- Microsoft и GitHub представили инструмент, который с помощью искусственного интеллекта помогает приоритизировать и устранять уязвимости в коде.
- Интеграция между Microsoft Defender for Cloud и GitHub Advanced Security связывает аналитику времени выполнения с рабочими процессами разработки.
- Инструмент уже доступен в предварительной версии и позволяет сократить время исправления уязвимостей и автоматизировать этот процесс с помощью ИИ.
Компания Microsoft совместно с GitHub анонсировала новый инструмент, который призван решить проблему накопленной задолженности по безопасности в корпоративных программных продуктах. Интеграция Microsoft Defender for Cloud с GitHub Advanced Security впервые объединяет аналитику, собранную в средах выполнения приложений, с процессами разработки, используя возможности искусственного интеллекта для эффективной приоритизации и устранения уязвимостей.
По словам Марсело Оливейры, вице-президента по управлению продуктами GitHub, несмотря на совершенствование систем обнаружения уязвимостей, многие из них остаются неустранёнными в течение длительного времени, что приводит к «десятилетиям накопленного долга» в области безопасности. В индустрии критические и серьёзные уязвимости составляют порядка 17,4% всех незакрытых проблем, а среднее время их устранения достигает 116 дней. При этом приложения подвергаются атакам примерно каждые три минуты.
Директор по маркетингу продуктов Microsoft Элиф Альгедик отметила, что рост количества разрабатываемых приложений — свыше 500 в год на организацию — увеличивает разрыв между командами разработки и безопасности. Новая интеграция устраняет этот разрыв, позволяя быстро обмениваться данными о реальных угрозах, выявленных в рабочей среде, и фокусироваться на актуальных и эксплуатируемых рисках, а не на теоретических уязвимостях. Команды безопасности освобождаются от перегрузки оповещениями, а разработчики получают чёткие приоритеты для исправлений.
Старший директор Microsoft Эндрю Флик назвал эту задачу «дилеммой DevSecOps». Главные сложности состоят в переполнении команд безопасности новыми оповещениями, обязательстве понимать быстро меняющиеся векторы атак, а также в отсутствии интегрированных инструментов, затрудняющих совместную работу с разработчиками.
Механизм взаимодействия построен на виртуальном реестре, который сопоставляет код проекта с аналитикой работы приложения в реальном времени. При обнаружении уязвимости в працюющем сервисе, связанной с ключевыми аспектами, такими как доступ из интернета или обработка конфиденциальных данных, информация автоматически передаётся в GitHub. Там она формирует кампанию безопасности с приоритетами и уведомляет разработчиков для оперативного реагирования.
Кроме приоритизации уязвимостей, новая интеграция предлагает и автоматическое исправление «агентами» на базе ИИ. Эти агенты способны объединять исправления, создавать единый pull request, проверять изменения через конвейер непрерывной интеграции и ускорять процесс исправления. GitHub сообщает, что Copilot Autofix уже исправляет половину оповещений в запросах на слияние, сокращая время устранения проблем на 70%, а в рамках кампаний достигается устранение до 68% уведомлений.
Таким образом, инструмент укрепляет сотрудничество между командами безопасности и разработки, заметно ускоряет исправление уязвимостей и помогает сосредоточиться на приоритетных угрозах, выявленных в реальной эксплуатации ПО. Это важный шаг на пути к повышению уровня защиты корпоративных приложений и сокращению риска успешных атак.
