- Microsoft и GitHub представили инструмент на базе ИИ для приоритизации и автоматизации исправления уязвимостей в корпоративном коде.
- Интеграция связывает аналитику времени выполнения из производственных сред с рабочими процессами разработки через Microsoft Defender for Cloud и GitHub Advanced Security.
- Использование ИИ-системы Copilot Autofix позволяет сокращать время устранения уязвимостей до 70% и эффективно уменьшать число неполадок.
Microsoft совместно с GitHub анонсировали новую технологию, которая призвана решить давно накопленную проблему — так называемый «долг по безопасности» в крупных корпоративных кодовых базах. Этот инструмент, уже доступный в предварительной общедоступной версии, использует мощь искусственного интеллекта и объединяет аналитические данные о уязвимостях, обнаруженных в работающих приложениях, с процессом разработки программного обеспечения.
По словам заместителя руководителя управления продуктами GitHub Марсело Оливейры, несмотря на совершенствование методов обнаружения уязвимостей, многие компании испытывали трудности с быстротой их устранения. Это приводило к накоплению критических и высоких рисков безопасности, которые в среднем закрываются аж за 116 дней. При этом приложения подвергаются атакам приблизительно каждые три минуты, что требует более оперативных решений.
Инновация заключается в том, что Microsoft Defender for Cloud теперь напрямую интегрирован с GitHub Advanced Security. Эта связь позволяет оперативно передавать разработчикам контекст уязвимости с её реальным статусом в производственной среде: доступна ли она из интернета, затрагивает ли конфиденциальные данные и действительно ли эксплуатируется. Таким образом, команды безопасности и разработчики получают единое пространство для управления угрозами, устраняя ранее существовавший разрыв.
Эксперты подчеркивают, что данное решение отвечает на три ключевых проблемы DevSecOps: перенасыщенность команд безопасности оповещениями, отсутствие чёткого приоритета для разработчиков и использование разрозненных инструментов. Внедрение ИИ-агентов позволяет автоматизировать исправление множества уязвимостей — при помощи Copilot Autofix выявленные проблемы исправляются быстро и эффективно, значительно сокращая сроки и усилия специалиста.
Как отмечает директор по маркетингу Microsoft Элиф Альгедик, на фоне ежегодного создания сотен новых приложений и роста объёма кода, такая интеграция становится критически важной. Теперь процесс исправления уязвимостей становится бесшовным и менее разрывным между командами безопасности и разработчиками.
Подытоживая, следует отметить, что инновационный инструмент объединяет аналитические данные из производственной среды и возможности искусственного интеллекта для приоритизации реальных угроз и быстрого внесения исправлений, способствуя существенному повышению безопасности корпоративного программного обеспечения.
