DEV Community

Adrian
Adrian

Posted on

Cómo construí un ecosistema de agentes de IA para automatizar la seguridad del código

🔐 Automaticé la seguridad del código con Agentes de IA — y esto es lo que aprendí.

En los últimos meses lideré el diseño y la implementación de un ecosistema completo de agentes de inteligencia artificial que transformó la forma en que gestionamos la seguridad del código en la empresa.

El problema que resolvimos: Los equipos de desarrollo desplegaban código sin una capa consistente de análisis de seguridad. Las revisiones manuales no escalaban, los hallazgos se perdían entre herramientas desconectadas, y no existía trazabilidad centralizada de las vulnerabilidades detectadas.

La solución: 4 agentes de IA especializados, orquestados por GitHub Actions y conectados a Jira.

🧠 Cada agente usa Google Gemini (Vertex AI) como motor de razonamiento, pero no se limita a "preguntar a la IA". Integra herramientas de análisis estático de referencia en la industria (Semgrep, Trivy, detect-secrets) y usa la IA para triar, contextualizar y generar remediaciones accionables.

Los agentes en acción:

🔐 PR Security Analyzer — Analiza cada Pull Request buscando fallas OWASP Top 10, secretos expuestos y bugs lógicos. El desarrollador recibe feedback de seguridad antes de mergear.

🐳 Dockerfile Security Analyzer — Audita contenedores en cada PR. Propone builds multi-stage, ejecución non-root y optimizaciones específicas para AWS ECS Fargate.

📦 Dependency Vulnerability Analyzer — Escanea lockfiles de cualquier lenguaje (Node, Python, Go, Ruby, PHP). Diferencia entre dependencias directas y transitivas para no bloquear builds innecesariamente.

🔒 Production Security Scanner — Escaneo profundo programado (cron semanal) o a demanda. Combina 3 herramientas + triaje con Gemini Flash + análisis de explotación con Gemini Pro. Genera reportes completos con código de remediación.

La parte que más valor genera: la automatización de Jira 🎫

No alcanza con detectar vulnerabilidades — hay que gestionarlas. Implementé un flujo inteligente donde:

✅ Si el escáner encuentra vulnerabilidades → crea un ticket en el tablero de Jira con enlace directo al Issue de GitHub ✅ Si las vulnerabilidades persisten en el próximo escaneo → actualiza el ticket existente (sin duplicados) ✅ Si el equipo resolvió todas las vulnerabilidades → el ticket se cierra automáticamente con transición al estado RESUELTO

Cero intervención manual. Ciclo de vida 100% autónomo.

Lo que viene: Drift Detection Agent 🧭

Estamos diseñando un agente de drift de seguridad que compara líneas base entre escaneos. ¿Apareció una nueva CVE que antes no estaba? ¿Un fix anterior reapareció como regresión? ¿Cambió una configuración de seguridad sin aprobación? El drift agent lo detecta y alerta automáticamente cuando el delta supera un umbral definido.

Stack técnico: Google Vertex AI · Gemini Flash & Pro · GitHub Actions · Semgrep · Trivy · detect-secrets · Jira Cloud API · Google Chat Webhooks · Workload Identity Federation (GCP) · Node.js

Impacto medible: 📉 Reducción del tiempo de detección de vulnerabilidades de días a minutos 📊 Tablero SECOP centralizado con visibilidad ejecutiva 🔄 Ciclo de vida de incidentes completamente automatizado 🛡️ Cobertura de seguridad en cada PR, cada Dockerfile, cada dependencia y cada repositorio en producción

Flujo 1: Pipeline de Seguridad en Pull Requests

Flujo 2: Escaneo de Producción + Jira Automation

Flujo 3: Drift Detection Agent (Próxima Fase)

Top comments (0)