Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Aug 18, 2023
Lemos de GitLab : l'IA et l'automatisation sont la clé du DevSecOps
Lemos de GitLab : l'IA et l'automatisation sont la clé du DevSecOps Votre e-mail a été envoyé Josh Lemos, RSSI de GitLab, sur la sécurisation du CI/CD des logiciels avec des outils d'IA génératifs et sur la manière dont l'automatisation permet une
Lemos de GitLab : l'IA et l'automatisation sont la clé du DevSecOps
Votre e mail a été envoyé
Josh Lemos, RSSI de GitLab, parle de la sécurisation du CI/CD des logiciels avec des outils d'IA générative et de la manière dont l'automatisation permet une sécurité continue dans la chaîne d'approvisionnement du développement logiciel.
GitLab, comme son concurrent GitHub, est né du projet open source Git et est toujours une entreprise open-core (c'est-à-dire une entreprise qui commercialise des logiciels open source auxquels chacun peut contribuer). Depuis son lancement en 2011 en tant que plate-forme de partage de code open source, son progiciel DevOps a atteint plus de 30 millions d'utilisateurs. En mai 2023, la société a lancé de nouvelles capacités d'IA dans sa plateforme DevSecOps avec GitLab 16, comprenant près de 60 nouvelles fonctionnalités et améliorations, selon la société.
Lors de la conférence Black Hat 2023 ce mois-ci, Josh Lemos, responsable de la sécurité de l'information chez GitLab, a parlé avec TechRepublic de DevSecOps et de la manière dont l'entreprise intègre des fonctionnalités de sécurité dans sa plate-forme, et de la manière dont l'IA accélère l'intégration continue et facilite le déplacement de la sécurité vers la gauche. . Lemos explique que GitLab a ses racines dans la gestion du code source, l'intégration continue et les pipelines ; une fonderie, si vous voulez, pour créer des logiciels.
Sauter à:
Karl Greenberg :Pouvez-vous parler de votre rôle chez GitLab ?
Josh Lemos : Premièrement, lorsque la sécurité a été intégrée au DevOps et à l’ensemble du cycle de vie du code, cela nous a donné l’opportunité d’insérer la sécurité plus tôt dans la chaîne de construction. En tant que RSSI, j'ai essentiellement un rôle méta en aidant les entreprises à sécuriser leurs pipelines de construction. Ainsi, non seulement j'aide GitLab et je fais ce que je ferais pour n'importe quelle entreprise en tant que RSSI, en termes de sécurisation de nos propres logiciels de produits, mais je le fais également à grande échelle pour des milliers d'entreprises.
VOIR : Quelles sont les implications de l’IA générative pour la cybersécurité ? Chez Black Hat, des experts discutent (TechRepublic)
Karl Greenberg :Dans cet écosystème de référentiels, comment GitLab se différencie-t-il, par exemple, de GitHub ?
Josh Lemos : Cet écosystème est fondamentalement un duopole. GitHub est davantage orienté vers la gestion du code source et les phases de construction ; GitLab s'est concentré sur DevSecOps ou sur l'ensemble de la chaîne de construction, donc l'infrastructure en tant que code et l'intégration continue – tout le cycle jusqu'à la production.
Karl Greenberg :Lorsque vous examinez les chaînes de destruction des acteurs malveillants au cours de ce cycle, les attaques que DevSecOps vise à contrecarrer – les attaques de la chaîne d'approvisionnement utilisant Log4j, par exemple – il ne s'agit pas d'un acteur motivé financièrement qui demande une rançon, n'est-ce pas ?
Josh Lemos : Ce serait un résultat, bien sûr, mais les ransomwares sont une fin de jeu assez limitée. Je pense que ce qui est le plus intéressant du point de vue d'un attaquant, c'est de trouver comment maintenir le silence, sans être détecté pendant une longue période. En fin de compte, l'objectif [des attaquants] est soit de compromettre les données, soit d'obtenir des informations sur une entreprise, un gouvernement ou toute organisation pour diverses raisons ; cela peut être motivé par des raisons financières, politiques ou motivées par la compromission de la propriété intellectuelle.
Karl Greenberg :Ou, quand je pense à la présence persistante d'un acteur menaçant dans un réseau, je suppose que c'est ce que font les courtiers d'accès.
Josh Lemos : En général, les attaquants ne veulent pas brûler leur accès, alors oui, ils veulent conserver ces enregistrements de persistance le plus longtemps possible. Donc, pour en revenir à la première question, mon objectif dans tout cela est de créer un environnement dans lequel les entreprises peuvent sécuriser efficacement leurs pipelines de construction, limiter l'accès à leurs secrets et utiliser la sécurité du cloud et les contrôles de sécurité CI/CD à grande échelle.
VOIR : Révision de l'outil GitLab CI/CD (TechRepublic)
Karl Greenberg : GitHub a connu un grand succès avec l'adoption de Copilot. Quelles sont les innovations en IA générative de GitLab ?
Josh Lemos : Nous disposons de plus d'une douzaine de fonctionnalités d'IA, certaines conçues pour effectuer des tâches telles que la génération de code, un cas d'utilisation évident ; notre version de Copilot, par exemple, est GitLab Duo. Nous disposons d'autres fonctionnalités d'IA qui sont très utiles pour suggérer des modifications et réviser des projets : nous pouvons voir qui a contribué au projet, qui pourrait vouloir examiner ce changement, puis formuler ces recommandations à l'aide de l'IA. Ainsi, tous ces outils automatisent l’intégration de la sécurité dans le développement sans que les développeurs aient à ralentir et à rechercher des erreurs.