Microsoft e GitHub Usam IA para Acabar com a Crise da Dívida de Segurança: A Revolução DevSecOps Chegou!

de uma vez a cada três minutos, disse Oliveira. A integração representa o primeiro elo nativo entre a inteligência de tempo de execução e os fluxos de trabalho dos desenvolvedores, disse Elif Algedik, diretora de marketing de produto para segurança de nuvem e IA na Microsoft, em um post de blog. As organizações agora constroem, em média, mais de 500 novos aplicativos a cada ano, observou ela, e, à medida que o volume de código aumenta, a lacuna entre desenvolvimento e segurança se amplia. **Preenchendo a Lacuna DevSecOps** A integração aborda uma desconexão fundamental entre as equipes de segurança e desenvolvimento. As equipes de segurança lutam contra a fadiga de alertas, incapazes de distinguir riscos reais exploráveis dos teóricos, disse Oliveira. Os desenvolvedores, por sua vez, carecem de sinais claros de priorização e, com frequência, gastam tempo corrigindo problemas que podem nunca ser explorados em produção, acrescentou. Flick enquadra isso como o dilema do DevSecOps. Apesar de uma década de melhorias na precisão da detecção e na colaboração entre as equipes de segurança e desenvolvedores, as tendências de correção permaneceram estagnadas. "Trimestre após trimestre, ano após ano, o número de vulnerabilidades continua a aumentar", escreveu ele no post sobre a integração. O problema, segundo Flick, se resume a três desafios: equipes de segurança afogadas em fadiga de alerta, enquanto a IA introduz rapidamente novos vetores de ameaças que elas têm pouco tempo para entender; desenvolvedores carentes de priorização clara, enquanto a correção leva muito tempo; e ambas as equipes dependendo de ferramentas separadas e não integradas que tornam a colaboração lenta e frustrante. "Toda vez que eu ia a um novo cliente, era muito frustrante olhar para aquela curva subindo para a direita trimestre após trimestre, ano após ano", disse Oliveira. "E eu perguntava aos clientes: 'Qual é o maior desafio para vocês?' Para eles, era sempre uma questão de priorização. Havia muitos alertas chegando. E, em segundo lugar, era caro para eles corrigir esses problemas." A nova integração funciona bidirecionalmente. Quando o Defender for Cloud detecta uma vulnerabilidade em uma carga de trabalho em execução, esse contexto de tempo de execução flui para o GitHub, mostrando aos desenvolvedores se a vulnerabilidade está voltada para a internet, lidando com dados confidenciais ou realmente exposta em produção. Isso é alimentado pelo que o GitHub chama de Registro Virtual, que cria o mapeamento de código para tempo de execução, disse Flick. Além disso, Flick descreveu como isso acontece na prática. Um aplicativo está ativo e atendendo milhares de clientes quando o Defender for Cloud detecta uma vulnerabilidade em uma API voltada para a internet que lida com dados confidenciais. No passado, esse alerta envelheceria em um painel enquanto os desenvolvedores trabalhavam em correções não relacionadas, pois não sabiam que essa era a crítica, disse ele. Agora, uma campanha de segurança pode ser criada no GitHub, filtrando o risco de tempo de execução, como exposição à internet ou dados confidenciais, notificando o desenvolvedor para priorizar esse problema. O desenvolvedor visualiza o problema em seu fluxo de trabalho, entende por que ele importa e usa o Copilot Autofix para aplicar uma correção sugerida por IA em minutos. O Registro Virtual torna isso possível, permitindo que as equipes respondam rapidamente a questões-chave: essa vulnerabilidade está sendo executada em produção? Está exposta a cargas de trabalho confidenciais? Preciso agir agora? "Ao reunir o melhor do Microsoft Defender for Cloud com o GitHub Advanced Security, estamos conseguindo unir esses dois mundos de segurança e desenvolvimento", explicou Oliveira. "Os líderes de segurança sempre diziam: 'Eu adoraria saber se essa vulnerabilidade está sendo executada em algum lugar. Se não estiver, não me importo. Não preciso tomar uma atitude agora.' Mas se estiver sendo executada em algum lugar, se estiver altamente exposta e qualquer pessoa na internet puder acessar esse serviço, se estiver lidando com dados altamente confidenciais, isso muda completamente o quadro." **Remediação Agente em Escala** Além da priorização, a integração aproveita os recursos de IA do GitHub para o que Oliveira chama de "remediação agente". Usando o Copilot Autofix e o agente de codificação GitHub Copilot, os desenvolvedores podem criar campanhas de segurança e atribuir correções de vulnerabilidade em massa a agentes de IA, disse ele. "Permitimos que você crie uma campanha e, dessa campanha, você pode atribuí-la ao Copilot", disse Oliveira. "Não importa se são 10 vulnerabilidades ou 100 vulnerabilidades, o Copilot pode ajudá-lo agora a lidar não apenas com todos os conflitos potenciais, a mesclagem, a criação de tudo em um único PR [pull request], a verificação do pipeline CI e a garantia de que todos aqueles elementos tediosos que eram exigidos de um desenvolvedor agora podem ser automatizados para eles." O desenvolvedor então revisa o PR em vez de fazer o trabalho tedioso sozinho. De acordo com o GitHub, o Copilot Autofix demonstrou corrigir 50% dos alertas dentro dos PRs, com uma redução de 70% no tempo médio de correção. As campanhas de segurança viram 68% dos alertas remediados. Enquanto isso, Algedik destacou três benefícios tangíveis que a integração oferece: as equipes podem colaborar sem atrito, pois as equipes de segurança abrem e rastreiam problemas do GitHub diretamente do Defender for Cloud; a correção acelera com a IA, pois as correções assistidas pelo Copilot resolvem vulnerabilidades sem interromper o fluxo do desenvolvedor; e as equipes podem priorizar o que mais importa, mapeando as ameaças de tempo de execução diretamente para sua fonte no código. "Segurança, desenvolvimento e IA agora se movem como um só, encontrando e corrigindo problemas mais rapidamente e criando um ciclo de feedback contínuo que aprende com o tempo de execução, alimenta insights de volta ao desenvolvimento e redefine como aplicativos e agentes seguros são construídos na era da IA", escreveu ela. A abordagem representa uma mudança do que Oliveira chama de antiga troca entre velocidade e segurança. "Velocidade e inovação eram basicamente uma troca para a segurança. Se você quisesse realmente consertar os problemas de segurança que estavam surgindo, eles seriam caros. Levariam tempo", disse ele. "O fato de isso agora estar sendo evitado diretamente na fonte, fornecendo proteções para como o desenvolvimento realmente é executado, reduz drasticamente esse atrito." **Prevenção Embutida** A integração se baseia no anúncio do Universe do GitHub de duas semanas atrás, que incorporou a verificação de segurança em fluxos de trabalho de codificação agentiva. O agente de codificação GitHub Copilot agora verifica automaticamente as dependências, verifica as vulnerabilidades do código de primeira parte e detecta segredos codificados antes que o código chegue aos desenvolvedores, disse ele. "Não estamos apenas ajudando você a corrigir vulnerabilidades existentes, mas também estamos reduzindo o número de vulnerabilidades que entram no sistema quando o nível de produtividade de novo código sendo criado está aumentando dramaticamente com todas essas plataformas de agentes de codificação agente", disse Oliveira. Ele chama isso de estratégia dupla: prevenção embutida para novo código e remediação em escala para vulnerabilidades existentes. "99,99999% do código já escrito já existe, e precisamos realmente ver como podemos ficar seguros a partir dessa base de código existente", disse ele. "Mas também, como podemos nos manter seguros, garantindo que coisas novas também não entrem no sistema?" **Plataforma vs. Bolt-On** Oliveira também observou que a abordagem do GitHub é fundamentalmente diferente das ferramentas de segurança tradicionais por causa de sua integração na própria plataforma de desenvolvimento. "Acho que o maior benefício, e quando me encontro com clientes, nunca estive em uma posição como fornecedor de segurança em que entro e tenho desenvolvedores dizendo que compraram a solução porque seus desenvolvedores queriam GitHub e segurança", disse ele. "Segurança de aplicativos é um esporte de equipe. Se você não tiver um desenvolvedor em sua equipe, não importa o quanto você grite; isso não vai mudar nada." Para as equipes de segurança, a integração significa poder abrir e rastrear problemas do GitHub diretamente do Defender for Cloud com contexto completo e detalhes de vulnerabilidade. O progresso é visível em ambos os lados, permitindo que as equipes colaborem sem trocar de ferramentas. "Não estamos mudando para a esquerda. Estamos mudando a segurança para a plataforma", disse Oliveira. "Estamos incorporando-a. Nosso objetivo aqui é tornar a segurança invisível, colocando-a na plataforma e garantindo que essa orientação e essa correção sejam feitas automaticamente." **Renascimento da AppSec** Oliveira afirmou acreditar que a combinação de recursos de IA e integração de plataforma representa o que ele chama de "Renascimento da AppSec" que pode transformar fundamentalmente como a segurança de aplicativos funciona. "As pessoas falam sobre a dualidade da IA, certo, em como a IA pode criar desafios, ou pode ser o vilão ou o herói", disse ele ao The New Stack. "Para mim, acredito que ela pode ser uma heroína tremenda em todo esse quadro. Com essa noção de prevenção e remediação do ponto de vista da segurança de aplicativos, acho que podemos realmente criar o que comecei a chamar de Renascimento da AppSec." A integração já está disponível em versão preliminar pública. Para organizações que constroem aplicativos nativos da nuvem, a integração ajudará a proteger o código para a nuvem sem diminuir o desenvolvimento. "Essa velocidade do que esses agentes de codificação estão nos dando é uma oportunidade de evitar essas trocas", disse Oliveira.