Michael Hanley: ‘IA já está transformando radicalmente o desenvolvimento de software’
CISO da GitHub dá entrevista ao IT Forum e fala sobre códigos abertos e cibersegurança
No GitHub há quase três anos, Michael Hanley, CSO e vice-presidente sênior de Engenharia da companhia, entrou na equipe como o primeiro CISO e foi o responsável por reunir todas as equipes de segurança sob o mesmo tempo e se reportar diretamente ao CEO do GitHub.
Em entrevista ao IT Forum, o especialista pincela sobre a importância da cibersegurança para open source e como a Inteligência Artificial está mudando o mercado de desenvolvimento em todo o mundo.
“Nós acreditamos que a IA já está transformando radicalmente o desenvolvimento de software e parte disso é que vai transformar a forma como os desenvolvedores pensam sobre segurança”, frisa ele.
Confira os melhores momentos do bate-papo:
IT Forum: Qual a importância da cibersegurança em um ambiente open source?
Michael Hanley: A maneira como pensamos sobre segurança aqui no GitHub é que há três pilares: a primeira é manter a própria empresa e os dados dos nossos clientes seguros. A segunda é a parte em que operamos uma plataforma na qual nossos produtos devem estar seguros. E a terceira é que somos a casa de mias de 100 milhões de desenvolvedores e projetos em nossos repositórios.
Nós temos que ajudar a garantir que todas as pessoas que usam o GitHub, sejam clientes pagantes ou desenvolvedores de código aberto, tenham os melhores resultados de segurança através de como construímos a plataforma por meio dos recursos de segurança que distribuímos, especialmente para a comunidade de código aberto.
Em resumo, por que é importante a segurança para o open source? A grande maioria das pessoas experimentam softwares com código aberto, seja no smartphone, na geladeira inteligente, no carro, ao pedir uma comida por um aplicativo, entre outros.
Mesmo os recursos, como os roteadores que movimentam o tráfego pela Internet ou os protocolos envolvidos neles, todas essas coisas são praticamente construídas em código aberto. Os códigos abertos podem ser pensados como a base de toda experiência tecnológica que temos hoje. Mas o que é incrível é que tudo foi escrito por voluntários.
Leia mais: Github anuncia novos recursos impulsionados por IA generativa
Portanto, a grande maioria dos desenvolvedores de código aberto estão fazendo isso de graça em seu próprio tempo. O desafio é, claro, que muitos deles não são especialistas em segurança. E por outro lado, eles não têm orçamento para sair e comprar ferramentas de segurança para ajudá-los a fazer bem a segurança, então eles realmente dependem da participação de especialistas, como nós, distribuindo nossas ferramentas de código aberto para repositórios públicos. E o impacto de uma vulnerabilidade de segurança e de código aberto pode ser enorme.
IT Forum: A falta de profissionais de cibersegurança também está envolvida nesse processo?
Michael Hanley: Sim, esse é um desafio. Sabemos que há uma escassez de talentos em segurança cibernética em todo o mundo. Então você acrescenta que empresas estão usando um monte de código que não escreveram e, que em muitos casos, é de código aberto.
E há mais complexidades. Muitas vezes, as vulnerabilidades que residem no código-fonte aberto já existem há anos antes de serem descobertas. Portanto, o bug pode ter sido introduzido vários anos antes de realmente se tornar um problema. Então, há uma certa quantidade de coisas que não ficam latentes até que alguém as encontre, mas quando as encontram foi porque essas ofertas penetraram no ecossistema mais amplo de uma forma que o torna onipresente.
IT Forum: Indo mais a fundo nas soluções, vocês lançaram há pouco tempo algumas soluções em IA. Elas têm a ver com esse universo?
Michael Hanley: Nós acreditamos que a IA já está transformando radicalmente o desenvolvimento de software e parte disso é que vai transformar a forma como os desenvolvedores pensam sobre segurança.
Por isso, criamos o GitHub Copilot, que está ajudando os desenvolvedores a escrever código. A ferramenta traz um grande benefício de segurança para os desenvolvedores, quer eles estejam trabalhando em uma empresa ou sejam desenvolvedores de código aberto. Da forma como os modelos funcionam, eles estão recebendo sugestões para códigos mais seguros. Então, com o tempo, é como ter um ajudante de segurança com você.
É uma grande mudança porque você está dando a eles esse feedback em um lugar que tem um enorme impacto em relação às abordagens mais tradicionais de segurança. Portanto, a IA já está causando grandes ondas nesse estágio.
Também anunciamos alguns outros recursos, que incluem a capacidade de fazer coisas como sugerir automaticamente correções para vulnerabilidades no código. Para o código que já foi escrito, temos algo chamado varredura de código. E o que é interessante é que a leitura de código é excepcionalmente eficaz. Descobrimos que cerca de metade dos bugs para os quais encontramos soluções já foram solucionados.
Com a IA, damos sugestões melhores sobre como seria uma correção, explicamos qual é o bug e o que ele deve fazer sobre isso.
IT Forum: Por outro lado, sabemos dos problemas da IA. Como vocês estão gerenciando os desafios de segurança e privacidade de dados?
Michael Hanley: Como parte da Microsoft, estamos totalmente comprometidos com o desenvolvimento responsável da IA. E acho que uma grande parte da abordagem é que ainda é o começo da IA. Há muita coisa que ainda não sabemos sobre como isso vai se desenrolar ou sobre as novas maneiras pelas quais as pessoas usarão a IA para criar experiências para as pessoas.
Acho que é aí que temos algo chamado processo de IA responsável. O que inclui grande ênfase na transparência, para ser claro com as pessoas sobre o que estamos fazendo e quais dados são usados e de que forma ou quais dados não são usados ou como você pode optar por não participar de algumas dessas coisas.
Gastamos muito tempo e energia para garantir que sejamos transparentes, para que as pessoas possam tomar uma decisão mais informada sobre confiar ou não. Claramente, este espaço está se movendo muito rapidamente.
Há um ano, a maioria das pessoas não sabia o que era ChatGPT. Você pensa sobre isso que realmente catapultou essas experiências para o mainstream. Mas, podemos olhar para baixo e dizer que iniciativas como o GitHub Copilot já têm mais de um milhão de usuários usando, então a adoção é muito forte no espaço do desenvolvedor. E acho que só vai continuar a aumentar a partir daqui.
Eu não acho que haja como voltar atrás daqui. Acho que será uma questão de como podemos ajudar as pessoas a estarem munidas de ferramentas e informações onde possam tomar uma decisão informada sobre o papel que a IA desempenha em sua organização e quais tarefas elas confiarão nela ou nas quais estarão envolvidas com um humano.
IT Forum: Um grande passo nesse sentido foi a decisão de Biden sobre regulação da IA…
Michael Hanley: Esse é um bom exemplo de onde o setor público trabalha abertamente para promover feedback e obter alinhamento na regulamentação inteligente. Eles abrem a segurança do código-fonte de forma mais ampla e diminuem o zoom da IA por um segundo.
Acho que vimos muitos progressos no diálogo com o setor público ao longo dos últimos anos. A Casa Branca está aberta, hospedou diversas cúpulas, participou diretamente de conversas com a fundação de segurança de código aberto, da qual sou um dos membros do conselho.
É uma contemplação de que os governos plurais têm coisas únicas que podem fazer como entidades do setor público em todo o mundo e podem fazer coisas que as empresas não podem. Da mesma forma que as empresas têm conhecimentos e capacidades, o setor público não tem a ideia de que estes se unem de forma inteligente, incluindo uma espécie de concepção da regulamentação de uma forma que seja inteligente.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!