Güvenlik açıklarını tespit etmek için gelişmiş siber güvenlik araçlarına sahip olmak her zaman güzeldir. Ancak kod güvenliği her zaman geliştiricilerin kurallara uymasıyla başlamalıdır.
GitHub’un güvenlik sorumlusu Mike Hanley için kodun temellerine odaklanmak, temellere bağlı kalmak anlamına geliyor. Hangi ? İki faktörlü kimlik doğrulamayı (2FA) etkinleştirme ve endüstri standartlarını ve en iyi uygulamaları benimseme.
Şu anda Microsoft’un sahibi olduğu yazılım geliştirme platformunun 100 milyondan fazla kullanıcısı var ve hedefli siber saldırılardan payına düşeni alıyor. Ancak son on yılda bu saldırıların biçimi pek değişmedi. Bu girişimlerin çoğunluğu, yazılım üreticilerinin kimlik bilgilerini ve hesaplarını ele geçirmenin yanı sıra web uygulamalarındaki güvenlik açıklarından yararlanmayı amaçlayan kimlik avı ve sosyal mühendislik saldırılarıdır.
Yeni bir SolarWinds’tan kaçınmak
Hanley, ZDNET’e “Güvenlik açıklarını önlemek ve tespit etmek için araçlar satın alabilirsiniz, ancak yapmanız gereken ilk şey geliştiricilerin güvenli uygulamalar geliştirdiklerinden emin olmalarına yardımcı olmaktır” dedi.
Video konferans çağrılarına ve sürücüsüz arabalara güç sağlayanlar da dahil olmak üzere önemli yazılım araçlarının GitHub’da kullanıma sunulması nedeniyle bu özellikle önemlidir. Yani bu uygulamaların bakımını yapan kişilerin GitHub hesapları uygun şekilde güvenlik altına alınmazsa bilgisayar korsanları bu hesapları ele geçirebilir.
Hanley, SolarWinds ve Log4j’de olduğu gibi hasarın önemli olabileceğini belirtiyor. Bunu, devasa SolarWinds saldırısının yaygınlaştığı 2021 yılında CISO rolünü üstlenerek GitHub’a katıldığından beri çok iyi biliyor.
2FA ile başlayın
“İnsanlara 2FA’yı etkinleştirmelerini söylemeye devam ediyoruz… temel bilgiler önceliklidir” diyor. GitHub’un tüm kullanıcılar için 2FA kullanımını zorunlu kılma çabalarını vurguluyor. Bir buçuk yıldır devam eden süreç bu yılın başında tamamlanacak.
En iyi uygulamalar açısından GitHub şunları kullanır: Cloud Security Alliance tarafından yayınlanan referanslar.
Yapay zeka ile geliştirme yeniden tanımlanıyor
Hanley’e göre, üretken yapay zeka da dahil olmak üzere yapay zeka (AI), özellikle kodlarını yazarken potansiyel güvenlik açıklarını tespit etme konusunda yazılım geliştiriciler için önemli bir yol arkadaşı haline geliyor.
Yapay zekanın, geliştiricilerin kodlarına güvenlik açıkları yazmalarını engellemeye yardımcı olduğunu söylüyor. Yazılımdaki güvenlik açıkları genellikle kodlar kamuya açıklandıktan sonra keşfedildiğinden ve Log4j örneğinde olduğu gibi bunların keşfedilmesi bazen yıllar aldığından, yapay zekanın yazılım yayınlanmadan önce potansiyel güvenlik açıklarını belirleme ve kapatmaya yönelik öneriler sunma yeteneği geliştiriciler için oyun değiştirici.
Buna göre GitClear çalışması2020-2023 yılları arasında yazılan 153 milyon satır değiştirilmiş kodu inceleyen araştırmada, yazıldıktan sonraki iki hafta içinde revize edilen veya güncellenen kod oranının bu yıl 2021’e göre iki katına çıkması bekleniyor.
GitHub Copilot: 3 milyardan fazla kod satırı kabul edildi
GitHub’un yapay zeka destekli yazılım geliştirme aracı GitHub Copilot’u tartışan Hanley, teknolojinin geliştiricilerin yalnızca kod yazmasına değil, aynı zamanda onu inceleyip düzeltmesine de yardımcı olması gerektiğini söylüyor.
GitHub Copilot’un, bir projenin bağlamı ve stil kurallarına uygun kod önerileri sunması ve geliştiricilere neyi kabul edeceklerine, reddedeceklerine veya değiştireceklerine karar verme yeteneği vermesi gerekiyor. Araç, Visual Studio ve Neovim gibi diğer düzenleyicilerle entegre edilebilir ve Python, JavaScript, Ruby ve C# dahil olmak üzere birden çok dilde söz dizimi ve kod önerebilir.
GitHub CEO’su Thomas Dohmke, Ekim 2021’de piyasaya sürülen GitHub Copilot’un şu anda 1 milyondan fazla geliştirici ve 20.000 kuruluş tarafından kullanıldığını söyledi. Haziran 2023 blog yazısı. Yapay zeka destekli araç, üç milyardan fazla kabul edilen kod satırı üretti.
Yardımcı pilotlar, insan meslektaşlarıyla çalışırken en etkili şekilde çalışırlar
Dohmke, 934.533 GitHub kullanıcısı örneğinin analizine atıfta bulunarak, kullanıcıların ortalama olarak kod önerilerinin yaklaşık %30’unu kabul ettiğini ve geliştiricilerin araca daha aşina hale gelmesiyle bu sayının arttığını söyledi.
%30 üretkenlik oranına ve 2030’da 45 milyon geliştiricinin olacağı tahminine dayanarak, geliştiricilere yönelik üretken yapay zeka araçlarının 2030 yılına kadar küresel kapasiteye potansiyel olarak 15 milyon “etkili geliştirici” ekleyebileceğini ve bunun da GSYİH’yi 1,5 trilyon dolardan fazla artıracağını söyledi.
GitHub Copilot kullanıcıları ayrıca araçla %55 daha hızlı kodlama yaptıklarını bildirdi ve kodların %46’sının etkinleştirildiği dosyalarda yapay zeka destekli teknoloji tarafından tamamlandığını ekledi.
Ancak Hanley, sürücüsüz arabalar gibi yapay zeka destekli geliştirme araçlarının da insan geliştiricilerin ve kod inceleme süreçlerinin yerini almadığını söyledi. Bunlar tamamlayıcı araçlardır ve adından da anlaşılacağı gibi yazılım geliştirici yardımcı pilotları, insan meslektaşlarıyla çalışırken en etkili olanlardır.
Kaynak : “ZDNet.com”