Більшість спеціалістів із безпеки та розробки програмного забезпечення використовують рішення на основі GenAI для створення застосунків, але існують значні проблеми безпеки, повідомляє DevOps.com.
Опитування Regina Corso, в якому взяли участь понад 400 фахівців із безпеки та розробників програмного забезпечення, показало, що 8 із 10 команд розробників регулярно інтегрують GenAI у свої робочі процеси. Однак більшість розробників (85%) і спеціалістів із безпеки (75%) стурбовані тим, що надмірна залежність від цих інструментів може поставити під загрозу безпеку.
Однією з найбільш актуальних проблем є використання кодових помічників на базі GenAI. 84% опитаних фахівців із безпеки висловили занепокоєння щодо потенційного впливу невідомого чи шкідливого коду, введеного через ці інструменти.
Майже всі респонденти (98%) погодилися з тим, що командам безпеки необхідно чіткіше розуміти, як GenAI використовується у розробці, причому 94% підкреслили необхідність кращих стратегій для управління його використанням у дослідженнях і розробках.
Ліав Каспі, технічний директор Legit Security (компанії, яка спонсорувала опитування), сказав, що під час створення програми за допомогою коду, згенерованого GenAI, виникають нові загрози та ризики безпеці, що відрізняються від традиційних програмних служб.
«Моделювання загроз має враховувати загрози безпеці від штучного інтелекту, такі як розкриття даних, швидке впровадження, упереджені відповіді та проблеми з конфіденційністю даних», — пояснив він.
Каспі визнав, що код, згенерований штучним інтелектом, як правило, більш ризикований, схильний до помилок або навіть шкідливий.
Одна з найкращих практик полягає у тому, щоб переконатися, що цей код проходить таке ж або суворіше тестування безпеки, аніж код, розроблений людьми.
«Ви повинні думати про це так, ніби це кодування, яке організація отримала від анонімного підрядника», — сказав він.
GenAI приносить інновації та ризики
Кріс Хеттер, COO/CISO у Qwiet AI, сказав, що GenAI значно підвищує продуктивність у розробці програм за рахунок прискорення процесів кодування й автоматизації рутинних завдань, що призводить до швидшого впровадження інновацій.
«Хоча ми використовуємо ці переваги, надзвичайно важливо вирішувати унікальні проблеми безпеки, які створює код, згенерований ШІ», — зауважив він.
На думку Хеттера, рішення полягає у впровадженні надійних структур управління для оцінки інструментів розробки штучного інтелекту, розуміння їхніх джерел навчальних даних і створення надійних програм AppSec для оцінки коду, згенерованого ШІ, на наявність вразливостей у безпеці.
«Оскільки використання штучного інтелекту для написання коду швидко стає необхідністю для своєчасної доставки програмного забезпечення, команди безпеки повинні знайти спосіб запровадити гарантії, які зменшують ризики, не відставаючи від прискореної розробки програмного забезпечення», — сказав Хеттер.
Він додав, що фахівці з безпеки мають вагомі причини турбуватися про небезпечний код, створений ШІ.
«Ми знаємо, що ШІ генерує небезпечний код. Базові моделі зазвичай навчаються на вразливих відкритих і синтетичних даних. Численні дослідження доводять це», — пояснив він.
Хаттер сказав, що використовуючи ШI-помічників для кодування, розробники мають переконатися, що вони чітко розуміють модель, яку використовують.
«Ви повинні переконатися, що код, згенерований штучним інтелектом, ретельно перевіряється на наявність вразливостей, і використовувати інструменти, здатні виявляти галюциновані рекомендації щодо пакетів», — додав він.
GenAI у DevOps: потрібен нагляд
У звіті зазначено, що командам безпеки потрібен кращий нагляд за використанням GenAI під час розробки.
По-перше, організації повинні розглядати життєвий цикл ШІ з таким же рівнем терміновості, як і життєвий цикл розробки програмного забезпечення.
По-друге, необхідно адаптувати можливості безпеки SDLC організації, щоб справлятися з надходженням нового коду, створеного ШІ.
«Ваш інструментальний ланцюжок повинен мати можливість масштабувати виявлення вразливостей і забезпечувати розробникам перевагу, пропонуючи високоякісні рішення для автовиправлення без галюцинацій», — сказав Хеттер.
Враховуючи зростання довіри до GenAI у розробці програмного забезпечення, команди безпеки мають навчитися захищати системи штучного інтелекту і згенерований штучним інтелектом код, а також ознайомитися з використанням GenAI під час розробки.
Читайте також на нашому сайті, що GitHub Copilot розширює підтримку моделей ШІ.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
