Tasarım Başarısıyla Güvenliği Sağlamak için Gerekenler
“Sola kaydırma” kontrollerinin başarılı olmaları için gereken ilkeleri belirlemede neden başarısız olduğunun suçlularını anlamak için yıllarımızı harcadık. Başarı, geliştiriciye öncelik veren bir temel ve çalışmayı ortadan kaldırmaya karşı onu yaratmaya yönelik bir disiplinle başlar.
Geliştiricinin İlk Uygulama Güvenliği Vakfı
Geliştiricilerin güvenli kod yazmalarına rehberlik etmek için aşağıdaki donanımlara sahip olmaları gerekir: dava edilebilir bilgi. Aslında, “işlem yapılabilir” kelimesini “yararlı” kelimesiyle birbirinin yerine kullanın.
Eyleme geçirilebilirliğin temel bileşenleri şunlardır: bağlam, hızVe düşük gürültülü çıkış. Odaklanmalı, hızlı olmalı ve neyin analiz edildiğini anlamalıdır. Statik Uygulama Güvenliği Testi (SAST) ve Yazılım Bileşimi Analizi (SCA) araçları hızlıdır ancak bağlam ve gürültü açısından yetersizdir. Sorun ne sıklıkla olduklarıdır Olumsuz doğru: geliştiricileri yanlış pozitifler ve mükerrer uyarılarla bombardımana tutmak.
Bilginin kaynağının olması gerekiyor sürekli öğren. Geliştiricilerin sürekli olarak çalışmalarını açıklamaları ve istisnaları artırmaları gerekiyorsa, süreç başarısızlığa mahkumdur. Geliştirici güvenlik araçlarının şunları yapması gerekir: Dinlemek, kol saati, Ve uyum sağlamak müdahale olmadan. Uygulama güvenliği geliştiricileri dinler ve değer sağlarsa geliştiriciler dinleyerek ve öğrenerek yanıt verir.
Uygulama güvenliği geliştirme aşamasında etkinleştirildiğinde, engelleyici olmamalı. Engelleme mekanizmaları gelişimi ve diğer her şeyi durma noktasına getirir. Güvenli kodu değil, yaratıcı geçişleri teşvik ederler. Önleyici önlemlerin uygulanması önemlidir, ancak SDLC’nin üretim öncesi tarafında çalıştıkları için geliştiricilere aşırı yük bindirmek pek dengeli bir derinlemesine savunma stratejisi değildir.
Son olarak güvenlik, geliştiricilere gürültü çıkaramaz. İyileştirmenin çözümün bir parçası olması gerekiyor. Ortaya çıkan sorunları çözmek için yaşam döngüsü boyunca etkileşimli desteğin olması gerekir.
“Sola Kaydır”ın Yanlış Olduğu Yer
SDLC’de güvenlik testini daha erken uygulamaya koyma çabaları genellikle SAST (ve IAST, DAST, SCA, RASP, vb.) tarayıcılarının uygulanmasıyla başlar. Bunlar hızlıdır ve çoğu programlama diliyle geniş uyumluluk nedeniyle teorik olarak ölçeklenebilir. Sorun, çıktılarının doğru ya da yanlış olduğunu kanıtlamak için gereken çalışmadır ve bu da birikmiş işlerin artmasına yol açmaktadır. Ve incelendiğinde çoğu zaman yanıldıkları görülüyor ve bu da geliştiricilerin güvenmediği güvenlik politikalarına yol açıyor. Geliştirmede uygulama güvenliğinin durduğu yer burasıdır: İşlevsiz bir politikayı çalıştırmaya çalışmak (güvenlik borcu büyüdükçe).
Bunların hiçbiri güvenlik kodu tarayıcılarının güçlü ve değerli olmadığı anlamına gelmez. Çalışmalarıyla dünyaya büyük bir hizmet sağlayan koruyucuları, hiçbir zaman onların tek bir strateji olarak ayakta durduğunu iddia etmedi. “Sola kaydırma”, zor bir soruna kolay bir çözüm bulunabileceğine dair iyi niyetli, dile getirilmemiş bir umut olarak geliştiricileri başarısızlığa uğrattı.
Yapay Zeka ile Geliştirici Güvenliğinin Geleceği
Çok büyük eski kod tabanlarını anlama, mikro hizmet mimarilerindeki işlevlerin kötüye kullanımını belirleme ve kodla ilgili kusurları bulma gibi konularda tarayıcıların sınırları vardır. Olumsuz yazılı. Burada yapay zeka parlıyor ve gelecek parlak görünüyor.
Eğitim verileri külliyatı üzerinde eğitilen modeller, kod tabanlarının tamamını analiz etme kapasitesine sahiptir. Güvenli kod sistemleri normal kalıplardan sapan alanları işaretleyebilir. Yıllardır manuel güvenli kod inceleme yükünün %100’ünü taşıyan geliştiriciler ve güvenlik mühendisleri için harika bir haber.
“Sola kaydırmanın” yanlış yaptığı şeyi düzeltmenin çözümü yapay zeka tek başına mı?
Yapay zekanın mümkün kıldığı bu fırsatlardan yararlanırken teknolojinin paha biçilmez insan uzmanlığının yerini alacak bir araç değil, bir araç olduğunu unutmamak önemlidir.
İnsan-Yapay Zeka İşbirliği
Yapay zeka teknolojisini dahil ederek “sola kaydırma” güvenlik stratejisini yeniden düşünmek heyecan vericidir ancak güvenli ve sorumlu bir keşif gerektirir. Dağıtımın yürütülmesi, ana prensip olarak döngüdeki insan (HITL) gözetimini gerektirir. Geleneksel olarak HITL metodolojisinin hedefleri, denetledikleri modelleri iyileştirmek, yani yapay zeka sistemlerinin doğru, sağlam, etik, uyarlanabilir ve gerçek dünya hedefleriyle uyumlu olmasını sağlamaktır.
Geleneksel düşünceye meydan okuyalım.
Yapay zeka sistemlerinin verimliliğine öncelik vermek yerine, döngüdeki insan gözetim öncelikleri bir geliştiricinin güvenli kod yazmasına yardımcı olmakla başlayıp bitse ne olur? Peki ya uzmanlar model çıktısını yalnızca “doğru” veya “yanlış” olarak kategorize etmekle kalmayıp, aynı zamanda neyin “doğru” olduğunu da genişleterek modelin tüm bağlam ayrıntıları dikkate alınarak eyleme geçirilebilir olmasını sağlarsa ne olur? Geliştirici, sorunu çözmek için harekete geçme konusunda sorun çözme yolculuğunda mı?
Shift-Sol Güvenliği Diriltelim
İnsan-yapay zeka işbirlikçi yaklaşımının, güvenliği korkunç bir engelleyiciden, geliştirme hızının güçlü bir sağlayıcısına nasıl dönüştürdüğünü tartıştığımız isteğe bağlı web seminerine göz atın.
Tutulmayan Güvenlik Vaatleri: İnsan-Yapay Zeka İşbirliği Geliştirici Güvenini Nasıl Yeniden İnşa Ediyor?
İlk olarak 16 Ocak 2025’te 12:00 ET’de yayınlandı
HackerOne’ın güvenli geliştirmeyi birlikte yeniden keşfetmek için geliştirme ekipleriyle nasıl çalıştığına dair daha fazla bilgi için bizi takip etmeye devam edin.