Разработчики вынуждены генерировать код быстрее, чем когда-либо – с постоянным спросом на большую функциональность и удобство взаимодействия с пользователем – что приводит к общему снижению приоритета кибербезопасности и неизбежным уязвимостям, проникающим в программное обеспечение. Эти уязвимости включают повышение привилегий, учетные данные бэкдора, потенциальную угрозу внедрения и незашифрованные данные.
Эта болевая точка существует уже несколько десятилетий, но искусственный интеллект (ИИ) готов оказать значительную поддержку. Все большее число команд разработчиков используют инструменты исправления ИИ, чтобы предлагать быстрые исправления уязвимостей на протяжении всего жизненного цикла разработки программного обеспечения (SDLC).
Такие инструменты могут поддержать возможности защиты разработчиков, облегчая путь к менталитету безопасности на первом месте. Но, как и любая новая и потенциально эффективная инновация, они также порождают потенциальные проблемы, которые командам и организациям следует изучить. Вот три из них с моими первоначальными точками зрения в ответ: Питер Данье
Навигация по социальным ссылкам
Соучредитель и генеральный директор Secure Code Warrior.
Нет. Если инструменты будут использоваться эффективно, разработчики смогут лучше узнать о наличии уязвимостей в своих продуктах, а затем создать возможность их устранения. Но хотя ИИ может обнаруживать определенные проблемы и несоответствия, человеческое понимание по-прежнему необходимо, чтобы понять, как рекомендации ИИ вписываются в более широкий контекст проекта в целом. Такие элементы, как недостатки дизайна и бизнес-логики, понимание требований соответствия для конкретных данных и систем, а также методы моделирования угроз под руководством разработчиков — все это области, в которых инструменты ИИ будут с трудом приносить пользу.
Более того, команды не могут слепо полагаться на результаты ИИ-помощников по кодированию и восстановлению. «Галлюцинации» или неправильные ответы встречаются довольно часто и обычно даются с высокой степенью уверенности. Люди должны тщательно проверять все ответы, особенно те, которые связаны с безопасностью, чтобы убедиться в действенности рекомендаций и усовершенствовать код для безопасной интеграции. По мере того, как это технологическое пространство становится более зрелым и широко используемым, неизбежные угрозы, создаваемые искусственным интеллектом, станут значительным риском, который необходимо планировать и смягчать.
В конечном счете, нам всегда будет нужен «человеческий взгляд», чтобы предвидеть и защитить код от современных передовых методов атак. Помощники по программированию с использованием искусственного интеллекта могут протянуть руку помощи с быстрыми исправлениями и стать надежными партнерами по партнерскому программированию, но люди должны взять на себя ответственность за «общую картину» по выявлению и обеспечению соблюдения передовых методов обеспечения безопасности. С этой целью разработчики также должны проходить адекватное и частое обучение, чтобы гарантировать, что они готовы разделить ответственность за безопасность.
Обучение должно развиваться, чтобы побудить разработчиков выбирать различные пути для обучения исправлению ошибок ИИ и другим инструментам ИИ, повышающим безопасность, а также для получения комплексных практических уроков по передовым практикам безопасного кодирования.
Подпишитесь на информационный бюллетень Ny Breaking и получайте все лучшие новости, мнения, функции и рекомендации, необходимые вашему бизнесу для успеха!
Разработчикам, безусловно, полезно научиться использовать инструменты, повышающие эффективность и производительность, но очень важно, чтобы они понимали, как ответственно развертывать их в своем технологическом стеке. Вопрос, который мы всегда должны задавать: как мы можем гарантировать, что инструменты исправления ИИ будут развернуты, чтобы помочь разработчикам добиться успеха, а не использовать их для чрезмерной компенсации отсутствия фундаментального обучения безопасности?
Обучение разработчиков также должно развиваться за счет внедрения стандартных показателей прогресса разработчиков с контрольными показателями для сравнения с течением времени, насколько хорошо они выявляют и устраняют уязвимости, выявляют неправильные конфигурации и устраняют недостатки на уровне кода. При правильном использовании инструменты исправления ИИ помогут разработчикам более внимательно относиться к безопасности, одновременно снижая общий риск во всей организации. Кроме того, освоение ответственного исправления ошибок с помощью ИИ будет рассматриваться как ценный бизнес-актив, который позволит разработчикам достичь новых высот с помощью командных проектов и ответственности.
Среда разработки программного обеспечения постоянно меняется, но справедливо будет сказать, что внедрение инструментов искусственного интеллекта в стандартный SDLC представляет собой быстрый переход к, по сути, новому способу работы для многих инженеров-программистов. Однако это увековечивает ту же проблему внедрения плохих шаблонов шифрования, которые потенциально могут быть использованы быстрее и в большем объеме, чем когда-либо в истории.
В среде, которая постоянно меняется, обучение должно идти в ногу со временем и оставаться максимально свежим и динамичным. В идеальном сценарии разработчики должны пройти обучение по безопасности, имитирующее проблемы, с которыми они сталкиваются в течение рабочего дня, в форматах, которые они считают наиболее интересными. Кроме того, современное обучение безопасности должно уделять особое внимание принципам безопасного проектирования и учитывать глубокую необходимость критически относиться к каждому результату ИИ.. На данный момент это остается прерогативой высококвалифицированного, заботящегося о безопасности разработчика, который знает свою кодовую базу лучше, чем кто-либо другой.
Все сводится к инновациям. Команды будут добиваться успеха благодаря решениям, которые повышают видимость проблем и варианты их решения во время SDLC, но не замедляют процесс разработки программного обеспечения.
ИИ не может «обеспечить безопасность разработчиков», равно как и не может полностью заменить их в самом процессе кодирования. Независимо от того, сколько еще разработок ИИ произойдет, эти инструменты никогда не дадут 100-процентных надежных ответов об уязвимостях и решениях. Однако они могут сыграть решающую роль в более широкой картине тотальной культуры «безопасность прежде всего», которая опирается как на технологии, так и на человеческий взгляд. Как только команды пройдут необходимое обучение и приобретут знания на рабочем месте для достижения этого состояния, они действительно обнаружат, что могут создавать продукты быстро, эффективно и безопасно.
Следует также сказать, что, как и в случае с онлайн-ресурсами, такими как Stack Overflow или Reddit, если язык программирования менее популярен или распространен, это отразится на доступности данных и ресурсов. У вас вряд ли возникнут проблемы с поиском ответов на контрольные вопросы на Java или C, но данные могут отсутствовать или явно отсутствовать при устранении сложных ошибок в COBOL или даже Golang. LLM обучаются на общедоступных данных и их качество зависит от набора данных.
Это еще одна важная область, в которой разработчики, заботящиеся о безопасности, восполняют пробел. Их собственный практический опыт работы с более малоизвестными языками – в сочетании с формальными и постоянными результатами обучения безопасности – должен помочь закрыть явный пробел в знаниях и снизить риск того, что результаты ИИ будут реализованы только на веру. Мы представили лучшую платформу онлайн-обучения.
Эта статья была подготовлена в рамках канала Expert Insights от Ny BreakingPro, где мы рассказываем о лучших и ярких умах современной технологической индустрии. Мнения, выраженные здесь, принадлежат автору и не обязательно совпадают с мнением Ny BreakingPro или Future plc. Если вы заинтересованы в участии, вы можете прочитать больше здесь: https://www.techradar.com/news/submit-your-story-to-techradar-pro.
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
