Language
GitLab の Lemos: AI、自動化が DevSecOps の鍵

ブログ

ホームページホームページ / ブログ / GitLab の Lemos: AI、自動化が DevSecOps の鍵
search

Aug 27, 2023

アインシュタインのタップハウスで従業員や役員に暴行を加えたウィヌースキー男を逮捕

Aug 25, 2023

WHOイニシアチブが新型コロナウイルスに関する新たなライセンス契約に署名

Sep 01, 2023

レッドソックスはアストロズとの重要なシリーズに臨む

Aug 28, 2023

地熱ラッシュを燃料とする水圧破砕から生まれたツール

Aug 31, 2023

水道料金、クレジットカード料金が消費者の不満の源泉となっている

お問い合わせを送信してください
送信

Aug 18, 2023

GitLab の Lemos: AI、自動化が DevSecOps の鍵

GitLab の Lemos: AI、自動化は DevSecOps の鍵です メールが送信されました GitLab の CISO Josh Lemos が、生成 AI ツールを使用してソフトウェアの CI/CD を保護することと、自動化によって継続的な運用が可能になる方法について語ります

GitLab の Lemos: AI、自動化が DevSecOps の鍵

メールが送信されました

GitLab の CISO Josh Lemos が、生成 AI ツールを使用してソフトウェアの CI/CD を保護し、自動化がソフトウェア開発サプライ チェーンで継続的なセキュリティをどのように実現するかについて語ります。

GitLab は、競合他社の GitHub と同様、オープンソース Git プロジェクトから誕生し、今でもオープンコア企業 (つまり、誰でも貢献できるオープンソース ソフトウェアを商用化する企業) です。 2011 年にオープンソースのコード共有プラットフォームとして立ち上げられて以来、DevOps ソフトウェア パッケージのユーザー数は 3,000 万人を超えるまでに成長しました。 同社によれば、2023 年 5 月に、GitLab 16 を使用して DevSecOps プラットフォームに新しい AI 機能をリリースしました。これには、60 近くの新機能と機能強化が含まれます。

今月開催された 2023 Black Hat カンファレンスで、GitLab の最高情報セキュリティ責任者である Josh Lemos 氏は TechRepublic に対し、DevSecOps と、同社がプラットフォームにセキュリティ機能をどのように注入しているか、そして AI がどのように継続的統合を加速し、セキュリティの離脱を容易にしているかについて語った。 。 Lemos 氏は、GitLab のルーツはソース コード管理、継続的インテグレーション、パイプラインにあると説明しています。 言うなれば、ソフトウェアを構築するためのファウンドリです。

ジャンプ先:

カール・グリーンバーグ:GitLab でのあなたの役割について話していただけますか?

ジョシュ・レモス:まず、セキュリティが DevOps とコードのライフサイクル全体に組み込まれたことで、ビルド チェーンの早い段階でセキュリティを挿入する機会が得られました。 CISO として、私は基本的に企業がビルド パイプラインを保護するのを支援するというメタ的な役割を担っています。 そのため、私は GitLab を支援し、自社の製品ソフトウェアのセキュリティを確保するという点で CISO として他の企業に対して行うことを行っているだけでなく、それを何千もの企業に対して大規模に行っています。

参照: サイバーセキュリティに対する生成 AI の影響は何ですか? Black Hat で専門家が議論 (TechRepublic)

カール・グリーンバーグ:このリポジトリのエコシステムにおいて、GitLab は、たとえば GitHub とどのように差別化されているのでしょうか?

ジョシュ・レモス:このエコシステムは基本的に二重占有です。 GitHub はソース コード管理とビルド フェーズに重点を置いています。 GitLab は、DevSecOps またはビルド チェーン全体、つまりコードとしてのインフラストラクチャと継続的インテグレーション、つまり運用に至るまでのサイクル全体に焦点を当ててきました。

カール・グリーンバーグ:そのサイクル内の脅威アクターのキル チェーンに注目すると、DevSecOps が阻止しようとしている攻撃 (たとえば、Log4j を使用したサプライ チェーン攻撃) を見ると、これは身代金を求める金銭目的の攻撃者に関するものではありませんね。

ジョシュ・レモス:確かにそれも結果の 1 つではありますが、ランサムウェアの最終目標は非常に限られています。 攻撃者の観点からより興味深いのは、長期間検出されずに沈黙を維持する方法を見つけることだと思います。 [攻撃者にとっての]最終的な目標は、さまざまな理由でデータを侵害するか、企業、政府、その他の組織についての洞察を得ることです。 それは、金銭的動機、政治的動機、または知的財産の侵害によるものである可能性があります。

カール・グリーンバーグ:あるいは、ネットワーク内に脅威アクターが永続的に存在することを考えると、アクセス ブローカーがこれを行うのではないかと思います。

ジョシュ・レモス:一般に、攻撃者は自分のアクセスを焼き付けたくはないので、その永続記録をできるだけ長く保持したいと考えています。 最初の質問に戻りますが、これらすべてにおける私の目標は、企業がビルド パイプラインを効果的に保護し、機密情報へのアクセスを制限し、クラウド セキュリティと CI/CD セキュリティ制御を大規模に利用できる環境を構築することです。

参照: GitLab CI/CD ツールのレビュー (TechRepublic)

カール・グリーンバーグ: GitHub は Copilot の導入で大きな成功を収めています。 GitLab の生成 AI イノベーションとは何ですか?

ジョシュ・レモス:当社には十数の AI 機能があり、その中には、明らかなユースケースであるコード生成などを行うように設計されたものもあります。 たとえば、Copilot のバージョンは GitLab Duo です。 他にも、プロジェクトの変更提案やレビュー担当者の点で非常に役立つ AI 機能があります。誰がプロジェクトに貢献したか、誰がその変更をレビューしたいと考えているかを確認し、AI を使用してそれらの推奨事項を作成できます。 したがって、これらのツールはすべて、開発者が速度を落として間違いを探す必要がなく、開発へのセキュリティの導入を自動化します。