De la garantía continua a la seguridad de aplicaciones con agentes: una historia sobre cómo la seguridad se pone al día con la velocidad

En casi todos los equipos de ingeniería comienza de la misma manera.

Los desarrolladores avanzan con rapidez, creando funciones, integrando paquetes de terceros y, ahora, escribiendo código con copilotos de IA. Los pipelines de CI/CD funcionan a toda marcha, enviando actualizaciones a producción más rápido que nunca. Los clientes están satisfechos con la velocidad.

Pero en el fondo de la mente de cada CISO hay una misma pregunta persistente: “¿Puedo confiar en lo que estamos lanzando?”

Cuando la velocidad supera a la confianza

Durante años, la respuesta predeterminada era "lo analizaremos más tarde". Los escáneres de vulnerabilidades detectaban los riesgos y los equipos de seguridad se apresuraban a clasificarlos tras la compilación. Pero con el tiempo, las fallas de este modelo se hicieron evidentes.

• Una actualización de dependencia se introduce en una biblioteca envenenada.

• Una tubería mal configurada filtra un secreto.

• Y ahora, el código generado por IA introduce errores a un volumen que ningún equipo de revisión humano puede controlar. La escala elimina el "desplazamiento a la izquierda" (y, para empezar, no estaba en las mejores condiciones...).

Lo que antes parecía "suficientemente bueno" ahora se veía superado por la escala. Las regulaciones también comenzaron a ponerse al día: SSDF, SLSA, EU CRA, DORA, FedRAMP, todas exigentes. prueba Que el software esté construido de forma segura, no solo con promesas.

Ahí es cuando comienza la historia de Scribe Security.

Capítulo uno: La fábrica de evidencias

La idea fundadora de Scribe era simple: si no puedes demostrar la seguridad con evidencia, no tienes seguridad en absoluto.

Así que construimos ScribeHub, una plataforma que se encuentra silenciosamente dentro de la fábrica de software y Recopila evidencia firmada en cada paso. No toma el código fuente; en su lugar, recopila:

• SBOM e incluso AI-BOM.

• Crear metadatos, postura de canalización y salidas de escáner.

• Firmas y registros de procedencia.

• ¿Quién aprobó qué, cuándo y dónde?

Cada pieza está firmada, encriptada y alimentada a un gráfico de conocimiento a prueba de manipulaciones – un mapa vivo de todo el SDLC.

Ahora, por primera vez, un líder en seguridad de productos podría responder preguntas difíciles con confianza basándose en evidencia sólida: ¿De dónde salió este contenedor? ¿Quién lo firmó? ¿Pasó todas las verificaciones de la política?

Fue un gran avance. Pero entonces la IA cambió el ritmo otra vez.

Capítulo dos: Cuando la IA se convierte en el constructor

Los asistentes de programación de IA multiplicaron la productividad de los desarrolladores, pero también sus errores. El código funcional apareció al instante, pero también lo hicieron las configuraciones incorrectas, las vulnerabilidades y los secretos expuestos.

De repente, el problema no era sólo de escala, era... escala exponencial.

El equipo de Scribe se dio cuenta de que si la IA podía crear riesgos más rápido de lo que los humanos podían solucionarlos, entonces la IA también tenía que ayudar. remediar Esos riesgos. Esa idea motivó nuestra siguiente evolución: AppSec de Agentic.

Capítulo tres: El ascenso de los agentes

En lugar de una IA monolítica, diseñamos una red de agentes especializados, cada uno centrado en una parte crítica de la cadena de suministro de software:

• Heyman, El copiloto de AppSec habla en un inglés sencillo. Si preguntas "muéstrame vulnerabilidades explotables en el servicio de pagos", no solo responde, sino que abre los tickets de Jira adecuados.

• Remus no solo sugiere correcciones; crea solicitudes de extracción, valida cambios y actualiza registros de procedencia.

• Doctor Optimiza Dockerfiles: elige bases más seguras, reduce imágenes y reevalúa compilaciones.

• Cumplir verifica continuamente los marcos de cumplimiento y elabora informes listos para auditoría.

• Eva garantiza que la evidencia se recopile correctamente en cada canalización.

Cada agente extrae del mismo gráfico de evidencia, garantizar que sus acciones sean consistentes, explicables y auditables.

Juntos, transforman la seguridad de un cuello de botella manual en una Red de seguridad automatizada y sin fricciones.

Capítulo cuatro: Confianza sin desacelerar

La magia radica en lo invisibles que son estos controles para los desarrolladores.

Empuje el código como siempre y detrás de escena:

• Los artefactos están firmados.

• Se generan SBOM.

• Las puertas políticas hacen cumplir lo que está permitido.

• Los agentes analizan los riesgos y, cuando es seguro, toman medidas automáticas.

Los desarrolladores solo ven lo que importa: una solicitud de registro limpia que corrige una vulnerabilidad o un ticket que explica por qué se bloqueó una compilación. La seguridad ya no ralentiza los lanzamientos; los acelera con seguridad.

Capítulo cinco: Prueba en el mundo real

Las organizaciones que utilizan Scribe informan resultados impactantes:

• Reducción del 40 al 70 % en el ruido de vulnerabilidad mediante triaje contextual.

• El MTTR (tiempo medio de remediación) se reduce de semanas a horas para hallazgos recurrentes.

• La preparación de auditorías se redujo a más de la mitad gracias a la recopilación continua de evidencia.

• Estabilidad de lanzamiento mejorada: menos bloqueos de último momento, menos revisiones rápidas.

Y lo más importante: la capacidad de garantizar que cada versión de software cumpla con sus requisitos de seguridad obligatorios probar, no sólo afirmar, que cada lanzamiento sea seguro.

Epílogo: La seguridad en la era de la IA

La historia de la seguridad del software ya no se trata de escanear después del hecho. Se trata de... Generando confianza en el propio oleoducto.

La evolución de Scribe Security, desde la garantía continua hasta la seguridad de aplicaciones con agentes, es un reconocimiento de que el mundo ha cambiado:

• El software es más rápido.

• Los riesgos son más rápidos.

• Y ahora, gracias a Scribe, La seguridad también es más rápida.

Con la evidencia como base y los agentes de IA como fuerza laboral, Scribe ofrece lo que todo CISO y desarrollador necesita: Software en el que puede confiar, a la velocidad que necesita. Lea la historia completa

Artículos relacionados con

Código de IA, solución de IA: ¿Puede la automatización proteger lo que crea?

¡Tu proyecto de programación Vibe está plagado de vulnerabilidades! Desarrollar software con IA ha pasado de ser ciencia ficción a la realidad. Tu proyecto de programación con IA puede funcionar a la perfección… hasta que los hackers encuentren las fallas. En esta publicación, explicaremos cómo pasar de un código generado por IA, lleno de hallazgos y vulnerabilidades, a un producto confiable mediante un recorrido […]

¿Qué sucede cuando una empresa de inteligencia artificial es víctima de una vulnerabilidad en la cadena de suministro de software?

El 20 de marzo, OpenAI eliminó la popular herramienta de inteligencia artificial generativa ChatGPT durante unas horas. Más tarde admitió que el motivo de la interrupción fue una vulnerabilidad en la cadena de suministro de software que se originó en la biblioteca de almacenamiento de datos en memoria de código abierto 'Redis'. Como resultado de esta vulnerabilidad, hubo una ventana de tiempo (entre la 1 y las 10 a.m. […]

La historia del parche OpenSSL 3.0.7 y las lecciones que puedes aprender de él

OpenSSL es una biblioteca de software de código abierto ampliamente utilizada para implementar comunicaciones seguras a través de redes informáticas. ¿Qué tan ampliamente se usa? Bueno, lo más probable es que si alguna vez accediste a una página web HTTPS, lo hiciste a través de un cifrado OpenSSL. La biblioteca proporciona funciones criptográficas y protocolos para el cifrado, descifrado, autenticación y verificación de firmas digitales de datos. OpenSSL puede ser […]