Возможно, хорошо иметь сложные инструменты кибербезопасности, помогающие обнаружить уязвимости, но безопасность кода все равно должна начинаться с того, что разработчики должны знать основы.
По словам Майка Хэнли, директора по безопасности (CSO) и старшего вице-президента GitHub по инженерным вопросам, этот фокус на основы безопасности означает соблюдение фундаментальных принципов, таких как включение двухфакторной аутентификации (2FA) и принятие отраслевых стандартов и лучших практик.
Платформа для разработки программного обеспечения, принадлежащая Microsoft насчитывает более 100 миллионов пользователей и подвергается большому количеству кибератак. Однако форма этих атак не претерпела существенных изменений за последнее десятилетие. В основном это фишинговые и социально-инженерные атаки, целью которых является завладение учетными данными и аккаунтами разработчиков программного обеспечения, а также использование уязвимостей веб-приложений.
Поскольку киберпреступники в основном придерживаются одной и той же тактики, очень важно, чтобы безопасность начиналась с разработчика.
«Можно приобрести инструменты для предотвращения и обнаружения уязвимостей, но в первую очередь необходимо помочь разработчикам убедиться в том, что они создают безопасные приложения»
- сказал Хэнли.
По мере того как создаются крупные программные инструменты, включая те, которые обеспечивают работу видеоконференций и автономных автомобилей, а их библиотеки размещаются на GitHub, если учетные записи людей, обслуживающих эти приложения, не защищены должным образом, злоумышленники могут завладеть этими учетными записями и скомпрометировать библиотеку.
Он отметил, что ущерб может быть масштабным и привести к еще одному взлому сторонних приложений, например, таких как SolarWinds и Log4j. Хэнли пришел в GitHub в 2021 году, заняв недавно созданную должность CSO, когда распространились новости о колоссальной атаке на SolarWinds.
«Мы все еще говорим людям, что нужно включить 2FA… Получение основ – это приоритет»
Он указал на усилия GitHub по введению обязательного использования 2FA для всех пользователей – этот процесс длился последние полтора года и будет завершен в начале этого года.
По его словам, в условиях, когда рынок систем безопасности наводнен «броскими» предложениями, профессионалы могут легко упустить из виду необходимость простого засова на двери.
По его словам, базовые средства контроля будут более эффективны для обеспечения безопасности наряду с принятием отраслевых стандартов и передового опыта. К таким практикам относятся опубликованные контрольные показатели Cloud Security Alliance и сингапурский стандарт Safe App Standard, который основан на «здравом смысле» базовых практик безопасности и вкладе частных и государственных организаций, чтобы помочь сосредоточиться на наиболее важных компонентах.
Переосмысление разработки с помощью ИИ
По словам Хэнли, искусственный интеллект (ИИ), в том числе генеративный ИИ становится важным помощником для разработчиков программного обеспечения, особенно в выявлении потенциальных уязвимостей в процессе написания кода.
По его словам, ИИ переосмысливает модель shift-left и помогает предотвратить написание уязвимостей в коде с самого начала.
Подход shift-left предполагает тестирование программного обеспечения на ранних этапах жизненного цикла разработки, чтобы его качество можно было оценивать и улучшать на протяжении всего этапа разработки.
По словам Хэнли, способность искусственного интеллекта выявлять и предлагать способы устранения потенциальных уязвимостей еще до публикации программного обеспечения – а иногда на это уходят годы, как, например, в случае с Log4j, – станет для разработчиков переломным моментом.
Согласно исследовани. от GitClear, в котором рассматривались 153 миллиона измененных строк кода, написанных в период с 2020 по 2023 год, доля кода, который был исправлен или обновлен менее чем через две недели после написания, по прогнозам, удвоится в этом году по сравнению с 2021 годом.
Указывая на инструмент GitHub для разработки программного обеспечения с помощью ИИ, Copilot Хэнли сказал, что эта технология призвана не только помочь разработчикам писать код, но и просматривать и исправлять его.
GitHub Copilot, как утверждается, предоставляет предложения по коду, которые соответствуют контексту и стилю проекта, предлагая разработчикам самим решать, что принять, отклонить или отредактировать. Инструмент может быть интегрирован с другими редакторами, такими как Visual Studio и Neovim, и может предлагать синтаксис и код на нескольких языках, включая Python JavaScript, Ruby и C#.
GitHub Copilot, впервые представленный в октябре 2021 года, в настоящее время используется более чем миллионом разработчиков и 20 000 организаций, сообщил генеральный директор GitHub Томас Дохмке в своем заявлении в июне 2023 года. Инструмент с поддержкой искусственного интеллекта создал более трех миллиардов принятых строк кода.
В среднем пользователи принимают почти 30% предложений по коду, причем этот показатель растет по мере того, как разработчики знакомятся с инструментом, сказал Домке, ссылаясь на выборочный анализ 934 533 пользователей GitHub Copilot.
Исходя из 30% показателя производительности и прогнозируемых 45 миллионов разработчиков в 2030 году, он сказал, что генеративные инструменты ИИ для разработчиков потенциально могут добавить 15 миллионов «эффективных разработчиков» к мировому потенциалу к 2030 году, увеличив ВВП более чем на 1,5 триллиона долларов.
Пользователи GitHub Copilot также отмечают, что программирование с помощью этого инструмента происходит на 55% быстрее и 46% кода было завершено технологией на базе ИИ в файлах, где она была активирована.
Однако, по словам Хэнли, инструменты разработки с помощью ИИ, как и самодвижущиеся автомобили, не заменяют человеческих разработчиков и процессы проверки кода. Они являются инструментами-компаньонами, и, как следует из названия, вторые пилоты для разработчиков программного обеспечения более эффективны, когда они работают вместе со своими коллегами-людьми.
Комментарии (0)