Microsoft и ее дочерняя компания GitHub запустили встроенную интеграцию между Microsoft Defender for Cloud и GitHub Advanced Security, целью которой является решение проблемы, которую один из руководителей назвал десятилетиями накопленного долга по безопасности в корпоративных кодовых базах.
Интеграция, анонсированная на этой неделе в Сан-Франциско на конференции Microsoft Ignite 2025 и теперь доступная в общедоступной предварительной версии, соединяет аналитику времени выполнения из производственных сред непосредственно с рабочими процессами разработчиков. Цель состоит в том, чтобы помочь организациям расставить приоритеты, какие уязвимости действительно имеют значение, и использовать ИИ для их быстрого устранения.
«На протяжении всей моей карьеры я видел тенденцию роста уязвимостей вправо. Не имело значения, насколько хорош механизм обнаружения и насколько точен наш механизм обнаружения, люди просто не могли исправить ситуацию достаточно быстро», — сказал Марсело Оливейра, вице-президент по управлению продуктами GitHub, который почти десять лет посвятил безопасности приложений. «По сути, это привело к десятилетиям накопления долга по безопасности в базах корпоративного кода».
По отраслевым данным, критические и высокосерьёзные уязвимости составляют 17,4% от общего количества незавершенных работ по безопасности, при этом среднее время устранения составляет 116 дней, сообщил Эндрю Флик, старший директор по службам разработчиков, языкам и инструментам Microsoft, в своем блоге. Между тем, по словам Оливейры, приложения подвергаются атакам примерно раз в три минуты.
Эта интеграция представляет собой первую встроенную связь между интеллектом во время выполнения и рабочими процессами разработчиков, сказала Элиф Альгедик, директор по маркетингу продуктов для облачной безопасности и безопасности искусственного интеллекта в Microsoft, в своем блоге.
По ее словам, сейчас организации создают в среднем более 500 новых приложений в год, и по мере роста объема кода разрыв между разработкой и безопасностью увеличивается.
Преодоление разрыва в DevSecOps
Интеграция устраняет фундаментальный разрыв между командами безопасности и разработки. По словам Оливейры, команды безопасности борются с усталостью от бдительности и не могут отличить реальные риски, которые можно использовать, от теоретических. Между тем, разработчикам не хватает четких сигналов для определения приоритетов, и они часто тратят время на исправление проблем, которые, возможно, никогда не будут использованы в производстве, добавил он.
Флик называет это дилеммой DevSecOps. Несмотря на десятилетие улучшений в точности обнаружения и сотрудничества между командами безопасности и разработчиками, тенденции устранения проблем остаются неизменными.
«Квартал за кварталом, год за годом количество уязвимостей продолжает расти», — написал он в сообщении об интеграции.
Проблема, по мнению Флика, сводится к трем задачам: команды безопасности тонут в усталости от оповещений, в то время как ИИ быстро внедряет новые векторы угроз, на понимание которых у них мало времени; разработчикам не хватает четкой расстановки приоритетов, а исправление ситуации занимает слишком много времени; и обе команды полагаются на отдельные, неинтегрированные инструменты, что делает совместную работу медленной и разочаровывающей.
«Каждый раз, когда я обращался к новому клиенту, мне было очень неприятно смотреть на то, как эта кривая поднимается вверх в правильном квартале за кварталом, год за годом», — сказал Оливейра. «И я спрашивал клиентов: «Что для вас, ребята, является самой большой проблемой?» Для них это всегда был вопрос расстановки приоритетов. Поступало слишком много предупреждений. И, во-вторых, устранение этих проблем обходилось им дорого».
Новая интеграция работает в двух направлениях. Когда Defender for Cloud обнаруживает уязвимость в выполняемой рабочей нагрузке, этот контекст среды выполнения передается в GitHub, показывая разработчикам, касается ли уязвимость Интернета, обработки конфиденциальных данных или она действительно обнаружена в рабочей среде. По словам Флика, это основано на том, что GitHub называет виртуальным реестром, который создает сопоставление кода и времени выполнения.
Далее Флик описал, как это происходит на практике.
Приложение запускается и обслуживает тысячи клиентов, когда Defender for Cloud обнаруживает уязвимость в интернет-API, который обрабатывает конфиденциальные данные. По его словам, раньше это предупреждение появлялось на панели управления, пока разработчики работали над несвязанными исправлениями, потому что они не знали, что это критическое исправление. Теперь в GitHub можно создать кампанию по обеспечению безопасности, фильтруя риски во время выполнения, такие как воздействие Интернета или конфиденциальные данные, и уведомляя разработчика о необходимости определить приоритетность этой проблемы. Разработчик просматривает проблему в своем рабочем процессе, понимает, почему она важна, и использует Copilot Autofix, чтобы применить исправление, предложенное ИИ, за считанные минуты.
Виртуальный реестр делает это возможным, позволяя командам быстро отвечать на ключевые вопросы: работает ли эта уязвимость в производственной среде? Подвергается ли он чувствительным рабочим нагрузкам? Нужно ли мне действовать сейчас?
«Объединив лучшее из Microsoft Defender для облака с GitHub Advanced Security, мы можем объединить эти два мира безопасности и разработки», — объяснил Оливейра. «Руководители службы безопасности всегда говорили: «Мне хотелось бы знать, существует ли где-нибудь эта уязвимость. Если нет, мне все равно. Мне не нужно предпринимать какие-либо действия прямо сейчас». Но если он где-то работает, если он широко раскрыт и любой в Интернете может получить доступ к этому сервису, если он имеет дело с очень конфиденциальными данными, это полностью меняет картину».
Агентское восстановление в больших масштабах
Помимо определения приоритетов, интеграция использует возможности искусственного интеллекта GitHub для того, что Оливейра называет «агентным исправлением». По его словам, с помощью Copilot Autofix и агента кодирования GitHub Copilot разработчики могут создавать кампании по обеспечению безопасности и назначать массовые исправления уязвимостей агентам ИИ.
«Мы разрешаем вам создать кампанию, и из этой кампании вы можете назначить ее Copilot», — сказал Оливейра. «Не важно, 10 уязвимостей это или 100 уязвимостей, Copilot может помочь вам уже сейчас пойти и не только разобраться со всеми потенциальными конфликтами, слиянием, созданием всего в единый PR [pull request]проверяя конвейер CI и убеждаясь, что все те утомительные элементы, которые требовались от разработчика, теперь можно автоматизировать для него».
Затем разработчик проверяет PR, а не выполняет утомительную работу самостоятельно. По данным GitHub, Copilot Autofix исправляет 50% предупреждений в PR, при этом среднее время исправления сокращается на 70%. В ходе кампаний по обеспечению безопасности было устранено 68% предупреждений.
Между тем, Альгедик выделил три ощутимых преимущества, которые дает интеграция: команды могут беспрепятственно сотрудничать, поскольку группы безопасности открывают и отслеживают проблемы GitHub непосредственно из Defender for Cloud; устранение уязвимостей ускоряется благодаря искусственному интеллекту, поскольку исправления с помощью Copilot устраняют уязвимости, не нарушая процесс разработки; и команды могут расставить приоритеты в том, что наиболее важно, сопоставляя угрозы времени выполнения непосредственно с их источником в коде.
«Безопасность, разработка и искусственный интеллект теперь действуют как единое целое, быстрее обнаруживая и устраняя проблемы и создавая непрерывный цикл обратной связи, который учится во время выполнения, передает информацию обратно в разработку и переопределяет способы создания безопасных приложений и агентов в эпоху искусственного интеллекта», — написала она.
Защитник Microsoft для облака.
Этот подход представляет собой отход от того, что Оливейра называет старым компромиссом между скоростью и безопасностью.
«Скорость и инновации были, по сути, компромиссом с безопасностью. Если вы хотели действительно решить возникающие проблемы с безопасностью, то они были дорогостоящими. На это потребовалось бы время», — сказал он. «Тот факт, что сейчас это предотвращается прямо у источника, обеспечивая контроль над тем, как на самом деле происходит разработка, значительно снижает это трение».
Встроенная профилактика
Интеграция основана на объявлении GitHub Universe, сделанном две недели назад, в котором проверка безопасности встроена в рабочие процессы агентного кодирования. По его словам, агент кодирования GitHub Copilot теперь автоматически проверяет зависимости, сканирует собственный код на наличие уязвимостей и выявляет жестко запрограммированные секреты до того, как код достигнет разработчиков.
«Мы не только помогаем вам исправлять существующие уязвимости, мы также сокращаем количество уязвимостей, которые попадают в систему, когда уровень пропускной способности создаваемого нового кода резко возрастает со всеми этими платформами агентов кодирования», — сказал Оливейра.
Он называет это двойной стратегией: встроенное предотвращение появления нового кода и масштабное исправление существующих уязвимостей. «99,99999% когда-либо написанного кода уже существует, и нам нужно серьезно подумать о том, как обеспечить безопасность этой существующей базы кода», — сказал он. «Но также, как нам оставаться в безопасности, гарантируя, что в систему не попадут новые вещи?»
Платформа против болтового крепления
Оливейра также отметил, что подход GitHub принципиально отличается от традиционных инструментов безопасности из-за его интеграции в саму платформу разработки.
«Я считаю, что это самое большое преимущество, и когда я встречаюсь с клиентами, я никогда не был в роли поставщика средств безопасности, и мне приходилось слышать, как разработчики говорят, что они купили это решение, потому что их разработчикам нужен GitHub и безопасность», — сказал он. «Безопасность приложений — это командный вид спорта. Если в вашей команде нет разработчика, не важно, сколько вы кричите, это ничего не изменит».
Для групп безопасности интеграция означает возможность открывать и отслеживать проблемы GitHub непосредственно из Defender for Cloud с полным контекстом и подробностями об уязвимостях. Прогресс виден с обеих сторон, что позволяет командам сотрудничать, не переключая инструменты.
«Мы не смещаемся влево. Мы переносим безопасность на платформу», — сказал Оливейра. «Мы встраиваем его. Наша цель — сделать безопасность невидимой, поместив ее в платформу и обеспечив автоматическое выполнение этих указаний и исправлений».
AppSec Возрождение
Оливейра сказал, что, по его мнению, сочетание возможностей искусственного интеллекта и интеграции платформ представляет собой то, что он называет «ренессансом AppSec», которое может фундаментально изменить принцип работы безопасности приложений.
«Люди говорят о двойственности ИИ, верно, о том, что ИИ может создавать проблемы или быть злодеем или героем», — сказал он The New Stack. «Для меня я считаю, что он может стать огромным героем во всей этой картине. С таким понятием предотвращения и исправления с точки зрения безопасности приложений, я думаю, мы действительно можем создать то, что я начал называть Ренессансом AppSec».
Интеграция теперь доступна в общедоступной предварительной версии.
Для организаций, создающих собственные облачные приложения, интеграция поможет защитить код в облаке, не замедляя разработку.
«Такая скорость того, что дают нам эти кодирующие агенты, — это возможность избежать этих компромиссов», — сказал Оливейра.
ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Дэррил К. Тафт освещает DevOps, инструменты разработки программного обеспечения и вопросы, связанные с разработчиками, в своем офисе в Балтиморе. Он имеет более чем 25-летний опыт работы в бизнесе и всегда ищет новые новости. Он работал… Узнайте больше от Дэррила К. Тафта.
