Github представила новый инструмент на основе AI для устранения долга по обеспечению безопасности во вторник для своих клиентов Github Advanced Security и Github Code. Теперь организации могут проводить кампании безопасности, которые помогают выявлять и исправлять существующие проблемы безопасности от рабочих процессов GitHub разработчиков.
«Наши данные показывают, что задолженность по безопасности является самым большим невыделенным риском, с которым сталкиваются клиенты: исторически, только 10% затяжной задолженности по обеспечению безопасности в объединенном коде получается, что означает, что до сегодняшнего дня 90% рисков не стали приоритетными», — написал во вторник старший менеджер по продукту Github Джеймс Флетчер, объявив общую доступность кампаний безопасности в блоге компании. «Теперь наши данные показывают, что 55% долговых долгов, включенных в кампании безопасности, фиксируются».
Он опирается на агент, сканирующий кодового кода AI, называемый Copilot Autofix, который был выпущен в 2023 году. Сканирование запускается либо по расписанию, либо по указанным событиям, таким как толкание в филиал или открытие запроса на вытяжение.
Кампании по безопасности решают долг безопасности
Кампании по безопасности — это не только исправление уязвимости, сказал Marcelo Oliveira, новый вице -президент Github по продукту, сказал The New Stack. Кампании по безопасности предназначены для устранения долга по обеспечению безопасности, который существует в коде, уже в производстве.
«В большинстве организаций мы говорим о тысячах или десятках тысяч уязвимостей, которые сидят на отставании, и эти организации не могут решить все эти проблемы», — сказал он.
Область означает, что эти проблемы, как правило, остаются.
«Мы не смогли действительно радикально помочь людям исправить или снизить риск безопасности», — сказал Оливейра. «Квартал за квартал, год за годом, я ходил бы к клиентам, и тенденции уязвимости продолжают тенденцию к тому, чтобы вправаться, вместо того, чтобы по -настоящему улучшаться».
Кампании безопасности нацелены на эти существующие уязвимости, исправляя давние проблемы из рабочего процесса Github разработчика. Кампании безопасности даже поставляются с предопределенными шаблонами, основанными на широко используемых темах, чтобы помочь в масштабе кампании. Например, один шаблон — 10 лучших известных эксплуатируемых уязвимостей Miter.
Обзор безопасности GitHub также предоставляет организациям статистику и показатели, обобщающие их общий ландшафт рисков.
«Дело не в том, что разработчики не хотят решать проблему», — сказала Оливейра. «Это просто конкурирующий приоритет для них, так что [we’re] пытаясь выполнить как можно большую часть работы, чтобы уменьшить эти накладные расходы для них ».
После кампаний безопасности в GitHub есть поддержка, чтобы помочь коду оставаться чистым и обеспечить, чтобы разработчик не внедряет новые уязвимости в процессы, добавил он.
По словам Оливейры, чтобы сохранить это таким образом, кампании безопасности позволяют «разработчикам и людям безопасности сотрудничать, на каких проблемах я должен решить первым, чтобы снизить риск моих приложений по всей моей организации?»
автоматизация устранения уязвимостей
Кампании по безопасности, по словам Оливейра, сортируют и расставляют приоритеты в отношении проблем безопасности в нормальном жизненном цикле разработки программного обеспечения, а затем создают стратегию для обращения этой тенденции.
Когда менеджер по безопасности приложений создает кампанию безопасности, они описывают набор уязвимостей, которые организация хочет исправить.
Например, менеджер по безопасности приложений может захотеть искоренить все уязвимости в инъекциях SQL в организации в приложениях, которые подвергаются воздействию Интернета. Решение позволяет менеджеру пометить репозитовы, которые имеют какое -либо воздействие на Интернет, которые уже находятся в производстве, а затем раскрывает любые уязвимости, связанные с инъекцией SQL.
«Дело не в том, что разработчики не хотят решать проблему, это просто конкурирующий приоритет для них, так что [we’re] пытаясь выполнить как можно большую часть работы, чтобы уменьшить эти накладные расходы для них ».
— Марсело Оливейра, вице -президент GitHub по продукту
«У них есть серьезность высокой или критической, а затем это будет фильтровать для меня все в моей организации, которая соответствует этим критериям», — сказал Оливейра. «Теперь я могу упаковать все эти уязвимости в кампанию и отправить это соответствующим разработчикам по всей моей организации — они должны исправить уязвимость».
Как только менеджер определил, какова объем уязвимостей для исправления, информация автоматически отправляется разработчикам в GitHub, где они предупреждают об этой проблеме, уведомляют о кампании, а затем сообщают, на каких уязвимостях они должны сосредоточиться.
При создании кампании, Copilot Autofix автоматически генерирует рекомендации по исправлению по восстановлению и представляет код, который необходимо изменить, чтобы решить проблему.
«То, что видит разработчик, — это не только« эй, исправить это », — сказал он. «Это« нам нужно, чтобы это предупреждение было исправлено, потому что оно было приоритетным со стороны группы безопасности приложений в соответствии с этим критерием ».
Затем код проходит через процесс CI и исправляется через трубопровод, сказал он.
По словам Оливейра, кампании безопасности в основном расширяют платформу для совместной работы, чтобы включить менеджер по безопасности приложений, что позволяет менеджерам по безопасности приложений и разработчикам более эффективно сотрудничать.
Он добавил: «Мы также делаем как можно больше, с точки зрения автоматизации исправления этой проблемы».
Исправление уязвимостей, где живет код
Как только предупреждения о кампании выбраны, и менеджер по безопасности приложений определяет график, кампания автоматически передает информацию любым разработчикам, работающим над соответствующими репо.
Исправление, определяемое кампанией, представляется как проблема, которая должна быть решена в репозитории, поэтому разработчики могут решать и управлять проблемами, как и любая другая работа по функциям.
«Используя Copilot Autofix для создания предложений кода для до 1000 предупреждений о сканировании кода одновременно, кампании безопасности помогают командам безопасности заботиться о сортировке и приоритете, в то время как вы можете быстро решить проблемы с использованием AutoFix — без нарушения своего импульса разработки», — написал Флетчер в блоге Github. «Исправление оповещения становится таким же простым, как просмотр DIFF и создание запроса на тягу».
Okta, Inc. является мировой компанией Identity Company ™. Мы обеспечиваем личность, поэтому каждый может безопасно использовать любую технологию. Наши решения для клиентов и рабочей силы дают возможность предприятиям и разработчикам использовать силу личности для повышения безопасности, эффективности и успеха. Узнайте больше последних из Okta Trending Stories YouTube.com/thenewstack Tech Moving быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Loraine Lawson — ветеран -репортер, который в течение 25 лет освещал технологические проблемы от интеграции данных до безопасности. Прежде чем присоединиться к новому стеку, она работала редактором Banking Technology Site Bank Automation News. Она … читайте больше от Лорейн Лоусон
