yapay zeka geliştiricilerin daha hızlı kod yazmasına yardımcı olur ve daha üretken olmayı hedefliyoruz. Ancak bazı yöneticiler bunun güvenlik ve risk yönetimi açısından kendi payına düşen sorunları da beraberinde getirmesinden korkuyor.
Neyse ki siber güvenlik sektörü, gelişen teknolojilerin doğasında olan riskleri öngörmeye ve yönetmeye yardımcı olmak için burada. Geliştiricilerin de ellerindeki tüm araçları kullanarak yazılım ekosisteminin güvenliğinin sağlanmasına yardımcı olmaları gerekiyor.
Yapay zeka “sola kayma” vaadini gerçeğe dönüştürüyor
Yapay zeka, potansiyel güvenlik açıkları için bağlam sağlar ve güvenli kod için öneriler sunar (ancak yapay zeka tarafından üretilen kodun sistematik olarak test edilmesi hala önemlidir). Bu yetenekler, geliştiricilerin gerçek zamanlı olarak daha güvenli kod yazmasına olanak tanır ve sonunda gerçek “sola kaydırma” vaadini yerine getirir.
Yapay zeka ile güvenlik, geliştiricilerinizin yapay zeka destekli arkadaş programcılarının yardımıyla fikirlerini koda aktardıkları yerde, ayarlanmamış, gerçekten yerleşiktir.
Bu heyecan verici yeni çağ, üretken yapay zekanın siber savunmada ön sıralara yerleştirildiğini görecek. Ancak yapay zeka geliştiricilerin yerini almayacağı gibi, yapay zeka da güvenlik ekiplerine olan ihtiyacın yerini almayacak. Henüz otonom sürüşte 5. seviyeye ulaşmış değiliz. Elimizi direksiyonda tutmalı ve mevcut güvenlik kontrollerimizi elden bırakmadan çalışmalıyız.
Kuruluşunuzda yapay zekaya yeşil ışık yakılması
Her ne kadar bazı şirketler halihazırda yapay zekanın üretkenlik açısından önemli faydalarını görse de, diğer yöneticiler güvenlik riskleri konusunda endişelerini sürdürüyor. Yapay zeka araçları etrafında doğru standartları oluşturma konusunda endişe duyuyorlar ve yapay zeka sayesinde yazılım yaratıcılarının mümkün olduğunca verimli olmasına olanak tanırken iyi güvenlik sonuçlarının nasıl sağlanacağını merak ediyorlar.
GitHub’da yapay zeka üzerine çok çalışıyoruz. Bu nedenle, üretken bir yapay zeka aracını benimsemeyi düşünen kuruluşlara ilginç perspektifler açacak bazı en iyi uygulamaları paylaşmak istiyorum. Bu stratejiler, başarılı olan kuruluşları, en değerli varlıklarını korumada başarısız olanlardan ayırmaya yardımcı olacaktır.
Yapay zeka araçlarına diğer araçlar gibi davranın
Bir yapay zeka aracını değerlendirmek için yığınınıza entegre etmeyi düşündüğünüz diğer araçlarla aynı güvenlik ve risk çerçevelerini kullanarak başlayabilir ve bunları zaman içinde uyarlayabilirsiniz. Aracın güvenliği ve olgunluğuna ilişkin veri akış diyagramlarını, harici test raporlarını ve diğer yararlı bilgileri isteyin.
GitHub’da, harici bir satıcıdan alınan yeni araçlarla ilişkili riskleri belirlememize ve yönetmemize yardımcı olan süreçlerimiz mevcuttur. Bu yeni araçlar veya hizmetler satın alma, hukuk, gizlilik ve güvenlik ekiplerimiz tarafından dikkatle incelenmektedir.
Veri kullanımını ve saklamayı anlama
Dikkat etmeniz gereken en önemli şey, verilerinizin veya müşterilerinizin verilerinin nasıl yönetildiğidir. Bir üçüncü taraf sağlayıcının şirketinizin veya müşterilerinizin hassas bilgilerini saklaması ve kullanması durumunda ortaya çıkabilecek güvenlik sorunlarını düşünün.
Yapay zeka aracının verilerinizi nasıl işlediğini, nereye gittiğini, nasıl paylaşıldığını ve saklanıp saklanmadığını bilmeniz gerekir. Satıcının yapay zeka modellerini eğitmek için müşteri verilerini kullanıp kullanmadığını kontrol edin ve ihtiyaçlarınıza göre bu verilerin kullanımını kabul etmek veya reddetmek için hangi seçeneklerin mevcut olduğunu anlayın.
Fikri mülkiyetle ilgili hükümleri kontrol edin
Yapay zeka araçları, fikri mülkiyetle ilgili konularda yeni bir dünyanın kapılarını açıyor; zira bu alandaki hukuki ortam hâlâ gelişmektedir.
Hangi korumaların sunulabileceğini anlamak için yeni aracın fikri mülkiyet hükümlerini incelemek ve lisans sözleşmesinin şartlarını gözden geçirmek önemlidir. Örneğin, Microsoft Ve Google Her ikisi de müşterilerine üretken yapay zeka araçlarını kullanırken fikri mülkiyet tazminatı sunuyor.
Ek olarak, bir geliştiricinin kendi oluşturmadığı kodu kullandığı her durumda, örneğin çevrimiçi bir kaynaktan kod kopyalaması veya bir kitaplıktaki kodu yeniden kullanması gibi durumlarda bu riskle karşı karşıya kalacağını unutmayın. Sorumlu kuruluşların ve geliştiricilerin kod inceleme politikalarını ve diğer inceleme uygulamalarını kullanmasının nedeni budur.
Araç geçmişini takip edin
Aracın arka planını bilmek, AI ürününün güvenilir, etkili ve iş hedeflerinizle uyumlu olmasını sağlamaya yardımcı olur.
Aracın geçmişteki performansı ve doğruluğu neydi? Etkinliğini gösteren başarılı kullanım senaryolarını arayın.
Eğitmek için ne tür veri kümesi kullanılıyor? Bu veri kümesinin projelerinizle alakalı olduğundan emin olun. Göz önünde bulundurulması gereken diğer hususlar arasında önyargının azaltılması, kullanıcı geri bildirimi ve kişiselleştirme yeteneği yer alır.
Araç denetimlerini kontrol edin
Bir teknolojinin etkinliğini veya güvenliğini değerlendirmede üçüncü taraf test ve denetiminin çok değerli olduğunu biliyoruz. AI aracının üçüncü taraflarca test edilip edilmediğini sorun. Yeni olmasından dolayı uyumlu olmayabilir ama firmanın diğer ürünleri de öyle mi? Yapay zeka ürünü için bir uyumluluk planı var mı? Sıkı testlerden ve denetimlerden geçmiş bir araç seçmek, kuruluşunuzun güvenlik duruşunu güçlendirecektir.
Yapay zeka söz konusu olduğunda “hayır diyen departman” olmanıza gerek yok. Yukarıda belirtilen en iyi uygulamaları benimseyerek, güvenli sonuçlara yol açacak güvenlik önlemleri ve katılım kuralları oluşturacaksınız.
Yapay zeka, geliştiricilerin ve hatta güvenlik ekiplerinizin yerini almayacak ancak onların çalışmalarını önemli ölçüde iyileştirecek. Sola kaydırma yaklaşımını uygulamanın, geliştiricilerinizin kendi IDE’sinde, gerçek zamanlı olarak daha güvenli ve daha güvenli kod yazmalarına yardımcı olan yapay zeka destekli bir çift programcıya sahip olmaktan daha iyi bir yolu yoktur. Bu, daha iyi güvenlik sonuçlarına daha hızlı ulaşmanıza yardımcı olacaktır. Bu yaklaşımın önümüzdeki on yılda güvenliği kökten değiştireceğini ileri sürmekten çekinmiyorum.