Microsoft и GitHub объединили аналитику времени выполнения с рабочими процессами разработки, чтобы использовать ИИ для приоритизации угроз и автоматизации исправлений. Нативная интеграция между Microsoft Defender for Cloud и GitHub Advanced Security позволит решить проблему «многолетней накопившейся задолженности по безопасности в корпоративных кодовых базах».
Инструмент уже доступен в общедоступной предварительной версии. Он подключает аналитику времени выполнения из производственных сред непосредственно к рабочим процессам разработки. Цель — помочь организациям определить приоритетность уязвимостей и использовать ИИ для их более быстрого устранения.
«На протяжении всей моей карьеры я наблюдал, как тенденции в области уязвимостей менялись. Неважно, насколько хорош и точен наш механизм обнаружения, люди просто не успевали исправлять ошибки достаточно быстро. По сути, это привело к десятилетиям накопления долга по безопасности в корпоративных кодовых базах», — сказал вице-президент по управлению продуктами GitHub Марсело Оливейра.
Согласно отраслевым данным, уязвимости критической и высокой степени серьёзности составляют 17,4% от общего числа незакрытых задач безопасности, а среднее время их устранения достигает 116 дней. При этом, по словам Оливейры, приложения подвергаются атакам примерно каждые три минуты.
Интеграция же представляет собой первое нативное связующее звено между аналитикой среды выполнения и рабочими процессами разработчиков, отметила директор по маркетингу продуктов в области облачной безопасности и безопасности ИИ в Microsoft Элиф Альгедик.
По её словам, организации сейчас создают в среднем более 500 новых приложений в год, а по мере роста объёма кода разрыв между разработкой и безопасностью увеличивается. Интеграция устраняет фундаментальный разрыв между командами безопасности и разработчиками. По словам Оливейры, команды безопасности завалены оповещениями и иногда не могут отличить реальные эксплуатируемые риски от теоретических. У разработчиков, в свою очередь, нет чётких сигналов о приоритетах, и часто они тратят время на исправление проблем, которые могут не эксплуатироваться в производственной среде.
Старший директор по сервисам, языкам и инструментам для разработчиков Microsoft Эндрю Флик называет это дилеммой DevSecOps. По его словам, основных проблем три: команды безопасности увязают в постоянном потоке оповещений, в то время как ИИ быстро внедряет новые векторы угроз, на понимание которых у них мало времени; у разработчиков нет чёткой расстановки приоритетов, а устранение уязвимостей занимает слишком много времени; обе команды полагаются на отдельные, неинтегрированные инструменты, что замедляет и усложняет совместную работу.
Новая интеграция работает в обоих направлениях. Когда Defender for Cloud обнаруживает уязвимость в работающей рабочей нагрузке, контекст выполнения переносится в GitHub, показывая разработчикам, связана ли уязвимость с интернетом, обрабатываются ли конфиденциальные данные или же она действительно раскрыта в рабочей среде. Это работает на основе так называемого виртуального реестра, который сопоставляет код и среду выполнения.
Например, если приложение работает и обслуживает тысячи клиентов, то Defender for Cloud обнаруживает уязвимость в API, доступном через интернет и обрабатывающем конфиденциальные данные. Раньше это оповещение могло висеть на панели управления, пока разработчики работали над несвязанными исправлениями. Теперь в GitHub можно создать кампанию безопасности, фильтруя риски времени выполнения, такие как уязвимость интернета или конфиденциальные данные, и уведомляя разработчика о необходимости приоритизировать задачу. После этого он может использовать Copilot Autofix для применения предложенного ИИ решения за считанные минуты.
Помимо приоритизации, интеграция использует возможности ИИ GitHub для «агентских исправлений». Это позволит создавать кампании безопасности и назначать ИИ-агентам пакетное исправление уязвимостей.
«Мы позволяем вам создать кампанию, а затем назначить её Copilot. Неважно, 10 это уязвимостей или 100, Copilot теперь поможет не только разобраться со всеми потенциальными конфликтами, но и объединить всё в один PR (pull request), проверить конвейер непрерывной интеграции и убедиться, что все эти утомительные элементы теперь можно автоматизировать», — сказал Оливейра.
По данным GitHub, Copilot Autofix исправляет 50% оповещений в запросах на выдачу, сокращая среднее время устранения неполадок на 70%. В ходе кампаний по безопасности было устранено 68% оповещений.
Альгедик выделила три ощутимых преимущества интеграции: команды могут взаимодействовать без проблем, поскольку службы безопасности открывают и отслеживают проблемы GitHub непосредственно из Defender for Cloud; процесс исправления ускоряется благодаря ИИ, поскольку не прерывается процесс разработки; команды могут расставлять приоритеты, сопоставляя угрозы во время выполнения непосредственно с их источником в коде.
Ранее стало известно, что Microsoft переводит IT-инфраструктуру GitHub на серверы Azure. Миграцию планируется провести в течение 24 месяцев.
Источник: habr.com