Agilidade com limites seguros: IA, automação e eliminação do conflito entre segurança e velocidade

As equipes de tecnologia estão sob intensa pressão. Elas têm recursos limitados, mas ainda precisam manter o pé firme no acelerador para impulsionar a inovação e agregar valor aos seus clientes. E precisam fazer isso enquanto protegem a cadeia de suprimentos de software, com uma quantidade aparentemente infinita de integrações e complementos no ambiente de desenvolvimento moderno de hoje.

A dinâmica é brutal. Os engenheiros de segurança estão em desvantagem. Um cliente me disse que, para cada 100 desenvolvedores, há apenas 1 engenheiro de segurança. Combine isso com orçamentos cada vez menores, de acordo com o Relatório Global de DevSecOps do GitLab de 2023: segurança sem sacrifícios, 85% dos participantes disseram que os orçamentos de segurança são fixos ou reduzidos, e você terá uma dinâmica em que a velocidade e a conveniência superam a segurança e a conformidade.

Mas essa dinâmica não precisa ser a norma.

Acreditamos em um mantra simples: agilidade com limites seguros. As tecnologias de inteligência artificial e as soluções de automação aceleram a criação de código e, quando combinadas com uma plataforma DevSecOps abrangente, criam os limites de segurança e conformidade de que toda empresa precisa. "Agilidade com limites seguros" significa não precisar mais escolher entre inovar rapidamente e desenvolver software com segurança. Agilidade com limites seguros só existe em um mundo onde a IA e a automação vão além da criação de código. De fato, nosso Relatório Global de DevSecOps descobriu que 62% dos desenvolvedores afirmam usar IA/ML para verificar o código e 65% dos desenvolvedores estão usando, ou planejam usar nos próximos três anos, IA/ML em iniciativas de teste.

Dadas as restrições de recursos que as equipes de DevSecOps enfrentam, a automação e a inteligência artificial se tornam um recurso estratégico. Nossa plataforma DevSecOps ajuda as equipes a preencher lacunas críticas enquanto aplica políticas automaticamente, adota estruturas de conformidade, executa testes de segurança com os recursos de automação do GitLab e oferece recomendações auxiliadas por IA, liberando recursos no processo.

Nos últimos meses, introduzimos uma série de novos recursos e funcionalidades para dar vida a esse mantra. Confira aqui uma prévia.

Aumente a velocidade com as sugestões de código

Todos os dias, milhões de desenvolvedores usam o GitLab para contribuir com código. Em fevereiro, lançamos uma versão beta do nosso recurso de sugestões de código e, desde então, temos trabalhado muito para disponibilizar as sugestões de código para mais desenvolvedores. Durante a versão beta, as sugestões de código são gratuitas para todos os clientes dos planos Ultimate e Premium. As sugestões de código do GitLab podem melhorar a produtividade, o foco e a inovação dos desenvolvedores sem alternância de contexto e em uma única plataforma DevSecOps.

As sugestões de código são apenas o começo da nossa jornada para incorporar IA/ML em todas as etapas do ciclo de vida do desenvolvimento de software. Juntamente com os revisores sugeridos, temos compartilhado prévias desses recursos com tecnologia de IA/ML em nosso blog todas as quintas-feiras em uma série semanal.

Orientação de vulnerabilidade auxiliada por IA

De acordo com o nosso relatório global de DevSecOps, os entrevistados de segurança que não usam uma plataforma DevSecOps têm maior probabilidade de ter dificuldade para identificar quem pode realizar a remediação e consideram difícil entender as descobertas de vulnerabilidades. Para ajudar as equipes a identificar uma maneira eficaz de corrigir uma vulnerabilidade no contexto de sua base de código específica, lançamos um recurso experimental que oferece recomendações de vulnerabilidade auxiliadas por IA do GitLab, aproveitando o poder explicativo de modelos de linguagem de grande porte. Esse recurso combina informações básicas sobre vulnerabilidades com insights extraídos do código do cliente para explicar a falha em seu contexto, mostrar como ela pode ser explorada e oferecer um exemplo de correção. Os testes iniciais mostram uma promessa significativa na redução do tempo para determinar uma correção para uma vulnerabilidade.

Este é apenas um dos vários recursos experimentais auxiliados por IA que compartilhamos nos últimos meses para melhorar a produtividade dos desenvolvedores e a eficiência da entrega de software.

Obtenha um novo nível de visibilidade com o painel de fluxos de valor

Com a IA acelerando a produtividade, a visibilidade e a transparência nunca foram tão importantes. Nosso novo painel de fluxos de valor oferece insights estratégicos sobre métricas que ajudam responsáveis pela tomada de decisões a identificar tendências e padrões para otimizar a entrega de software. Esses dados são baseados nas métricas Dora4 e no fluxo de entrega de valor em projetos e grupos.

O painel de fluxos de valor oferece visibilidade em todas as etapas do ciclo de vida de entrega de software, sem a necessidade de comprar ou manter uma ferramenta de terceiros. O resultado: menos ferramentas, maior visibilidade e mais transparência, tudo dentro do GitLab.

Defina políticas de licença e verifique a conformidade das licenças de software

A violação ou o comprometimento da segurança de uma licença por meio do uso de software com uma licença incompatível pode resultar em uma ação judicial cara ou em muitas horas de trabalho dos desenvolvedores para remover o código problemático. Recentemente, lançamos um novo e aprimorado scanner de conformidade de licença, juntamente com políticas de aprovação de licença. O novo scanner extrai informações de pacotes com licenças duplas ou múltiplas licenças aplicáveis e analisa automaticamente mais de 500 tipos diferentes de licenças, o que representa um aumento significativo em relação às apenas 20 identificadas anteriormente. As políticas de aprovação de licenças ajudam a minimizar o risco de uso de licenças não aprovadas, economizando tempo e esforço das empresas para garantir a conformidade manualmente.

Proteja segredos contra vazamentos

Uma série de ataques recente apontou para o vazamento de tokens de acesso pessoal (PATs) no código-fonte como a origem. A detecção de segredos do GitLab pode proteger você contra isso. Agora, revogamos automaticamente os PATs vazados em repositórios públicos do GitLab, mitigando o risco de um desenvolvedor cometer um PAT por engano em seu código. Esse recurso ajuda a proteger os usuários do GitLab e suas empresas contra a exposição de credenciais de acesso, reduzindo os riscos para aplicações em produção.

Não paramos na remediação de credenciais gerenciadas pelo GitLab. Agora, oferecemos apoio para responder a segredos vazados em projetos públicos revogando a credencial ou notificando o fornecedor que a emitiu. Estamos ampliando ativamente a lista de fornecedores compatíveis, e qualquer fornecedor de SaaS pode participar do programa para nos ajudar a proteger os segredos usados por desenvolvedores.

Aplicação automática de políticas de segurança

A aplicação manual de políticas de segurança para diferentes projetos e commits de código pode ser demorada. A automação da aplicação de políticas ajuda a evitar que regras de segurança sejam ignoradas sem a devida aprovação. As equipes de segurança podem configurar regras de política, como exigir diversos aprovadores em várias equipes (por exemplo, QA, Negócios, Jurídico), um processo de aprovação em duas etapas e aprovação de exceções para o uso de licenças fora da política. Essas políticas podem ser aplicadas a vários projetos de desenvolvimento, no nível de grupo ou subgrupo, para facilitar a manutenção de um único conjunto de regras centralizado.

Evite falsos positivos nos testes de segurança

Os profissionais de segurança reportam que muitos falsos positivos estão entre suas três principais frustrações, de acordo com a Pesquisa Global de DevSecOps de 2023 do GitLab. Nosso Analisador de API de DAST agora é mais preciso e reduz os falsos positivos em cerca de 78%, facilitando para as equipes de DevSecOps se concentrarem nas verdadeiras ameaças à segurança.

Também acabamos de introduzir motivos de descarte de vulnerabilidades para ajudar a acompanhar por que elas foram resolvidas e melhorar o monitoramento de conformidade e os relatórios de auditoria.

Introduzimos muitos recursos novos que permitem que nossos clientes ganhem agilidade com limites seguros. Assista a este vídeo de 90 segundos para ver como o GitLab protege sua cadeia de suprimentos de software de ponta a ponta.

Mais velocidade, mais verificadores de integridade em breve

O GitLab tem um roadmap ambicioso para 2023 para facilitar a integração da segurança no ciclo de vida de entrega de software dos nossos clientes, para que eles possam entregar código seguro com mais facilidade e eficiência. Os recursos que serão lançados em breve incluem:

• Listas de dependências em nível de grupo e subgrupo, que oferecem uma forma simples para visualizar as dependências dos projetos. Gerenciar dependências em nível de projeto pode ser problemático para empresas com centenas de projetos.
• Análise contínua de contêineres e dependências: melhora a visibilidade e a pontualidade da descoberta de vulnerabilidades, verificando automaticamente novas descobertas sempre que um novo aviso de segurança é publicado ou o código é alterado.
• Ferramentas de gestão para estruturas de conformidade permitem que os clientes apliquem as estruturas de conformidade a projetos atuais e a vários projetos de uma só vez. Atualmente, os clientes podem aplicar estruturas e políticas de conformidade individualmente por projeto.
• O recurso de ingestão de SBOM permitirá que o GitLab importe arquivos CycloneDX de ferramentas de terceiros para reunir todas as dependências de um software em uma fonte única, ampliando a visibilidade em todo o sistema e facilitando a geração de insights acionáveis.

Saiba como aumentar a agilidade com segurança com os princípios de Segurança por Design.