- Microsoft и GitHub представили интегрированный инструмент на базе искусственного интеллекта для выявления и быстрого устранения уязвимостей в корпоративном коде.
- Инструмент соединяет аналитику времени выполнения из рабочих сред с процессами разработки, помогая приоритизировать реальные угрозы и автоматизировать исправления с помощью ИИ.
- Новая технология уже доступна в предварительной версии и позволяет значительно сократить время устранения проблем безопасности, одновременно улучшая взаимодействие между командами безопасности и разработчиками.
Корпоративная безопасность программного обеспечения сталкивается с накоплением «долга» по устранению уязвимостей, который зачастую измеряется годами. Компания Microsoft совместно с GitHub анонсировали инновационное решение, позволяющее на основе искусственного интеллекта (ИИ) эффективно управлять этим вызовом. Новая интеграция между Microsoft Defender for Cloud и GitHub Advanced Security выводит совместную работу команд безопасности и разработки на новый уровень, связывая реальную аналитику времени выполнения приложений с рабочими процессами исправления уязвимостей.
Как отмечают эксперты, несмотря на наличие современных систем обнаружения угроз, компании зачастую не успевают быстро реагировать на выявленные проблемы. Вице-президент по управлению продуктами GitHub Марсело Оливейра подчеркнул, что из-за этого накапливаются «десятилетия задолженности» в области безопасности кодовых баз. Статистика подтверждает серьёзность ситуации: примерно 17,4% всех незакрытых уязвимостей критичны или имеют высокую степень риска, а среднее время их исправления достигает 116 дней. При этом атаки на приложения происходят каждые несколько минут.
Новая система работает по принципу тесной интеграции данных из рабочей среды непосредственно с инструментами разработчиков. Это впервые создает нативное связующее звено между аналитикой во время выполнения и процессом разработки. Например, если Microsoft Defender for Cloud фиксирует уязвимость в активно работающем API, связанном с критически важными конфиденциальными данными и доступным из интернета, эта информация переносится в GitHub. Разработчик получает контекстную информацию о реальном риске угрозы и может сосредоточиться на её исправлении согласно приоритетам.
Кроме того, интеграция задействует возможности GitHub Copilot для автоматизации процесса исправления. Copilot Autofix может создавать пакетные изменения и объединять их в единый запрос на обновление кода, значительно ускоряя работу и снижая ошибки. По данным GitHub, такой подход уже позволяет исправлять около 50% уведомлений об уязвимостях и сокращать среднее время их устранения на 70%. В рамках «кампаний безопасности» устранение угроз достигает 68% от количества оповещений.
Директор по маркетингу продуктов Microsoft Элиф Альгедик выделила ключевые преимущества новой системы: упрощение взаимодействия между командами безопасности и разработки через единый интерфейс, ускорение исправления благодаря ИИ без прерывания процесса разработки и возможность расставлять приоритеты на основе реальных угроз, связанных с конкретным кодом.
Таким образом, представленное решение становится важным шагом в преодолении традиционной дилеммы DevSecOps, когда множество оповещений и изоляция инструментов замедляют работу команд. Комплексный и интеллектуальный подход Microsoft и GitHub направлен на повышение эффективности кибербезопасности организаций, что становится особенно актуальным в условиях масштабного развития приложений и постоянно растущих угроз.
