa funzionalità aiuta a proteggere gli utenti di GitLab e le loro aziende dall'esposizione delle credenziali e riduce i rischi per le applicazioni di produzione.

Ma non ci limitiamo a offrire la correzione delle credenziali gestite da GitLab. Oggi forniamo anche la risposta a segreti svelati in progetti pubblici revocando le credenziali o informando il fornitore che le ha rilasciate. L'elenco dei fornitori supportati a cui può aderire qualsiasi fornitore SaaS è in continua espansione, e ci aiuta a proteggere i segreti che uno sviluppatore potrebbe usare.

Applicazione automatica dei criteri di sicurezza

L'applicazione manuale dei criteri di sicurezza per diversi progetti e commit di codice può richiedere molto tempo. L'applicazione automatica, invece, può impedire che le regole di sicurezza vengano aggirate senza un'adeguata approvazione. I team della sicurezza possono configurare una serie di criteri, come richiedere più approvatori in vari gruppi di lavoro (ad esempio QA, Business, Legal), un processo di approvazione in due fasi e l'approvazione delle eccezioni per l'uso di licenze non conformi a tali criteri. Questi ultimi possono essere applicati a vari progetti di sviluppo, a livello di gruppo o sottogruppo, per mantenere facilmente un unico set di regole centralizzato.

Addio ai falsi positivi nei test di sicurezza

Secondo quanto emerso dal Global DevSecOps Survey 2023 di GitLab, la presenza di troppi falsi positivi è tra i primi tre aspetti più frustranti per i professionisti della sicurezza. Il nostro strumento di analisi dell'API DAST è ora più accurato e riduce i falsi positivi di circa il 78 %, rendendo più facile per i team DevSecOps concentrarsi sulle vere minacce alla sicurezza.

Abbiamo anche introdotto i motivi di esclusione delle vulnerabilità per aiutare a tenere traccia del motivo per cui le vulnerabilità sono state risolte, migliorando il monitoraggio della conformità e la creazione di report sull'audit.

GitLab offre molte altre nuove funzionalità che consentono ai nostri clienti di ottenere la velocità abbinata a misure protettive. Guarda questo video di 90 secondi per scoprire come GitLab protegge la tua catena di fornitura del software end-to-end.

Più velocità, più misure protettive in arrivo

GitLab ha una roadmap ambiziosa per il 2023, che punta a semplificare l'integrazione della sicurezza nel ciclo di sviluppo software dei nostri clienti, in modo che possano distribuire codice sicuro in modo più facile ed efficiente. Le funzionalità in arrivo includono:

• Elenchi delle dipendenze a livello di gruppo e sottogruppo, che forniscono agli utenti un modo semplice per visualizzare le dipendenze dei loro progetti, poiché la loro gestione a livello di progetto può essere complessa per le aziende con centinaia di attività.
• Analisi continua di container e dipendenze, che migliora la visibilità e la tempestività del rilevamento delle vulnerabilità eseguendo automaticamente l'analisi di nuovi risultati ogni volta che viene pubblicato un nuovo avviso di sicurezza o viene modificato il codice.
• Strumenti di gestione per i framework di conformità, che consentono ai clienti di applicarli a progetti esistenti e a più progetti contemporaneamente. Attualmente, è possibile applicare framework e criteri di conformità individualmente per ogni progetto.
• Inserimento delle SBOM, che consentirà a GitLab di importare file CycloneDX da strumenti di terze parti per creare un'unica fonte per tutte le dipendenze del software, offrendo una visibilità maggiore a livello di sistema e contribuendo a creare approfondimenti utili.

Scopri come aumentare la velocità in sicurezza con i principi Secure by Design.