GitLabは、競合のGitHubと同様に、オープンソースのGitプロジェクトから生まれ、現在もオープンコア企業(つまり、誰でも貢献できるオープンソースソフトウェアを商用化する企業)です。2011年にオープンソースのコード共有プラットフォームとして立ち上げられて以来、DevOpsソフトウェアパッケージのユーザー数は3,000万人を超えています。2023年5月には、GitLab 16でDevSecOpsプラットフォームに新たなAI機能をリリースしました。同社によると、この中には60近くの新機能と機能強化が含まれています。
今月開催されたBlack Hatカンファレンス2023で、GitLabの最高情報セキュリティ責任者(CISO)であるジョシュ・レモス氏がTechRepublicの取材に対し、DevSecOps、同社がプラットフォームにセキュリティ機能を組み込む方法、そしてAIが継続的インテグレーションを加速し、セキュリティのシフトレフトを容易にする方法について語った。レモス氏によると、GitLabはソースコード管理、継続的インテグレーション、パイプラインにルーツを持つ、いわばソフトウェア構築のためのファウンドリーである。
ジャンプ先:
- 大規模なビルドチェーンのセキュリティ確保
- サプライチェーン攻撃:身代金よりも持続性が重要
- GitLabのAIツールキット、コード生成から自然言語の提案まで
- シフトレフト: 開発者へのジャストインタイムの実用的なフィードバック
大規模なビルドチェーンのセキュリティ確保
Karl Greenberg: GitLab でのあなたの役割についてお話しいただけますか?
ジョシュ・レモス:まず、DevOpsとコードのライフサイクル全体にセキュリティが組み込まれたことで、ビルドチェーンのより早い段階でセキュリティを組み込む機会が得られました。CISOとして、私は企業のビルドパイプラインのセキュリティ確保を支援するという重要な役割を担っています。そのため、GitLabを支援し、CISOとして他の企業で行っているのと同じことを自社の製品ソフトウェアのセキュリティ確保という形で行っているだけでなく、数千社規模の企業に対しても大規模なセキュリティ対策を行っています。
参照:生成AIはサイバーセキュリティにどのような影響を与えるのか?Black Hatで専門家が議論(TechRepublic)
Karl Greenberg:このリポジトリのエコシステムにおいて、GitLab は GitHub などとどのように差別化しているのでしょうか?
Josh Lemos:このエコシステムは基本的に二極化しています。GitHubはソースコード管理とビルドフェーズに重点を置いていますが、GitLabはDevSecOps、つまりビルドチェーン全体、つまりInfrastructure as Codeと継続的インテグレーション、つまり本番環境に至るまでのサイクル全体に重点を置いています。
サプライチェーン攻撃:身代金よりも持続性が重要
カール・グリーンバーグ:そのサイクル内の脅威アクターのキル チェーン、つまり DevSecOps が阻止しようとしている攻撃 (たとえば Log4j を使用したサプライ チェーン攻撃) を見ると、これは金銭目的のアクターが身代金を要求しているわけではないですよね?
ジョシュ・レモス:確かにそれは一つの結末ですが、ランサムウェアの最終目的はかなり限定的です。攻撃者にとってより興味深いのは、長期間にわたって検知されずに沈黙を維持する方法を見つけることだと思います。最終的な目標は、企業、政府、あるいはあらゆる組織からデータを盗み出すか、情報を得ることです。理由は様々ですが、金銭目的、政治的な目的、あるいは知的財産権の侵害などが考えられます。
カール・グリーンバーグ:あるいは、脅威の主体がネットワーク内に永続的に存在することを考えると、アクセス ブローカーがこれを行うのだと思います。
ジョシュ・レモス:一般的に、攻撃者はアクセスを無駄にしたくないので、永続的な記録をできるだけ長く保持したいのです。最初の質問に戻りますが、私の目標は、企業がビルドパイプラインを効果的に保護し、シークレットへのアクセスを制限し、クラウドセキュリティとCI/CDセキュリティ制御を大規模に活用できる環境を構築することです。
参照: GitLab CI/CD ツールのレビュー (TechRepublic)
GitLabのAIツールキット、コード生成から自然言語の提案まで
Karl Greenberg: GitHubはCopilotの導入で大きな成功を収めています。GitLabの生成AIイノベーションとは何でしょうか?
ジョシュ・レモス:私たちは10以上のAI機能を提供しており、その中にはコード生成といった分かりやすいユースケースに特化したものもあります。例えば、Copilotの私たちのバージョンはGitLab Duoです。他にも、プロジェクトの変更点やレビュー担当者の提案に非常に役立つAI機能があります。プロジェクトに誰が貢献したか、誰がその変更をレビューする可能性があるかを把握し、AIを用いて推奨事項を作成できます。つまり、これらのツールはすべて、開発者が開発を中断してミスを探すことなく、開発へのセキュリティの組み込みを自動化します。
参照:DevSecOpsに関するGitLabレポート:AIが開発者の役割をどのように変えるか(TechRepublic)
カール・グリーンバーグ:しかし、明らかに、それを早期に実行する必要があります。なぜなら、それが一般に公開される頃には、コストが高くなり、露出の問題、つまり実際の脆弱性に対処することになるからです。
ジョシュ・レモス:はい、これはプロセスの初期段階、つまり開発者がコードをコミットする段階、つまりまだそのコードについて考えている段階でフィードバックループを強化するという意味で、シフトレフトです。開発者は、問題を特定して修正するためのフィードバックを、自社のプロセス内、そして当社のプラットフォーム上で得られるため、外部ツールを使う必要がありません。また、この緊密なフィードバックループのおかげで、ソフトウェアが本番環境に移行するまで待つ必要がなくなり、ビルド時に問題が発生した時点で特定できるようになります。
シフトレフト: 開発者へのジャストインタイムの実用的なフィードバック
Karl Greenberg:ソフトウェア プロセスにおける主なセキュリティ上の課題には、これまでお話しいただいたツール以外に、何らかのセキュリティ ソリューションが必要なものはありますか。
ジョシュ・レモス:一般的に、シフトレフトに関する用語の多くは、関与する開発者の数に関わらず、ソフトウェアパイプラインのセキュリティを確保することを目的としていると思います。これは、ビルドおよび開発プロセスに携わる開発者に、適切で実用的な、そして有意義なフィードバックを提供することで実現できます。この部分を可能な限り自動化することで、セキュリティチームが、コードのビルドとコミットの段階に至る前のプロセスの初期段階で、より洞察力のある設計とアーキテクチャの作業に取り組めるようにしたいと考えています。
Karl Greenberg:純粋に ML および AI 駆動型ツールについて話しているのでしょうか?
Josh Lemos:ツールと機能は多種多様です。従来型の静的コード分析ツールもあれば、既知のCVE(共通脆弱性識別子)やパッケージを探すコンテナスキャンツールもあります。つまり、AIと非AIが混在しているということです。しかし、自動化には大きな可能性が秘められています。AIによる自動化であれ、従来型のソフトウェアによるCI/CDセキュリティ自動化であれ、これらは手作業と労力を削減し、チームを自動化ではまだ解決できない他の問題に集中させることができます。そして、これがセキュリティチームにおける大きな流れだと思います。企業として求められるスピード、そしてエンジニアリングチームと同等のスピードでスケールアップし、対応していくために、まず自動化を進めるにはどうすればよいのでしょうか?
