Web Development
GitHub: Επαναστατικές καμπάνιες ασφαλείας με AI
Η GitHub ανακοινώνει καμπάνιες ασφαλείας με AI για την αντιμετώπιση του χρέους ασφαλείας στον κώδικα.
Η νέα εποχή της ασφάλειας στον κώδικα
Η GitHub ανακοίνωσε πρόσφατα ένα καινοτόμο εργαλείο βασισμένο στην τεχνητή νοημοσύνη, με στόχο την εξάλειψη του “χρέους ασφαλείας” για τους πελάτες της υπηρεσίας GitHub Advanced Security και GitHub Code Security. Το εργαλείο αυτό επιτρέπει στις οργανώσεις να διεξάγουν καμπάνιες ασφαλείας, οι οποίες βοηθούν στον εντοπισμό και την επίλυση υφιστάμενων προβλημάτων ασφαλείας στις ροές εργασίας των προγραμματιστών στο GitHub.
Όπως δήλωσε ο James Fletcher, Senior Product Manager της GitHub, το χρέος ασφαλείας αποτελεί τον μεγαλύτερο αναγνωρισμένο κίνδυνο που αντιμετωπίζουν οι πελάτες. Ιστορικά, μόνο το 10% του χρέους ασφαλείας που παραμένει σε συγχωνευμένο κώδικα αντιμετωπίζεται, όμως με τις νέες καμπάνιες ασφαλείας, το ποσοστό αυτό αυξάνεται στο 55%.
Copilot Autofix: Ο σύμμαχος στην ασφάλεια
Η καρδιά αυτής της πρωτοβουλίας είναι ο AI πράκτορας σάρωσης κώδικα, Copilot Autofix, ο οποίος κυκλοφόρησε το 2023. Οι σαρώσεις ενεργοποιούνται είτε βάσει προγράμματος είτε με συγκεκριμένα γεγονότα, όπως η προώθηση σε ένα branch ή το άνοιγμα ενός pull request.
Καμπάνιες ασφαλείας: Αντιμετώπιση του χρέους ασφαλείας
Οι καμπάνιες ασφαλείας δεν περιορίζονται μόνο στην επίλυση μιας ευπάθειας. Όπως εξηγεί ο Marcelo Oliveira, νέος αντιπρόεδρος προϊόντων της GitHub, οι καμπάνιες αυτές έχουν σχεδιαστεί για να αντιμετωπίζουν το χρέος ασφαλείας που υπάρχει ήδη στον παραγωγικό κώδικα.
Σε πολλές οργανώσεις, μιλάμε για χιλιάδες ή και δεκάδες χιλιάδες ευπάθειες που παραμένουν στο backlog, καθιστώντας αδύνατη την επίλυση όλων αυτών των προβλημάτων από ανθρώπους. Οι καμπάνιες ασφαλείας στοχεύουν αυτές τις υπάρχουσες ευπάθειες, αντιμετωπίζοντας μακροχρόνια προβλήματα μέσα από τη ροή εργασίας του προγραμματιστή στο GitHub.
Προτυποποιημένες λύσεις και στατιστικά
Οι καμπάνιες ασφαλείας έρχονται με προκαθορισμένα πρότυπα βασισμένα σε κοινά θέματα για να βοηθήσουν στον καθορισμό του πεδίου της καμπάνιας. Για παράδειγμα, ένα πρότυπο είναι οι δέκα πιο γνωστές εκμεταλλεύσιμες ευπάθειες του MITRE. Η επισκόπηση ασφαλείας της GitHub παρέχει επίσης στατιστικά και μετρικές που συνοψίζουν το συνολικό τοπίο κινδύνου μιας οργάνωσης.
Αυτοματοποιημένη αντιμετώπιση ευπαθειών
Οι καμπάνιες ασφαλείας ενσωματώνουν και προτεραιοποιούν τα προβλήματα ασφαλείας στον κανονικό κύκλο ζωής ανάπτυξης λογισμικού, δημιουργώντας μια στρατηγική για την αντιστροφή της τάσης αυτής. Όταν ένας διαχειριστής ασφάλειας εφαρμογών δημιουργεί μια καμπάνια ασφαλείας, καθορίζει το σύνολο των ευπαθειών που η οργάνωση θέλει να αντιμετωπίσει.
Για παράδειγμα, ο διαχειριστής μπορεί να θέλει να εξαλείψει όλες τις ευπάθειες SQL injection σε εφαρμογές που εκτίθενται στο Διαδίκτυο. Η λύση επιτρέπει στον διαχειριστή να επισημάνει repos που έχουν οποιαδήποτε έκθεση στο Διαδίκτυο και είναι ήδη σε παραγωγή, αποκαλύπτοντας έτσι οποιεσδήποτε ευπάθειες σχετικές με SQL injection.
Συνεργασία και αυτοματοποίηση
Οι καμπάνιες ασφαλείας επεκτείνουν ουσιαστικά την πλατφόρμα συνεργασίας για να συμπεριλάβουν τον διαχειριστή ασφάλειας εφαρμογών, επιτρέποντας μια πιο αποτελεσματική συνεργασία μεταξύ διαχειριστών ασφάλειας εφαρμογών και προγραμματιστών. Ο Oliveira σημειώνει ότι γίνεται όσο το δυνατόν περισσότερη αυτοματοποίηση για την αντιμετώπιση των προβλημάτων αυτών.
Επίλυση ευπαθειών στον χώρο του κώδικα
Όταν οι ειδοποιήσεις καμπάνιας επιλέγονται και ο διαχειριστής ασφάλειας εφαρμογών καθορίζει ένα χρονοδιάγραμμα, η καμπάνια επικοινωνεί αυτόματα τις πληροφορίες σε οποιονδήποτε προγραμματιστή εργάζεται σε σχετικά repos. Η αντιμετώπιση που ορίζεται από την καμπάνια εμφανίζεται ως ζήτημα προς επίλυση μέσα στο αποθετήριο, ώστε οι προγραμματιστές να μπορούν να διαχειριστούν τα προβλήματα όπως κάθε άλλη εργασία ανάπτυξης.
Χρησιμοποιώντας το Copilot Autofix για να δημιουργεί προτάσεις κώδικα για έως και 1.000 ειδοποιήσεις σάρωσης κώδικα ταυτόχρονα, οι καμπάνιες ασφαλείας βοηθούν τις ομάδες ασφαλείας να φροντίσουν τη διαλογή και την προτεραιοποίηση, ενώ οι προγραμματιστές μπορούν γρήγορα να επιλύσουν τα ζητήματα χρησιμοποιώντας το Autofix — χωρίς να διακόπτεται η ροή ανάπτυξης.
