Black Duck «Global State of DevSecOps» предоставляет всесторонний обзор текущего состояния безопасности приложений. В рамках исследования было опрошено более 1000 разработчиков программного обеспечения, специалистов по безопасности приложений, главных специалистов по информационной безопасности и инженеров DevOps, и по итогам 2024 года были выделены три основных вывода:
- Разработка кода с использованием искусственного интеллекта (ИИ) вновь усилила противоречия между командами безопасности и разработчиками.
- Необходима более интегрированная и автоматизированная стратегия DevSecOps для обеспечения безопасности более быстрых процессов, поддерживающих ИИ.
- Большие объемы неясных результатов тестов продолжают замедлять способность команд безопасности приоритизировать проблемы и мешают разработчикам устранять уязвимости.
Более 90% респондентов подтвердили, что используют ИИ как помощника в разработке кода. Как отмечается в отчете, «код, генерируемый ИИ, может создавать неопределенности в отношении права на интеллектуальную собственность и лицензирования, особенно если модель ИИ использует наборы данных, которые могут включать открытый исходный код или другой сторонний код без указания авторства. Инструменты для кодирования с поддержкой ИИ также могут вводить уязвимости в кодовые базы.»
Однако многие организации еще не задумываются над этими рисками. Согласно отчету, хотя 85% респондентов заявили, что у них есть меры для решения возможных проблем с кодом, сгенерированным ИИ, только 24% было «очень уверено» в этих мерах. Еще 41% был «умеренно уверен», а 26% были «слегка» или «совсем не уверены». Когда каждый четвертый респондент не уверен в своих собственных мерах безопасности, это серьезная проблема. Усугубляет ситуацию то, что 21% опрошенных признался, что «их команды разработки обходят корпоративные политики и используют несогласованные, а, следовательно, недоверенные, инструменты ИИ».
Компании стремятся к увеличению роли ИИ в своей работе, но многие подходят к этому тренду с осторожностью
Отчет Black Duck «Global State of DevSecOps» за 2024 год показывает, что большинство организаций изучает, как разрешить использование инструментов разработки с поддержкой ИИ. Результаты предполагают, что разработчики используют ИИ как для разработки кода с самого начала, так и для завершения написания кода, который они уже начали. Отчет показывает, что 27% организаций разрешают разработчикам использовать инструменты ИИ для написания кода и изменения проектов. Также 43% организаций в настоящее время ограничивают использование решений на базе ИИ для конкретных разработчиков или команд. Только 5% заявляет, что еще не приняли ИИ в разработку и уверены, что их разработчики не используют инструменты ИИ. Однако отчет также отмечает, что 21% организаций осведомлен о том, что некоторые разработчики используют ИИ-инструменты в разработке, несмотря на запреты.
Последняя цифра вызывает наибольшее беспокойство. Использование инструментов ИИ для разработки без разрешения является серьезным риском для организации. Если команды безопасности не имеют видимости в отношении инструментов ИИ или кода, который в итоге получается, то будет крайне сложно скорректировать программы DevSecOps для поддержания должного уровня безопасности и повышения продуктивности. Эта статистика действительно говорит нам, что инструменты разработки с ИИ уже используются, даже если организации думают, что они не используются, и вашей организации нужно составить план их безопасного внедрения, иначе она рискует потерять видимость в отношении рисков безопасности при разработке программного обеспечения.
DevSecOps в действии: анализ глобальных факторов безопасности в 2024 году
24% организаций, опрошенных в рамках исследования, выразили высокую уверенность в автоматизированных механизмах, которые они внедрили для оценки кода, сгенерированного ИИ, а 41% респондентов сообщил об «умеренной уверенности» в своей способности автоматически тестировать этот код. 20% организаций только «слегка уверены» в этом, 6% вообще «не уверены» в готовности своей организации, а для 5% этот вопрос не является приоритетом. Некоторые организации могут справляться с проблемами кода, сгенерированного ИИ, с помощью существующей инфраструктуры AppSec, в то время как другие могут потребовать выделения дополнительных ресурсов безопасности, объединения инструментов тестирования, интеграции автоматизированных механизмов тестирования и унификации политик по проектам и командам. Эти меры позволят установить защитные сетки и барьеры безопасности, чтобы организации могли адаптироваться к изменениям в своих процессах так же быстро, как ИИ ускоряет их.
Также важно отметить, что в дополнение к проблемам с безопасностью приложений, разработка с поддержкой ИИ может привести к проблемам с соблюдением лицензионных соглашений на программное обеспечение, что может поставить под угрозу интеллектуальную собственность, если будет использован сторонний код с соответствующими взаимными лицензиями.
Вашей организации необходимо быть осведомленной
Отчет «Global State of DevSecOps» ясно показывает, что организации, которые внедряют разработку с поддержкой ИИ, подходят к этому вызову с разной степенью осторожности. Ключевым фактором является уровень уверенности каждой организации в своих собственных протоколах безопасности. Отчет показывает, что некоторые организации действуют с осторожной уверенностью, в то время как другие явно идут на серьезные риски для своей безопасности. Не удивительно, что из 27% организаций, которые позволяют свободное использование ИИ по всей организации, 81% сообщает о высокой или умеренной уверенности в ИИ. Эти организации готовы к внедрению ИИ и уверены, что у них есть механизмы контроля, снижающие риски. Однако немного удивительно, что 43% респондентов, которые придерживаются более поэтапного подхода к разработке с использованием ИИ, также сообщили об умеренной уверенности в своей способности обеспечить безопасность кода, сгенерированного ИИ, даже если разрешают использовать его только определенным разработчикам.
Планирование стратегии для обеспечения безопасности разработки с поддержкой ИИ
В свете продолжающегося внедрения инструментов разработки с поддержкой ИИ организации должны разработать стратегию, которая закроет окно возможностей для атак. Большинство организаций уже научилось учитывать зависимости, связанные с открытым исходным кодом в своих разработках, и создали системы для обнаружения уязвимостей по мере их публикации, чтобы своевременно их устранять и обновлять. Большинство организаций регулярно тестирует собственный исходный код для выявления уязвимостей и небезопасных конфигураций. Чтобы включить требования разработки с ИИ в эти процессы, команды безопасности и разработки должны работать вместе, используя инструменты DevSecOps, которые удовлетворяют потребности обеих групп в эффективности и надежности.
Собранные данные из отчета «Global State of DevSecOps» показывают, что существует четыре основных способа добиться эволюции программы DevSecOps, чтобы безопасно разрабатывать код на высокой скорости:
- Соответствовать разработчикам там, где они есть. Встраивание тестирования и анализа непосредственно в инструменты и рабочие процессы разработки сделает безопасность беспрепятственной и минимизирует желание разработчиков обходить заслоны.
- Интегрировать и автоматизировать тестирование по всему стеку. Интеграция автоматизированного тестирования в соответствии с политиками допустимого риска помогает устанавливать защитные барьеры, сокращать обратную связь и устранять скрытую доверчивость к ИИ.
- Развивать навыки безопасности у разработчиков. Обучение разработчиков осознанию рисков и предоставление им рекомендаций по исправлению с использованием ИИ поможет повысить стандарты разработки с каждым выпуском и быстро устранять уязвимости.
- Планировать эволюцию с долгосрочной стратегией. Объединение политик, анализа и тестирования на гибкой платформе для тестирования безопасности приложений позволит построить стратегию DevSecOps, которая будет расти вместе с бизнесом.
В будущем самыми успешными организациями, вероятно, станут те, кто сможет эффективно оптимизировать свои технологические стеки AppSec, ответственно использовать ИИ в процессе разработки, уменьшить шумы в результатах тестирования безопасности и поощрять более тесное сотрудничество между командами безопасности, разработки и операций. Пусть концепция DevSecOps еще далеко несовершенна, но разработка с поддержкой ИИ серьезно ускоряет процесс ее развития.
Почему Black Duck?
Black Duck — мировой лидер в сфере безопасности программного обеспечения. Компания предоставляет решение для автоматизированного анализа безопасности программного обеспечения и обеспечивает выявление, оценку и устранение уязвимостей. Одно из решений Black Duck — интегрированная облачная платформа Polaris, предназначенная для тестирования безопасности приложений, которая оптимизирована для нужд команд разработки и DevSecOps.
Дополнительную информацию о решениях Black Duck вы можете получить на сайте официального дистрибьютора Black Duck в Азербайджане — компании Techpro DC
https://techprodc.com
