한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
홈페이지
Aug 18, 2023
GitLab의 Lemos: AI, 자동화는 DevSecOps의 핵심입니다
GitLab의 Lemos: AI, 자동화는 DevSecOps의 핵심입니다 GitLab의 CISO인 Josh Lemos에게 생성 AI 도구를 사용하여 소프트웨어의 CI/CD를 보호하고 자동화를 통해 지속적인 작업을 수행하는 방법에 대한 이메일이 전송되었습니다.
GitLab의 Lemos: AI, 자동화는 DevSecOps의 핵심입니다
당신의 이메일이 전송되었습니다
GitLab의 CISO Josh Lemos가 생성 AI 도구를 사용하여 소프트웨어의 CI/CD를 보호하고 자동화를 통해 소프트웨어 개발 공급망에서 지속적인 보안을 구현하는 방법에 대해 설명합니다.
GitLab은 경쟁사인 GitHub와 마찬가지로 오픈 소스 Git 프로젝트에서 탄생했으며 여전히 오픈 코어 회사(즉, 누구나 기여할 수 있는 오픈 소스 소프트웨어를 상용화하는 회사)입니다. 2011년 오픈 소스 코드 공유 플랫폼으로 출시된 이후 DevOps 소프트웨어 패키지 사용자가 3천만 명 이상으로 증가했습니다. 회사에 따르면 2023년 5월 회사는 GitLab 16을 통해 DevSecOps 플랫폼에 약 60개의 새로운 기능과 향상된 기능을 포함하는 새로운 AI 기능을 출시했습니다.
이번 달 2023 Black Hat 컨퍼런스에서 GitLab의 최고 정보 보안 책임자인 Josh Lemos는 TechRepublic과 DevSecOps, 회사가 플랫폼에 보안 기능을 주입하는 방법, AI가 지속적인 통합을 가속화하고 보안을 왼쪽으로 쉽게 전환하는 방법에 대해 이야기했습니다. . Lemos는 GitLab이 소스 코드 관리, 지속적인 통합 및 파이프라인에 뿌리를 두고 있다고 설명합니다. 소프트웨어 구축을 위한 파운드리입니다.
다음으로 이동:
칼 그린버그:GitLab에서의 역할에 대해 말씀해 주시겠어요?
조쉬 레모스: 첫째, 보안이 DevOps와 코드의 전체 수명주기에 통합되었을 때 빌드 체인 초기에 보안을 삽입할 수 있는 기회를 얻었습니다. CISO로서 저는 기본적으로 기업이 빌드 파이프라인을 보호하도록 돕는 메타 역할을 맡고 있습니다. 그래서 저는 GitLab을 돕고 CISO로서 어느 회사에서나 할 수 있는 일을 할 뿐만 아니라 자체 제품 소프트웨어 보안 측면에서 수천 개의 회사를 대상으로 대규모로 이 일을 하고 있습니다.
참고: 사이버 보안에 대한 생성 AI의 의미는 무엇입니까? Black Hat에서 전문가들이 토론합니다(TechRepublic)
칼 그린버그:이 저장소 생태계에서 GitLab은 GitHub와 어떻게 차별화됩니까?
조쉬 레모스: 이 생태계는 기본적으로 이중화 구조입니다. GitHub는 소스 코드 관리 및 빌드 단계에 더 가깝습니다. GitLab은 DevSecOps 또는 전체 빌드 체인에 중점을 두어 코드로서의 인프라 및 지속적인 통합을 생산에 이르는 전체 주기로 삼았습니다.
칼 그린버그:해당 주기 내에서 위협 행위자의 킬 체인, DevSecOps가 저지하려는 공격(예: Log4j를 사용한 공급망 공격)을 살펴보면 이것은 몸값을 요구하는 재정적 동기가 있는 행위자에 대한 것이 아닙니다. 그렇지 않습니까?
조쉬 레모스: 물론 그것은 하나의 결과이겠지만, 랜섬웨어는 꽤 유한한 최종 게임입니다. 공격자 입장에서 더 흥미로운 것은 오랜 시간 동안 탐지되지 않고 침묵을 유지하는 방법을 찾는 것이라고 생각합니다. 궁극적으로 [공격자의] 목표는 다양한 이유로 데이터를 손상시키거나 회사, 정부 또는 조직에 대한 통찰력을 얻는 것입니다. 재정적 동기가 있을 수도 있고 정치적 동기가 있거나 지적 재산을 침해함으로써 동기가 부여될 수도 있습니다.
칼 그린버그:또는 위협 행위자가 네트워크에 지속적으로 존재한다고 생각하면 액세스 브로커가 이를 수행한다고 가정합니다.
조쉬 레모스: 일반적으로 공격자는 액세스 권한을 소각하는 것을 원하지 않으므로 해당 지속성 기록을 가능한 한 오랫동안 유지하려고 합니다. 따라서 첫 번째 질문으로 돌아가서, 이 모든 것의 목표는 기업이 빌드 파이프라인을 효과적으로 보호하고, 비밀에 대한 액세스를 제한하고, 클라우드 보안 및 CI/CD 보안 제어를 대규모로 활용할 수 있는 환경을 만드는 것입니다.
참고: GitLab CI/CD 도구 검토(TechRepublic)
칼 그린버그: GitHub는 Copilot 채택에 매우 성공적이었습니다. GitLab의 생성 AI 혁신은 무엇입니까?
조쉬 레모스: 우리는 12개 이상의 AI 기능을 보유하고 있으며, 그 중 일부는 코드 생성, 명백한 사용 사례 등의 작업을 수행하도록 설계되었습니다. 예를 들어 Copilot 버전은 GitLab Duo입니다. 제안된 변경 사항 및 프로젝트 검토자 측면에서 매우 유용한 다른 AI 기능이 있습니다. 프로젝트에 누가 기여했는지, 누가 해당 변경 사항을 검토하고 싶어하는지 확인한 다음 AI를 사용하여 권장 사항을 작성할 수 있습니다. 따라서 이러한 모든 도구는 개발자가 속도를 늦추거나 실수를 찾을 필요 없이 개발에 보안을 자동으로 주입합니다.