Nueva prueba de seguridad de aplicación con inteligencia artificial en GitHub Advanced Security.

Añadir a tus IAs favoritasQuitar de tus favoritasQuitar de favoritos 0
Puntuación+1

2023-11-11 10:04:51

Puntos destacados:

🤖 Nuevo autofix para code scanning powered by CodeQL.
🔍 Detección de contraseñas filtradas con secret scanning.
🔑 Generador de expresiones regulares para patrones personalizados.

Descubre cómo las nuevas funciones impulsadas por IA de GitHub Advanced Security pueden ayudarte a asegurar tu código de manera más eficiente que nunca.

En GitHub, nuestro enfoque principal radica en la reducción de la fricción en los flujos de trabajo, y esto adquiere una importancia excepcional en el ámbito de la seguridad. Para los desarrolladores, resulta esencial contar con la capacidad de asegurar proactivamente su código en el mismo momento de su creación, en lugar de tener que detectar y remediar vulnerabilidades una vez que ya están presentes. La integración de medidas de seguridad desde el inicio se convierte en un pilar fundamental para la entrega de aplicaciones completamente seguras.

En el último año, GitHub Advanced Security ha lanzado más de 70 características diseñadas para mejorar las pruebas de seguridad de tus aplicaciones y fortalecer las capacidades de tu cadena de suministro de software. Entre las novedades más destacadas, Dependabot puede ahora consolidar múltiples actualizaciones de versiones en una única solicitud de extracción. La exploración de código tiene la capacidad de llevar a cabo análisis de variantes en hasta 1,000 repositorios con tan solo una consulta, y la exploración de secretos, además de ser gratuita para todos los repositorios públicos, ahora incluye comprobaciones de validez.

Además, gracias a la inteligencia artificial, hemos alcanzado el potencial de revolucionar la forma en que los desarrolladores construyen aplicaciones seguras desde el inicio, transformando de manera radical la definición tradicional de «shift left» en el ciclo de desarrollo. Hoy, nos complace enormemente anunciar avances en tres características impulsadas por la IA dentro de GitHub Advanced Security, acompañados de mejoras sustanciales en nuestra capacidad de vista general de seguridad.

Arregla problemas más rápido con la corrección automática de la exploración de código

La exploración de código, impulsada por nuestro motor de análisis estático CodeQL, ahora incluye una capacidad de corrección automática diseñada para ayudar a los desarrolladores a lograr tiempos de corrección más rápidos, lo que lleva a una mayor productividad, menos deuda técnica de seguridad y un código más seguro.

Con esta innovadora función, recibirás correcciones generadas por la inteligencia artificial para las alertas de CodeQL en JavaScript y TypeScript de manera directa en tus solicitudes de extracción. Estas no son simples correcciones, sino sugerencias precisas y prácticas que te permitirán comprender de inmediato la vulnerabilidad y cómo abordarla. Tienes la capacidad de aplicar estas correcciones de forma instantánea en tu código, lo que te facilitará resolver problemas con mayor rapidez y prevenir la introducción de nuevas vulnerabilidades en tu código base. ¿Cómo funciona esto?

Después de llevar a cabo el análisis de CodeQL, GitHub realiza una consulta sin interrupciones en un modelo de lenguaje natural avanzado en busca de correcciones relacionadas con cualquier alerta recién identificada. Estas sugerencias de solución generadas por la inteligencia artificial se presentan como propuestas de código en las pestañas «Conversación» y «Cambios en archivos» de la solicitud de extracción. Luego, tienes la opción de visualizar y aceptar estas recomendaciones de cambios, e incluso de editar las correcciones sugeridas antes de fusionarlas con tu código base.

La excelencia de esta característica radica en proporcionar una experiencia de corrección sin complicaciones, permitiendo a los usuarios resolver ágilmente las vulnerabilidades durante el proceso de codificación. Esto se traduce en un tiempo de corrección aún más rápido, manteniendo la misma precisión que los usuarios de exploración de código han llegado a esperar.

Detecta contraseñas filtradas con la exploración de secretos

Las contraseñas son una categoría desafiante dentro de la detección de secretos. A menudo se filtran y, como resultado, son un objetivo popular para atacantes maliciosos que buscan obtener acceso no autorizado. Desafortunadamente, las contraseñas son difíciles de detectar para las soluciones de detección de secretos porque no siguen un patrón específico. La última generación de LLMs ofrece la oportunidad de encontrar estas contraseñas con menos falsos positivos que los métodos tradicionales.

Actualmente en versión beta pública limitada, la exploración de secretos ahora aprovecha el poder de la IA para detectar secretos genéricos o no estructurados en tu código.

Los resultados se mostrarán en una pestaña separada llamada «Otros», junto con patrones de baja confianza adicionales. Aquí, los administradores de seguridad y los propietarios de repositorios pueden ver alertas sobre una posible contraseña filtrada activa, al tiempo que se centran en remediar los hallazgos de mayor confianza en la interfaz de usuario existente. Si determinan que la alerta es legítima, pueden trabajar con el desarrollador para resolver el problema.

Ahorra tiempo con el generador de expresiones regulares para patrones personalizados
Si bien el programa de socios de exploración de secretos de GitHub es robusto, con 180 socios y más de 225 patrones admitidos, los usuarios aún pueden necesitar crear patrones personalizados adicionales para detectar tipos de secretos únicos de su organización. Al igual que aprender un lenguaje de programación miniatura, escribir expresiones regulares puede ser difícil debido a los muchos parámetros y matices involucrados.

security overview dashboard 🤖 Nuevo autofix para code scanning powered by CodeQL.🔍 Detección de contraseñas filtradas con secret scanning.🔑 Generador de expresiones regulares para patrones personalizados.

Para facilitar y acelerar la creación y actualización de patrones personalizados, GitHub ahora incluye una experiencia impulsada por IA para la creación de patrones personalizados. A través de esta experiencia basada en formularios, todo lo que tienes que hacer es responder algunas preguntas simples para generar automáticamente patrones personalizados en forma de expresiones regulares. Esta nueva característica te permite ejecutar pruebas en seco en tiempo real para asegurarte de que la exploración sea adecuada antes de guardar el patrón recién creado.

Estas actualizaciones no solo ahorran un tiempo increíble, sino que, en última instancia, te ayudarán a obtener la cobertura que necesitas para asegurarte de que tus secretos estén seguros.

Ver más datos importantes con el nuevo panel de vista general de seguridad
Si bien GitHub Advanced Security está diseñado para desarrolladores, un programa de seguridad exitoso es una colaboración entre desarrolladores y equipos de seguridad. Ahora, con el nuevo panel de vista general de seguridad, los administradores de seguridad y los administradores tendrán acceso a un nuevo panel que aporta análisis de tendencias históricas a tus alertas de seguridad en GitHub.

Con este panel, podrás comprender la postura de seguridad holística de tu organización a través de los riesgos, las remedios y la prevención:

  • Riesgo. Muestra los hallazgos de seguridad en tus repositorios, así como dónde hay aumentos o disminuciones en los hallazgos y las categorías de hallazgos.
  • Remedios. Te ayuda a comprender la efectividad de tus prácticas de remedio. Por ejemplo, cuántos hallazgos de seguridad se han cerrado y el tiempo promedio de remedio en tu organización.
  • Prevención. Ofrece una vista clara de dónde se han prevenido problemas de seguridad a través de funciones como la protección de envío.

Estos elementos cambiarán dinámicamente a medida que filtres los datos por rango de fechas, repositorio y otros criterios, lo que te permitirá obtener respuestas a las preguntas más apremiantes que tengas sobre tu programa de seguridad de aplicaciones más rápido que nunca.

Una seguridad mejor, más felicidad

Los anuncios de hoy ayudarán a tus desarrolladores y equipos de seguridad a colaborar de manera más efectiva para encontrar y solucionar problemas de seguridad donde ya trabajan, dentro de GitHub. Estamos emocionados de aprovechar el poder de la IA para mejorar la relevancia de las alertas, acelerar el remedio y mejorar la experiencia administrativa, con el objetivo final de hacer que tus equipos sean más felices y productivos, y que tu código sea más seguro.

Deja una opinión

      Deje una respuesta

      🤖 AI MAFIA
      Logo