Veracode — Чому розробка з використанням ШІ потребує нової моделі довіри до програмного забезпечення

Раз на кілька років відбувається технологічний зсув, який не просто впливає на галузь — він змінює її базові припущення. Стрімкий розвиток ШІ-систем, призначених для розробки ПЗ та процесів безпеки, є саме таким моментом.

Значна частина ринкової дискусії упускає головне. Дехто стверджує, що ШІ «вирішить» проблему безпеки ПЗ. Інші вважають це перебільшенням. Обидві позиції ігнорують структурні зміни, що відбуваються: програмне забезпечення створюється зі швидкістю машин, а механізми безпеки, управління та довіри мають еволюціонувати так само швидко.

Програмне забезпечення тепер створюється зі швидкістю машин

Розробка з підтримкою ШІ швидко стає стандартом. Розробники будь-якого рівня досвіду можуть створювати функції, сервіси та інтеграції за частку часу, який був потрібен раніше.

Це прискорення є трансформаційним. І водночас ризикованим.

• Більше автоматично згенерованого коду означає:
• Більше залежностей, доданих без належної перевірки
• Більше pull-request’ів, згенерованих ШІ, що потрапляють у пайплайни
• Менше людської перевірки на етапах розробки
• Більше програмного забезпечення, яке потрапляє в продакшн швидше, ніж процеси управління встигають адаптуватися

Це призводить до ключового питання для підприємств:

Як довіряти програмному забезпеченню, яке значною мірою створене машиною?

ШІ не зменшує потребу в безпеці — він її примножує

Поширене хибне уявлення полягає в тому, що ШІ зробить традиційні інструменти безпеки застарілими, автоматично знаходячи та виправляючи вразливості.

Насправді ШІ розширює поверхню атаки.

Коли створення ПЗ обмежувалося людськими можливостями, ризики масштабувалися передбачувано. ШІ знімає це обмеження. Обсяг потенційно вразливого, невідповідного вимогам або неперевіреного ПЗ, що потрапляє в корпоративне середовище, стрімко зростатиме.

Історичним вузьким місцем у безпеці застосунків ніколи не було виявлення вразливостей. Проблема полягала в:

• Їх усуненні достатньо швидко
• Запобіганні їх появі з самого початку
• Доведенні зацікавленим сторонам, що ПЗ заслуговує на довіру

ШІ пришвидшує виявлення — як для захисників, так і для зловмисників. Те, що сьогодні потрібно організаціям, — це швидкість довіри.

Ринок зміщується від «пошуку вразливостей» до «формування довіри»

Традиційна безпека застосунків була зосереджена на виявленні вразливостей у коді. Цього більше недостатньо для потреб підприємств.

Формується нова, ширша вимога: масштабована довіра до програмного забезпечення.

Це включає:

• Походження — розуміння, звідки з’явився код і за яких умов він був створений (людиною чи ШІ)
• Безперервну верифікацію — забезпечення відповідності продакшн-ПЗ затвердженому коду постійно, а не лише під час сканування
• Автономне усунення — виправлення проблем зі швидкістю їх появи
• Управління — обов’язкові політики для розробки з ШІ, залежностей та контрольних точок розгортання
• Атестацію — аудитовні докази рівня безпеки для регуляторів, страховиків та клієнтів

Це не точкове рішення. Це рівень інтелекту та довіри, вбудований у весь життєвий цикл розробки ПЗ.

Обговорення виходить за межі команд розробки

• CISO та CTO
• Ради директорів і комітети з ризиків
• Керівники з юридичних питань та комплаєнсу
• Регулятори та кіберстраховики
• Закупівельні підрозділи підприємств

«Як ви можете довести, що програмне забезпечення, яким ви користуєтесь, є надійним?»

На це неможливо відповісти ручними процесами або періодичними скануваннями. Потрібні інтегроване управління та автоматизоване підтвердження.

Питання, які підприємствам варто ставити вже сьогодні

1. Які політики регулюють потрапляння коду, створеного ШІ, у продакшн?
2. Як розробка з підтримкою ШІ автоматично перевіряється на відповідність стандартам безпеки та комплаєнсу?
3. Чи можемо ми продемонструвати походження та цілісність нашого ПЗ?
4. Чи відповідають наші можливості усунення проблем швидкості розробки з ШІ?
5. Чи можемо ми за запитом надати аудитовні докази нашого рівня безпеки?

Куди рухається ринок: довіра до ПЗ як рівень управління

Зміни відбуваються вже зараз. Організації, які сьогодні вибудують можливості довіри до ПЗ, отримають суттєву структурну перевагу в найближчі роки.