Crédit : Dreamstime
Fournisseur de sécurité cloud sans agent Orca Security a en fait intégré Microsoft Azure OpenAI GPT-4 dans sa plate-forme de sécurité des applications natives du cloud (CNAPP) dans le cadre du programme de mise en œuvre de ChatGPT que la société de cybersécurité a lancé plus tôt cette année.
« Avec notre passage à Azure OpenAI, notre les clients bénéficient de la sécurité, de la fiabilité et de l’assistance au niveau de l’entreprise qu’offre Microsoft », a déclaré Avi Shua, directeur du développement et cofondateur de Whale Security.
« En intégrant GPT-4 dans la plate-forme CNAPP de Whale Security , les spécialistes de la sécurité peuvent générer immédiatement des directives de suppression de haute qualité pour la plate-forme de leur choix. »
L’intégration pourrait aider les groupes devsecops travaillant dans des environnements cloud.
« Dans les applications cloud natives, il est parfait d’apporter autant de modifications que possible au début du cycle de vie, par exemple dans les outils IaC ou Terraform, car les équipes ont généralement du mal pour traiter tous les problèmes que les outils de sécurité identifient en production », a déclaré Jimmy Mesta, co-fondateur et directeur de la technologie de KSOC, une entreprise de sécurité Kubernetes.
« L’objectif d’Orca est de répondre à cette réalité en essayant d’aider les clients à minimiser le temps passé à agir sur les signaux de leur option. »
De plus, Orca a en fait révélé une suite de toutes nouvelles fonctionnalités qui se produisent avec la combinaison. La combinaison ainsi que les améliorations sont immédiatement disponibles.
GPT permet des requêtes sur les directions de correction
Avec une combinaison basée sur l’API REST (Representational State Transfer) avec le transformateur génératif pré-formé d’OpenAI (GPT), Orca vise à ce que les spécialistes de la sécurité créent des instructions de correction pour chaque alerte à partir de la plate-forme Whale CNAPP.
« Orca révèle l’utilisation de GPT-4 pour créer des instructions de correction pour les signaux créés par son produit . Ces instructions de suppression seraient utilisées à divers endroits en fonction de la nature de la suggestion ; par exemple, elles pourraient être utilisées pour un outil Infrastructure as Code (IaC) ou un compte de services cloud comme Azure Kubernetes Service (AKS) ou Google Kubernetes Engine ( GKE) », a déclaré Mesta.
Les directives de suppression créées peuvent être copiées et collées dans des plates-formes telles que Terraform, Pulumi, AWS CloudFormation, AWS Cloud Advancement Set, Azure Resource Supervisor, Google Cloud Release Supervisor et Open Agent de politique.
De plus, les développeurs peuvent demander à ChatGPT– une grande conception de langage (LLM) basée sur l’architecture GPT– des préoccupations de suivi concernant la correction, directement à partir de la plate-forme Orca.
« Orca affiche des notifications d’erreurs de configuration du cloud lors de l’exécution, après la mise en œuvre, donc au moment où les alertes sont révélées, le problème est actuellement présent. La combinaison est utile dans le sens de revenir en arrière dans le cycle de vie de l’avancement de l’application pour réparer le problème dans le code. Un peu comme « découvrir en production, réparer tôt dans le cycle de vie », a déclaré Mesta.
GPT-4 automatise la production d’extraits de code
Orca avait présenté GPT-3 (une version antérieure variation) assistance dans la plate-forme Whale en janvier et a en fait considéré qu’elle avait déclaré une réduction spectaculaire du délai moyen de résolution (MTTR) des consommateurs. L’intégration GPT-4 devrait s’appuyer sur cet élan, car la mise à niveau du modèle comprend une amélioration précision en plus de la possibilité de créer des bits de code.
D’autres améliorations qui accompagnent la combinaison GPT-4 pour Whale incluent « l’optimisation en temps opportun pour produire des réactions de correction encore plus précises, l’inclusion d’instructions de correction dans les tickets Jira attribués, l’assistance pour la suppression d’Open Policy Agent (OPA) et les nouvelles approches de remédiation spécifiques aux fournisseurs de cloud comprenant AWS, Azure et Google Cloud », selon Shua.
Open Policy Agent (OPA) est une solution open source, moteur de politique à usage général qui permet l’exécution de la politique en tant que code. Il fournit un langage déclaratif appelé Rego qui permet aux utilisateurs de spécifier des politiques en tant que lignes directrices qui examinent si une demande doit être autorisée ou refusée.
En outre, l’intégration GPT-4 ajoute la sécurité et le support commercial de Microsoft , y compris la confidentialité, la conformité, la disponibilité à 99,9 % du quartier et le calendrier régional.
« Avec notre transition vers Azure OpenAI, nos clients bénéficient de la sécurité, de la fiabilité et de l’assistance au niveau commercial fournies par Microsoft. Malgré le fait qu’Orca garantit actuellement la confidentialité personnelle en anonymisant les demandes et en masquant tous les détails délicats avant de les soumettre à GPT, Azure OpenAI fournit davantage de garanties de confidentialité personnelle et est entièrement certifié réglementaire (HIPAA, SOC2, etc.) « , a déclaré Shua.
L’intégration GPT soulève des problèmes de sécurité des données
Indépendamment de sa gratitude pour l’effort intégré de Whale, Mesta apporte quelques rendez-vous sur les menaces associées à l’utilisation de GPT pour traiter tout type de données client.
« Le premier problème est la réalité selon laquelle, au fur et à mesure que les modèles d’IA évoluent, GPT est formé en utilisant les données d’autres individus et ce sont les informations dont la conception s’inspire. Ils n’utilisent pas vos informations pour former la conception, c’est pourquoi, sur un certain nombre d’événements, le modèle est connu pour avoir simplement composé des réponses basées sur des références arbitraires. Si cela se produisait ici, des conseils de remédiation incorrects pourraient faire plus de mal que de bien », a-t-il déclaré.
La deuxième préoccupation de Mesta est la sécurité des informations téléchargées sur les systèmes GPT qui, dans de nombreuses parties, sont censées être pris en charge par les collaborations de Whale et Microsoft. Il mentionne un événement récent de Samsung où les employés ont mis des informations secrètes dans ChatGPT et mentionne « une telle erreur humaine est toujours une possibilité lorsqu’un autre système s’ouvre, mais c’est spécifiquement un problème avec l’attrait conversationnel de GPT. «
« Que se passe-t-il si vous avez besoin de décrire une zone pour les magasins secrets et le code source dans les directives de suppression et que quelqu’un met par inadvertance des informations confidentielles ? L’intention n’est peut-être pas malveillante, mais l’action pourrait être plutôt préjudiciable », a ajouté Mesta.
De nombreuses entreprises et de nombreux pays génèrent une sorte de contraintes autour de l’utilisation de modèles basés sur GPT pour des raisons de confidentialité. « Ces choix valider le véritable risque encouru, que vous soyez un organisme du gouvernement fédéral ou un fournisseur de sécurité », a-t-il déclaré.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
