YORUM
Durmak bilmeyen yükselişi Üretken AI (GenAI) Yazılım oluşturmada yazılım mühendislerine yeni bir gerçeklik dayatıldı. Yazılım var olduğundan beri yazılım geliştiricilerinin geleneksel alanı olan kod yazmanın azalacağı, hatta tamamen ortadan kaldırılacağı bir gelecekle karşı karşıyalar. Gelecek, özellikle bu alana girmeyi düşünen geliştiriciler için biraz belirsiz görünse de, ileriye dönük içsel bir yerleri var. Muhtemelen daha az kod yazma ve daha fazla güvenlik, mentorluk ve iş birliği içerecek bir şey.
Yapay zeka araçlarını güvenli bir şekilde kullanma konusunda uzmanlık gösteren güvenlik bilincine sahip geliştiriciler, sonunda yapay zeka koruyucuları veya akıl hocaları olarak yeni roller üstlenebilecek ve güvenli kodun kod tabanlarına geçişini sağlamak için yapay zeka ile birlikte çalışabilecekler.
İşletmeler, kendi açılarından, geliştirici grubunun AI’nın sorumlu büyük kardeşi, çok yetenekli, bazen de dengesiz bir AI yeni başlayanının dizginlerini elinde tutan kıdemli bir ortak haline gelmesini desteklemelidir. Bu, tam yönetici desteği, AI’nın mevcut teknoloji yığınına dikkatli bir şekilde uygulanması ve tasarım gereği güvenli ilkeler Başarılı bir uygulamanın önemini küçümsemeyi reddeden, güvenliğe öncelik veren bir kültürün parçası olarak.
Ayrıca geliştiricilerin güvenli kodlama uygulamaları konusunda hassas bir eğitim alması ve onlara geliştirici ortamına güvenlik uygulama fırsatları verilmesi gerekecektir.
Ekipler Yapay Zeka Kullanıyor, Ancak Riskleri Anlamaları Gerekiyor
Gelişinden bu yana büyük dil modelleri (LLM’ler) ChatGPT, GitHub Copilot, OpenAI Codex ve diğerleri gibi geliştiriciler AI araçlarını kullanma konusunda heves gösterdiler. GitHub anketi 2023 baharında yürütülen – ChatGPT’nin sismik ilk görünümünden yedi ay sonra – geliştiricilerin %92’sinin hem iş içinde hem de iş dışında AI araçlarını kullandığını buldu. Ve %70’i araçların kod kalitesini iyileştireceğini, tamamlanma sürelerini hızlandıracağını ve sorunları daha hızlı çözmelerine yardımcı olacağını söyledi.
Ancak, süreçte önemli güvenlik sorunları göz ardı ediliyor. Daha yakın zamanda Snyk tarafından yapılan anketYazılım mühendisliği ve güvenlik ekibi üyelerinin ve liderlerinin %96’sının yapay zeka kodlama araçları kullandığını söylediği , yapay zeka araçlarının düzenli olarak güvenli olmayan kod üretmesine rağmen geliştiricilerin büyük çoğunluğunun yapay zeka kod güvenliği politikalarını görmezden geldiğini tespit etti.
Ankete katılanların yaklaşık %76’sı AI kodunun insanlar tarafından oluşturulan koddan daha güvenli olduğunu düşündüğünü söylese de, yarıdan fazlası (%56,4) AI kodunun bazen veya sıklıkla güvenlik sorunları yarattığını söyledi. Yüzde sekseni, geliştirme sırasında AI kodu güvenlik politikalarını atladıklarını söyledi.
Ayrıca, mevcut kodların büyük miktarları üzerinde eğitilen yapay zeka modelleri, kullandıkları koddaki kusurları tespit etme konusunda yetersiz kaldığından, bu kusurlar yazılım ekosistemine kolayca yayılabilir.
Kuruluşların, AI’nın sunduğu hız, verimlilik ve kod kalitesi faydalarını elde etmek, AI kodlama araçlarının risklerini azaltmak ve AI’ya aşırı güvenmenin tuzaklarından kaçınmak için yeni bir yaklaşıma ihtiyaçları var. Kod geliştirmede güvenliği bir öncelik olarak belirlemeli, süreçleri daha kapsamlı bir şekilde otomatikleştirmeli ve ekipleri AI’yı güvenli bir şekilde kullanma konusunda eğitmelidirler. Geliştiriciler için, işlerinin odağının değişmesi gerektiğini belirtir.
Bir Geliştiricinin Gelecekteki İşinin Nasıl Olabileceği
AI kodlama araçlarının getirdiği tüm faydalara rağmen, asıl mesele, tamamen kendi başlarına çalışabileceklerine güvenilmemesidir. Kusurları fark etmeden güvenli olmayan kod kullanma eğilimleri, kendi başlarına hatalar getirmeleri ve kodun geri kalan kod tabanıyla nasıl çalışacağına dair bağlamsal farkındalığa sahip olmamaları, üretime girmeden önce çalışmalarının dikkatlice kontrol edilmesini gerektirir. Bir AI’nın omzunun üzerinden bakma işi geliştiricilere düşecektir.
Güvenliği ilk sıraya koyma konusunda ciddi olan şirketler için bu iş, geliştiricilerin güvenliği geliştirme sürecinin başlangıcından itibaren dahil etmelerine odaklanmalarıyla örtüşecektir. Şirketler bunu sola kaymak veya basitçe sola başlamak olarak görsün, geliştiriciler güvenli kodlama en iyi uygulamaları konusunda eğitilmelidir.
Kendileri güvenli kod yazmak ve AI araçlarının kod çıktısını değerlendirmek dışında, geliştiricilerin işleri başka şekillerde de değişecek. Güvenli kodlama ve AI eğilimleri hakkında bilgi biriktirdikçe, sürekli olarak güvenli en iyi uygulamaları aşılamaya yardımcı olmaktan sorumlu olacaklar. Daha yeşil geliştiricilere ve ekiplerine AI’yı sorumlu bir şekilde nasıl kullanacakları konusunda eğitim verecekler. Geliştiriciler ayrıca kurumsal AI araçlarının eğitim vereceği veriler için parametreler belirlemeye de dahil olacak, eğitim verilerinin konuyla ilgili kapsamlı olmasını ve mümkün olduğunca kusur ve güvenlik açıklarından arınmış olmasını sağlayacaklar.
Geliştiricilere yönelik beklentiler ve başarılarının ölçütleri değişecek. Örneğin, güvenlik yakında geliştiricilerin uyması gereken temel performans göstergeleri (PKI) arasında yer alacak. Geliştiriciler yeni güvenlik odaklı rollerine alıştıkça, “hızlı güvenlik” hedeflerine uyum sağlamak için AppSec ekipleriyle çalışmaları beklenecek.
Şirketler ve diğer kuruluşlar, geliştiricilerin gerçek dünya sorunlarını çözmelerine yardımcı olmak için tasarlanmış, hassas bir şekilde hedeflenmiş, uygulamalı eğitimlerle geçişi desteklemeli, eğitim materyalleri çeşitli formatlarda sunulmalı ve geliştiricilerin çalışma biçimlerine uyacak şekilde planlanmalıdır. Güvenlik odaklı bir kültür, geliştiricilerin eleştirel düşünme becerilerini genişletmelerine de olanak tanıyarak, özellikle yapay zeka asistanları tarafından oluşturulan savunmasız kodun getirebileceği potansiyel tehditleri değerlendirirken güvenlik odaklı bir zihniyetle hareket etmelerini sağlayacaktır.
Mevcut tehdit ortamının gücü ve karmaşıklığı göz önüne alındığında, geliştiricilerin işleri birçok kuruluşta zaten bir güvenlik zihniyetine doğru ilerliyor. Ayrıca, güvenli yazılım yönetim kurullarının da giderek daha fazla desteklediği bir şey ve AI kodlamasının büyümesi, uygun rehberlik ve korumalar olmadan tehdit edebileceği bir şey. Neyse ki, uygun eğitimle, geliştiriciler AI kodlama hatalarına karşı ilk savunma hattı haline gelebilir ve kuruluşların AI’nın birçok avantajından yararlanırken önemli eksikliklerini azaltmalarına olanak tanır.