GitHub, yazılım geliştiriciler için yapay zeka destekli hata düzeltme araçları sunan, giderek büyüyen şirketler listesine katıldı.
GitHub’un Gelişmiş Güvenlik kapsamında beta programına kaydolan geliştiriciler, kodlarını şirketin statik analiz tarayıcısı CodeQL ile tarayabilecek ve en kritik güvenlik açıkları için düzeltmeler önerilecek. GitHub’un ürün yönetimi kıdemli direktörü Justin Hutchings, bu özelliğin sorunları otomatik olarak bulup düzelteceğini, herhangi bir çekme isteği için “kesin, eyleme geçirilebilir öneriler” sunacağını ve geliştiricilerin güvenlik açıklarını düzeltme zamanını azaltacağını söylüyor.
Hutchings, “Geliştiricilere varsayılan olarak sunduğumuz sorgu kümesini, en yüksek hassasiyet ve en yüksek önem derecesine sahip olduğunu düşündüğümüz uyarılara yönelik kod taramasıyla optimize ettik” diyor. “Dolayısıyla geliştiricilerin sözünü yalnızca bu durumlarda, bunun onların başa çıkması gereken bir sorun olduğuna inanmak için çok yüksek güven nedenlerine sahip olduğumuzu düşündüğümüzde kesiyoruz.”
İle kod tarama otomatik düzeltmesiGitHub, güvenlik açıklarını düzeltmek için yapay zeka (AI) platformlarına yönelen diğer uygulama güvenliği firmalarına katılıyor. Yerleşik oyuncu Veracode Veracode Fix platformunu başlattı, geliştiricilerin güvenlik açıklarını düzeltmedeki büyük gecikmeyi gidermelerine yardımcı olmanın bir yolu olarak Haziran ayında. Şirket, güvenlik açıklarının yaklaşık %75’inin genellikle bir aydan fazla bir süre boyunca düzeltilmeden bırakıldığını söylüyor.
Yeni kurulan şirketler, kendi hata düzeltme hizmetlerini başlatmak için üretken yapay zeka ve ChatGPT’nin heyecanından da yararlandı. Ağustos ayında Mobb’un güvenlik açığı raporlarını önceliklendirmeye ve düzeltmeler sağlamaya yönelik yapay zeka destekli çözümü, Black Hat Startup Spotlight yarışmasını kazandı. Aynı ay, startup Vicarius, firma tarafından işletilen bir iyileştirme veritabanındaki verileri kullanarak güvenlik açıklarını ve yanlış yapılandırmaları bulup düzeltecek üretken bir yapay zeka hizmeti olan vuln_GPT’yi duyurdu.
Vicarius’un CEO’su ve kurucu ortağı Michael Assraf, araçların geliştiricilerin ve uygulama güvenliği profesyonellerinin her gün karşı karşıya kaldığı büyük güvenlik borcunu gidermeyi amaçladığını söylüyor.
“Güvenlik açığının giderilmesi birçok nedenden dolayı bozuldu. Konsolidasyon, kişiselleştirme ve ölçeklenebilir iyileştirme kesinlikle en önemli zorluklardan bazılarıdır” diyor. “İleriye doğru pek çok adım attık, ancak kuruluşlar ihtiyaç duyduklarını bilseler bile gerekli değişiklikleri uygulayamadıkları veya uygulayamadıkları için hala gidilecek uzun bir yol var.”
İş Akışında Daha Fazla Güvenlik
Çeşitli üretken yapay zeka yetenekleri aracılığıyla otomasyon, hızla geliştiricilerin çalışma şeklinin bir parçası haline gelecektir çünkü teknikler çalışanları daha verimli hale getirir. Mobb CEO’su ve kurucu ortağı Eitan Worcel, geliştiricilerin işletmelerde ortalama beş saat sürebilen güvenlik açıklarını belirleme ve düzeltme işini yapay zeka kullanımıyla dakikalara dönüştürebileceğini söylüyor.
“Yapay zeka olsun ya da olmasın otomatik düzeltmeler geliyor” diyor. “Bunun iyi yanı, geliştiricilerin yapması gereken 1 numaralı şeyin test kapsamını artırmak olması ve bu da onlara bunu yapma olanağı sağlıyor.”
Forrester Research tarafından yapılan ilk ankete göre geliştiriciler genel olarak kod yazma ve düzeltme konusunda %15 ila %30 daha üretken.
Forrester’ın kıdemli güvenlik analisti Janet Worthington, “Kesinlikle üretkenlik kazanımlarının orada olduğunu düşünüyorum” diyor. “Sanırım bunların hepsi size yardımcı oluyor… zamandan tasarruf etmenizi sağlıyor ancak yine de kontrol ettiğinizden emin olmanız gerekiyor. Yani yine de döngüde bir geliştiricinin olması gerekiyor.”
GitHub’a göre geliştiriciler, güvenliği entegre geliştirme ortamına (IDE) yerleştirmek, çekme isteklerine yönelik yapay zeka kontrolleri eklemek ve geliştiricilerin güvenlik açıklarını önceliklendirip düzeltirken karşılaştıkları sürtünmeyi genel olarak azaltmak da dahil olmak üzere, çalışma biçimlerine daha fazla yapay zeka yeteneğinin entegre edilmesini beklemeliler. Hutchings.
“Geliştiricilere çalıştıkları yerde güvenlik yetenekleri kazandırmak açısından benzersiz bir yaklaşım benimsemeye çalıştık” diyor.
Güvenmeyin, Kesinlikle Doğrulayın
Yapay zekanın siber güvenlik işlevlerini iyileştirme vaadi kolaylıkla görülse de mevcut yapay zeka sistemlerinin bu göreve uygun olup olmadığı henüz bilinmiyor.
Olumlu tarafı, araştırmacılar geçen yılki Black Hat konferansında, GPT-3 tabanlı modellerin, olay müdahale ekiplerinin güvenliğe özgü bilgileri bulmak için büyük miktarda veriyi incelemesine yardımcı olabileceğini, doğal dilde tehdit avına ve web sitelerinin daha iyi sınıflandırılmasına olanak verebileceğine dair kanıtlar sundu. Ağustos ayında ise Savunma Araştırma Projeleri Araştırma Ajansı (DARPA), yazılımı geliştirmek için yapay zekayı kullanmayı amaçlayan iki yıllık bir yarışma başlattı.
GitHub kesinlikle çabalarının başarıya ulaştığını gördü. 2022 yılında %35 Hizmetini kullanan geliştiriciler tarafından kontrol edilen kodun büyük bir kısmı şirketin yapay zeka asistanı Copilot tarafından önerildi. GitHub’dan Hutchings, bu yıl geliştiricilerin bu payı %60’a çıkarma yolunda ilerlediğini ve şirketin beş yıl içinde bu oranın %80’e çıkmasını beklediğini söylüyor.
“Geliştiricilerin görevleri daha hızlı tamamlamasının yanı sıra neredeyse %90’ı rapor ediyor [that they do] — ama daha da güçlü olan şey, onların akışta kalmalarına, daha tatmin edici işlere odaklanmalarına ve zihinsel enerjilerini korumalarına yardımcı olmasıdır” diyor.
Bununla birlikte, ilgisiz bilgiler arasında bağlantı kuran (genellikle “halüsinasyonlar” olarak anılır) üretken yapay zeka sistemleri hala bir tehlike olmaya devam ediyor ve kod düzeltmeleri için kötü önerilerle sonuçlanabiliyor. Geliştiricilerin neredeyse üçte birinin (%32) geliştirmede kullanılan yapay zeka konusunda endişeleri var ve %59 Ayrı anketlere göre şirket yönetim kurullarının %80’i işlerinde yapay zeka kullanımı konusunda endişeleniyor.
Yapay Zeka, Her Yerde
Yapay zekanın eninde sonunda her geliştiricinin deneyiminin bir parçası haline geleceğine dair bir algı var; mesele olup olmayacağı değil, ne zaman olacağı meselesi.
“Yapay zeka dünyayı yiyip bitirecek ve bizim için daha özel ve anlamlı olan yapay zeka, güvenlik dünyasını yiyecek” diyor Vicarius’un Assraf’ı, içini kanalize ediyor Marc Andreessen.
Kurucunun vizyonu, geliştiricilere güvenlik açıklarını ortadan kaldırmak için kodlama modelleri önermenin ötesine geçiyor; yazılımı bağımsız olarak düzeltebilen yapay zeka aracılarını mümkün kılmak istiyor.
Assraf, “Nihai hedef, altyapının etrafından dolaşacak ve tehditleri tamamen bağımsız olarak, hiçbir insan müdahalesi veya minimum doğrulama olmadan düzeltecek solucan benzeri bir tarayıcı oluşturmaktır” diyor. “Bu, siber hijyeni ölçeklenebilir ve verimli bir şekilde artıracak ve bu da mutlaka pahalı bir ürün seti veya güçlü güvenlik personeli gerektirmeyecek.”