Los discursos de bienvenida de los tres coorganizadores dieron inicio al evento, destacando las novedades de la edición de 2024 de DevOxx France, entre las que se incluyen la incorporación de una segunda planta y algunos ajustes en la organización. Esta edición promete explorar en profundidad los avances y los retos que plantea la integración de la inteligencia artificial (IA) en diversos ámbitos, en particular en la medicina.
Jean-Emmanuel, oncólogo e investigador en inteligencia artificial aplicada a la medicina, cautivó al público con una presentación sobre la era dorada de la IA aplicada a la medicina. Explicó cómo las técnicas de aprendizaje automático permiten entrenar una gran variedad de modelos para mejorar el diagnóstico, la predicción e incluso la cirugía robótica. Entre los ejemplos concretos se incluían la predicción del riesgo de enfermedades con varios años de antelación, la interpretación automatizada de imágenes médicas y el uso de la IA para la detección de la depresión a través de plataformas como Instagram.
A pesar de estos avances, Jean-Emmanuel destacó una serie de retos importantes, entre los que se incluyen la gestión de los datos de entrenamiento, los sesgos inherentes a los modelos y los riesgos de ataques adversarios. Estos factores podrían comprometer la fiabilidad de los diagnósticos basados en IA y la integridad de los tratamientos propuestos. Además, la presentación exploró las perspectivas de desarrollo para los próximos 10 a 15 años, planteando cómo la IA podría revolucionar la salud de forma inclusiva y segura.
Se ha presentado una introducción sobre la distinción entre la IA simbólica y la estadística, especialmente en el contexto médico. La IA simbólica, basada en la lógica y las reglas, contrasta con la IA estadística, que aprende patrones a partir de grandes cantidades de datos. Esta dualidad es fundamental para comprender los diferentes enfoques en materia de diagnóstico y predicción médica.
El aprendizaje profundo y los modelos de lenguaje grande en el diagnóstico
Las aplicaciones del aprendizaje profundo en el campo de la imagen médica, como CHEXnet para la radiografía de tórax o las iniciativas de Google para el análisis del fondo de ojo, demuestran la capacidad de la IA para realizar diagnósticos complejos. Sin embargo, la detección de la depresión a partir de fotos Instagram y la predicción del cáncer a partir de imágenes satelitales plantean cuestiones éticas sobre la vigilancia y la privacidad.
Los modelos de lenguaje a gran escala (LLM), como GPT-4 y Med-PaLM 2, demuestran una eficacia impresionante, superando en ocasiones a la de los médicos en tareas de diagnóstico. No obstante, su capacidad para mostrar empatía y entablar interacciones significativas con los pacientes merece un análisis más detallado, al igual que su uso en la detección de enfermedades raras.
La integración de la IA en la medicina ofrece posibilidades sin precedentes, pero también plantea retos considerables. El potencial de la IA para transformar la medicina es innegable, pero su implementación debe gestionarse con cuidado para evitar comprometer la ética médica, la confidencialidad de los pacientes y la precisión de los tratamientos.
¿Está en peligro el concepto «Human in the loop»?
El deterioro de la capacidad de análisis crítico entre los nuevos residentes, como ilustra el ejemplo del recorte de tumores, pone de manifiesto el riesgo de una dependencia excesiva de la IA. Esto subraya la importancia de mantener un fuerte componente humano en el uso de la IA en medicina, para garantizar que la tecnología ayude a los profesionales sin sustituirlos.
Esta conferencia ha planteado cuestiones fundamentales sobre el futuro de la IA en la medicina, poniendo de relieve la necesidad de encontrar un equilibrio entre la innovación y la ética, el avance tecnológico y la sensibilidad humana. Se insta a la comunidad tecnológica a desarrollar soluciones que no solo resuelvan problemas técnicos, sino que también respeten y enriquezcan la relación entre el médico y el paciente.
Abdellfetah Sghiouar, evangelista de la nube en Google Cloud, presentó los retos de seguridad asociados a nuestra creciente dependencia del software de código abierto. Su intervención puso de relieve la necesidad de adoptar marcos y herramientas más sólidos para proteger las cadenas de suministro de software.
La omnipresencia y los riesgos del software de código abierto
Abdellfetah comenzó señalando hasta qué punto los desarrolladores dependen hoy en día de las bibliotecas de código abierto para casi todos los aspectos del desarrollo de software. Esta dependencia generalizada aumenta el riesgo de exposición a vulnerabilidades no detectadas y a puertas traseras insertadas de forma maliciosa. Citó estadísticas alarmantes del SSCC de Sonatype, señalando que el 96 % del código contiene vulnerabilidades conocidas y parcheables, y que los ataques a la cadena de suministro de software han aumentado un 500 % cada año.
SLSA (Niveles de la cadena de suministro para artefactos de software)
SLSA es un marco de seguridad diseñado para estandarizar y mejorar la seguridad a lo largo de toda la cadena de suministro de software. Ofrece cuatro niveles de seguridad, cada uno de los cuales aumenta la garantía y la resiliencia frente a modificaciones maliciosas:
Nivel 0
Sin garantía. SLSA 0 indica la ausencia de cualquier nivel SLSA
Nivel 1
El proceso de compilación debe estar totalmente automatizado y generar una trazabilidad. La trazabilidad es un metadato que describe cómo se ha compilado un artefacto, incluyendo el proceso de compilación, la fuente de nivel superior y las dependencias. Conocer la trazabilidad permite a los usuarios de software tomar decisiones de seguridad basadas en el riesgo. La procedencia en SLSA 1 no protege contra la falsificación, pero ofrece un nivel básico de identificación del código fuente y puede ayudar en la gestión de vulnerabilidades.
Nivel 2
Requiere el uso de un sistema de control de versiones y un servicio de compilación alojado que genere una procedencia autenticada. Estos requisitos adicionales proporcionan al usuario del software una mayor confianza en el origen del mismo. En este sentido, la procedencia impide la falsificación, siempre y cuando el servicio de compilación sea fiable. SLSA 2 también ofrece una vía sencilla de actualización a SLSA 3
Nivel 3
Las plataformas de origen y de construcción cumplen con normas específicas para garantizar la auditabilidad del origen y la integridad de la procedencia, respectivamente. Estamos considerando un proceso de acreditación mediante el cual los auditores certifiquen que las plataformas cumplen los requisitos, en los que los consumidores puedan entonces confiar. SLSA 3 ofrece protecciones mucho más sólidas contra la falsificación que los niveles anteriores, al prevenir ciertas clases de amenazas, como la contaminación entre construcciones.
Nivel 4
Requiere una revisión por pares de todas las modificaciones y un proceso de compilación hermético y reproducible. La revisión por pares es una buena práctica industrial para detectar errores y disuadir de comportamientos indebidos. Las construcciones herméticas garantizan que la lista de dependencias en el historial sea completa. Las construcciones reproducibles, aunque no son estrictamente necesarias, ofrecen numerosas ventajas en términos de auditabilidad y fiabilidad. En general, SLSA 4 proporciona al consumidor un alto grado de confianza en que el software no ha sido falsificado.
SBOM (Lista de componentes de software)
La SBOM es un documento fundamental que enumera de forma exhaustiva todos los componentes de un software. Abdellfetah explicó cómo una SBOM bien documentada puede ayudar a rastrear y auditar cada elemento utilizado en el desarrollo de software, lo que aumenta la transparencia y la seguridad.
Es fundamental disponer de un inventario completo y preciso de todos los componentes internos y de terceros para identificar los riesgos. Lo ideal es que las listas de materiales (BOM) incluyan todos los componentes directos e indirectos, así como las relaciones de dependencia entre ellos.
CycloneDX supera con creces los requisitos mínimos para una lista de componentes de software, tal y como los define la Administración Nacional de Telecomunicaciones e Información (NTIA) en respuesta a la Orden Ejecutiva estadounidense 14028.
La adopción de CycloneDX permite a las organizaciones cumplir rápidamente con estos requisitos mínimos y evolucionar hacia el uso de casos de uso más sofisticados con el tiempo. También se cubren los requisitos de SBOM definidos en la norma de verificación de componentes de software de la OWASP ( SCVS).
Sigstore
Sigstore es un proyecto diseñado para facilitar la firma, la verificación y la supervisión del software. Mediante el uso de Sigstore, los desarrolladores pueden garantizar la integridad y la procedencia de los códigos fuente y los artefactos de software, contribuyendo así a proteger los repositorios de software contra modificaciones no autorizadas.
Abdellfetah ilustró el impacto potencial de las vulnerabilidades en el software de código abierto con ejemplos reales. Habló de un caso en el que una vulnerabilidad en Node.js permitió la instalación de una puerta trasera en el sistema de un gran supermercado, lo que provocó la filtración de datos confidenciales de los clientes.
Para demostrar la eficacia de las herramientas mencionadas, se llevó a cabo una demostración en directo de la firma de artefactos con cosign , en la que se puso de relieve cómo se pueden verificar de forma fiable las contribuciones a lo largo de la cadena de suministro de software.
Conclusión : ¡Un llamamiento a la acción!
Abdellfetah concluyó subrayando la importancia de adoptar un enfoque de seguridad«Zero Trust» y«Shift-Left», que integre la seguridad desde las primeras fases del desarrollo de software para contrarrestar mejor las amenazas. Animó a los desarrolladores y a las organizaciones a adoptar SLSA, SBOM y Sigstore para reforzar la seguridad de sus proyectos de software.
Esta sesión de DEVOXX France 2024 no solo nos ha concienciado sobre la importancia de la seguridad en el uso del software de código abierto, sino que también nos ha proporcionado herramientas concretas para mejorar dicha seguridad, fomentando así una adopción más segura y responsable de las tecnologías de código abierto.
En la conferencia DEVOXX France 2024, expertos de Thales impartieron una sesión dedicada a la seguridad de la IA generativa y los modelos de lenguaje a gran escala (LLM). Estos son los puntos más destacados de mis notas:
Estrategias y retos de la implementación de la IA generativa en Thales
La sesión abordó las complejidades de la implementación de la inteligencia artificial generativa, en particular los retos de integración y seguridad en sectores críticos como la defensa y la aeronáutica. Katarzyna Kapusta presentó la iniciativa«AI Friendly Hackers» de Thales, cuyo objetivo es poner a prueba la solidez de los sistemas de IA frente a las vulnerabilidades mediante el hacking ético. Nicolas Bouillet abordó la importancia de las normas de seguridad para las herramientas de IA generativa, mientras que Romain Ferrari se refirió al papel fundamental de los modelos de lenguaje a gran escala (LLM) en la mejora de la ciberseguridad en Thales.
Renan Berthier, en su calidad de Product Owner de IA generativa, destacó la importancia de maximizar el valor de los productos al tiempo que se mejora la experiencia del usuario. Entre los tipos de ataques tratados se incluían:
- la contaminación de los datos
- la introducción de puertas traseras
- la filtración de datos
- la inyección de malware
- el robo de modelos y datos
Las medidas defensivas que se debatieron incluían:
- la limpieza de datos
- la detección de puertas traseras
- el entrenamiento adversarial
- las auditorías de código
- la transformación de las entradas
- la marca de agua en modelos y datos
- la criptografía
- el aprendizaje federado
Caja de herramientas «Friendly Hackers Battle Box»
Durante esta sesión se presentó un conjunto de herramientas específico, el«Friendly Hackers Battle Box», diseñado para simular y contrarrestar los ataques contra modelos como el GPT-4. Este conjunto de herramientas muestra técnicas de inyección de prompts, lo que permite a los participantes familiarizarse con estrategias prácticas de defensa contra los ciberataques dirigidos a la IA generativa.
Enfoque para mejorar las reglas de detección
La integración de los conocimientos específicos del sector de Thales enriquece los modelos de lenguaje grande (LLM), lo que permitemejorar el análisis de las reglas de detección y reducir los falsos positivos. Esto demuestra cómo el diseño de las indicaciones puede utilizarse estratégicamente para personalizar los modelos de IA.
La sesión concluyó que la IA no debe considerarse únicamente como una amenaza potencial, sino más bien como un aliado en el ámbito de la seguridad informática. Con las herramientas y estrategias adecuadas, es posible aprovechar las ventajas que ofrece la IA generativa y, al mismo tiempo, mitigar los riesgos asociados. Los ponentes destacaron la importancia de la innovación responsable, la aplicación de buenas prácticas y el desarrollo de herramientas avanzadas de ciberseguridad para mantenerse a la vanguardia de la tecnología y, al mismo tiempo, proteger los sistemas frente a amenazas cada vez más sofisticadas.
La colaboración entre los expertos en IA y los especialistas en ciberseguridad de Thales pone de manifiesto un enfoque proactivo y multidisciplinar que resulta esencial para garantizar la seguridad de las tecnologías de IA generativa. El uso de prácticas como el «hacking ético» para probar y mejorar los sistemas de IA demuestra el compromiso de crear sistemas que sean a la vez robustos y fiables.
Marine Sobas, jefa de ingeniería en Dataiku, tomó la palabra para ofrecer una fascinante presentación que relacionaba el mundo, aparentemente lejano, de los hongos con la inteligencia artificial.
Marine comenzó explorando el uso de los hongos en nuestra vida cotidiana, desde los antibióticos hasta las levaduras, al tiempo que destacaba sus capacidades menos conocidas para resolver problemas complejos. Habló de cómo los hongos se desarrollan en redes óptimas y de cómo pueden resolver problemas como la búsqueda del camino más corto, tareas que suelen encontrarse en los algoritmos informáticos.
Las setas y la IA: una analogía reveladora
La analogía entre las redes miceliales de los hongos y las redes neuronales en la IA ha abierto nuevas vías de reflexión. Marine explicó cómo los mecanismos de propagación de los hongos se asemejan a los de las redes neuronales, lo que sugiere que podríamos extraer importantes lecciones para el desarrollo de la IA.
Marine compartió la misión de Dataiku: hacer que la IA sea más accesible en el ámbito profesional. Destacó la necesidad de comprender más a fondo los principios subyacentes de la IA para lograr su integración satisfactoria en los procesos empresariales.
El estudio de las redes de micelio ha revelado que estas funcionan de manera similar a una red neuronal de IA, lo que plantea la fascinante pregunta de si los hongos podrían inspirar una nueva forma de«hardware» de IA basada en el micelio, aunque menos rápida que el silicio.
Interacciones entre el ser humano y la IA: una dinámica que hay que redefinir
Para concluir, Marine planteó una reflexión sobre cómo podríamos interactuar con la IA en el futuro. Se preguntó si nuestras interacciones con la IA serán simbióticas o parasitarias, invitándonos a reflexionar sobre la naturaleza misma de la inteligencia y sobre nuestro futuro común con las máquinas.
Esta presentación no solo sirvió para abogar por una estrecha colaboración entre disciplinas, sino que también animó a los participantes a considerar la IA no solo como una herramienta o una amenaza, sino como un posible aliado en la búsqueda de soluciones a retos complejos.
Esta interesante sesión, impartida por Steve Rigano y su equipo de Crédit Agricole Technologies & Services, trata sobre la integración de una«Quality & Security Gate» de bloqueo en las cadenas de CI/CD.
Contexto y retos en Crédit Agricole TS
El equipo debatió la estrategia de implementación del«shift-left» en los ciclos de desarrollo para abordar los retos de seguridad sin comprometer la experiencia de los desarrolladores ni el tiempo de comercialización.
Compartieron su experiencia en la implementación de una «Quality & Security Gate» en las cadenas de CI/CD de su entorno nativo en la nube y abordaron los siguientes temas:
Decisiones, enfoque de seguridad y previsiones
Se ha optado por implementar una única «Quality & Security Gate» de bloqueo en la fase de implementación continua (CD), en lugar de múltiples puertas de control o en la fase de integración continua (CI).
También abordaron la importancia de la comunicación, la formación, el acompañamiento y el apoyo a los equipos de desarrollo.
De cara al futuro, tienen previsto reforzar los niveles de seguridad en SonarQube y adoptar un enfoque «Shift-left», integrando la seguridad directamente en los entornos de desarrollo integrado (IDE). También tienen previsto abordar la fase de ejecución mediante el uso de Renovate Bot para las actualizaciones automatizadas de las dependencias.
Esta sesión ha puesto de relieve la importancia de la calidad y la seguridad en el proceso de desarrollo de software, así como la forma en que las empresas pueden fomentar la responsabilidad de sus equipos al tiempo que mejoran la seguridad y la calidad de su producto. El enfoque de Crédit Agricole TS sirve de ejemplo para otras empresas que desean implementar medidas similares.
Woody Zuill, experto en desarrollo de software ágil y lean con más de 40 años de experiencia, impartió una conferencia sobre el enfoque de la «programación mob» (Software Teaming) como método de trabajo en equipo en el desarrollo de software. A continuación se ofrece un resumen de su intervención traducido al francés.
El enfoque de la «programación móvil»
La «programación en equipo» es un método colaborativo, económico y lúdico para trabajar en grupo. Se trata de un enfoque de desarrollo que involucra a todo el equipo en la programación, el diseño, las pruebas y el trabajo con el «cliente» (socio, Product Owner, usuario, etc.) de forma colectiva.
Puntos clave de la sesión
- Facilitar la excelencia para todos: es fundamental crear un entorno en el que todos puedan destacar.
- Potenciar lo que funciona: es importante reforzar los aspectos positivos que destacan en el equipo.
- El fracaso de la comunicación: Woody abordó los retos de la comunicación dentro de los equipos y propuso algunas ideas para mejorar este aspecto.
- Dirigir desde dentro y desde fuera: Se ha destacado la importancia de que cada miembro del equipo sea capaz de dirigir y seguir de forma dinámica.
Retrospectiva y reflexiones personales
Woody compartió sus experiencias y observaciones personales, haciendo hincapié en la necesidad de introducir mejoras constantes, aunque sean pequeñas, ya que estas pueden tener resultados importantes a largo plazo. Destacó la dificultad de lograr esas pequeñas mejoras y se refirió a obstáculos comunes como el cansancio, las interrupciones y la dependencia de las tareas.
Uno de los puntos críticos que se abordó fue la tendencia a tratar los síntomas en lugar de abordar las causas profundas de los problemas. La gestión y los sesgos en nuestras creencias suelen afectar a nuestra capacidad para resolver los problemas de manera eficaz.
¿Suerte o talento?
Woody ofreció su visión sobre el éxito y el fracaso, sugiriendo que el éxito es una mezcla de talento y suerte, y que los grandes éxitos suelen implicar un poco más de talento y mucha más suerte.
Presentó la ley de Wiio, que establece que la comunicación fracasa salvo por casualidad, y explicó que la atención suele basarse en una experiencia limitada. También se refirió a los sistemas dentro de sistemas y a los niveles de sistemas complejos.
Llamadas a la acción
Woody concluyó animando a adoptar el hábito de realizar pequeñas mejoras y destacó la importancia de diferenciar entre los problemas y los síntomas. Hizo un llamamiento a reflexionar sobre el papel de la gestión, las creencias, los sesgos y la comunicación en la resolución de problemas.
Por último, animó a experimentar como la mejor forma de alcanzar el éxito trabajando como un equipo unido y potenciando la buena colaboración. Sugirió evitar una cultura de silos paraevitar el aislamiento de los sistemas y los ámbitos, y promovió la idea de que juntos podemos prestar más atención, recibir comentarios y experimentar para mejorar las cosas.
DEVOXX France 2024 concluyó con un evento que reunió a figuras destacadas del panorama DevOps, titulado «Todos y todas mercenarios de DevOps». Este grupo de expertos compartió sus reflexiones y experiencias sobre la evolución de DevOps, sus prácticas actuales y las implicaciones futuras.
Taller participativo y retrospectiva
El evento incluyó un taller participativo sobre la implementación de DevOps, moderado por figuras emblemáticas como Arnaud Héritier, de Doctolib, quien compartió su experiencia en la optimización de métodos y herramientas de desarrollo. Henri Gomez enriqueció el debate con su amplia experiencia en el ámbito del código abierto y su enfoque único de la ingeniería de software, mientras que Pierre-Antoine
Grégoire ha aportado su amplia visión de la arquitectura de software y su liderazgo a la comunidad tecnológica de Luxemburgo.
Dimitri BAELI y Gildas Cuisinier completaron el panel compartiendo su pasión por la organización de los equipos técnicos y la importancia crucial de la automatización en la cultura DevOps. Gildas, en particular, ilustró cómo las implementaciones sin estrés pueden convertirse en una realidad gracias a unas prácticas DevOps bien consolidadas.
Los participantes pudieron compartir sus experiencias y tomar parte en una retrospectiva de los últimos diez años de DevOps. Katia, de cockpit.io, presentó el término «DevOps» desde una nueva perspectiva, invitando al público a reflexionar sobre la integración efectiva de DevOps en sus organizaciones.
El grupo «Mercenarios de DevOps» moderó un interesante debate sobre temas como la ingeniería de plataformas, la ingeniería de fiabilidad del sitio (SRE), la observabilidad y las infraestructuras modernas. Esta sesión de clausura permitió a los participantes no solo reflexionar sobre los éxitos y los retos afrontados durante la última década, sino también mirar hacia el futuro e imaginar juntos cómo podría seguir evolucionando la colaboración entre el negocio, el desarrollo y las operaciones.
Este diálogo constructivo ha reafirmado la importancia de DevOps como movimiento colaborativo y ha puesto de relieve la necesidad de adoptar un enfoque integrado y holístico para mantener la agilidad en un mundo tecnológico en constante evolución.
Esta duodécima edición de DEVOXX France 2024 ofreció una visión fascinante de la evolución de las tecnologías DevOps y la inteligencia artificial, demostrando su papel fundamental en la transformación digital de las empresas. A través de diversas sesiones, en las que participaron expertos como Woody Zuill con la «Programación Mob» y los equipos de Crédit Agricole debatiendo sobre las «Quality & Security Gates» en las cadenas CI/CD, el evento puso de relieve un enfoque de colaboración e innovación continua.
Desde la comparación entre los procesos miceliales de los hongos y las redes neuronales de la IA hasta la reflexión sobre las prácticas de seguridad y calidad en DevOps, se han puesto de relieve los profundos vínculos que existen entre el desarrollo ágil, la seguridad proactiva y el uso ético de la IA.
Esta convergencia de temas no solo ha reafirmado la importancia de una integración plena de las tecnologías, sino que también ha sentado las bases para una futura colaboración en la que la tecnología, los procesos y la perspectiva humana se unen para ampliar los límites de la innovación técnica y organizativa.
Lionel GAIROARD
Responsable de DevSecOps
