GitHub, yeni kod tarama otomatik düzeltme özelliğiyle yazılım geliştiriciler için yapay zeka destekli hata düzeltme araçları sunan giderek büyüyen şirketler listesine katıldı.
GitHub’un Gelişmiş Güvenlik kapsamında beta programına kaydolan geliştiriciler, kodlarını şirketin statik analiz tarayıcısı CodeQL ile tarayabilecek ve en kritik güvenlik açıkları için düzeltmeler önerilecek. GitHub’un ürün yönetimi kıdemli direktörü Justin Hutchings, özelliğin, herhangi bir çekme isteği için “kesin, eyleme dönüştürülebilir öneriler” sunarak sorunları otomatik olarak bulup düzelteceğini ve geliştiricilerin güvenlik açıklarını düzeltme süresini kısaltması gerektiğini söylüyor.
Hutchings, “Geliştiricilere varsayılan olarak sunduğumuz sorgu kümesini, en yüksek hassasiyet ve en yüksek önem derecesine sahip olduğunu düşündüğümüz uyarılara yönelik kod taramasıyla optimize ettik” diyor. “Dolayısıyla geliştiricilerin sözünü yalnızca bu durumlarda, bunun onların başa çıkması gereken bir sorun olduğuna inanmak için çok yüksek güven nedenlerine sahip olduğumuzu düşündüğümüzde kesiyoruz.”
Kod tarama otomatik düzeltmesi ile GitHub, güvenlik açıklarını düzeltmek için yapay zeka platformlarına yönelen diğer uygulama güvenliği firmalarına katılıyor. Tecrübeli oyuncu Veracode, geliştiricilerin güvenlik açıklarını düzeltmedeki büyük gecikmeyi gidermelerine yardımcı olmak amacıyla Haziran ayında Veracode Fix platformunu başlattı; şirket, güvenlik açıklarının yaklaşık %75’inin genellikle bir aydan uzun bir süre boyunca düzeltilmeden bırakıldığını söylüyor.
Yeni kurulan şirketler, kendi hata düzeltme hizmetlerini başlatmak için üretken yapay zeka ve ChatGPT’nin heyecanından da yararlandı. Ağustos ayında Mobb’un güvenlik açığı raporlarını önceliklendirmeye ve düzeltmeler sağlamaya yönelik yapay zeka destekli çözümü, Black Hat Startup Spotlight yarışmasını kazandı. Aynı ay, startup Vicarius, firma tarafından işletilen bir iyileştirme veritabanındaki verileri kullanarak güvenlik açıklarını ve yanlış yapılandırmaları bulup düzeltecek üretken bir yapay zeka hizmeti olan vuln_GPT’yi duyurdu.
Vicarius’un CEO’su ve kurucu ortağı Michael Assraf, araçların geliştiricilerin ve uygulama güvenliği profesyonellerinin her gün karşı karşıya kaldığı büyük güvenlik borcunu gidermeyi amaçladığını söylüyor.
“Güvenlik açığının giderilmesi birçok nedenden dolayı bozuldu; konsolidasyon, kişiselleştirme ve ölçeklenebilir iyileştirme kesinlikle en önemli zorluklardan bazılarıdır” diyor. “İleriye doğru pek çok adım attık, ancak kuruluşlar ihtiyaç duyduklarını bilseler bile gerekli değişiklikleri uygulayamadıkları veya uygulayamadıkları için daha gidecek çok yolumuz var.”
İş Akışında Daha Fazla Güvenlik
Çeşitli üretken yapay zeka yetenekleri aracılığıyla otomasyon, hızla geliştiricilerin çalışma şeklinin bir parçası haline gelecektir çünkü teknikler çalışanları daha verimli hale getirir. Mobb CEO’su ve kurucu ortağı Eitan Worcel, geliştiricilerin işletmelerde ortalama 5 saat sürebilen güvenlik açıklarını belirleme ve düzeltme işini yapay zeka kullanımıyla dakikalara dönüştürebileceğini söylüyor.
“Yapay zeka olsun ya da olmasın otomatik düzeltmeler geliyor” diyor. “Bunun iyi yanı, geliştiricilerin yapması gereken 1 numaralı şeyin test kapsamını artırmak olması ve bu da onlara bunu yapma olanağı sağlıyor.”
Forrester Research tarafından yapılan ilk ankete göre geliştiriciler genel olarak kod yazma ve düzeltme konusunda %15 ila %30 daha üretken.
Forrester’ın kıdemli güvenlik analisti Janet Worthington, “Kesinlikle üretkenlik kazanımlarının orada olduğunu düşünüyorum” diyor. “Sanırım bunların hepsi zamandan tasarruf etmenize yardımcı oluyor, ancak yine de kontrol ettiğinizden emin olmanız gerekiyor. Dolayısıyla yine de döngüde bir geliştiricinin olması gerekiyor.”
GitHub’dan Hutchings, geliştiricilerin, IDE’ye güvenlik yerleştirme, çekme isteklerine yönelik yapay zeka kontrolleri ekleme ve genel olarak geliştiricilerin güvenlik açıklarını önceliklendirip düzeltirken karşılaştıkları sürtünmeyi azaltma dahil olmak üzere, çalışma biçimlerine entegre edilmiş daha fazla yapay zeka yeteneği görmeyi beklemeleri gerektiğini söylüyor.
“Geliştiricilere çalıştıkları yerde güvenlik yetenekleri kazandırma konusunda benzersiz bir yaklaşım benimsemeye çalıştık” diyor.
Güvenmeyin, Kesinlikle Doğrulayın
Yapay zekanın siber güvenlik işlevlerini iyileştirme vaadi kolaylıkla görülse de mevcut yapay zeka sistemlerinin bu göreve uygun olup olmadığı henüz bilinmiyor.
Olumlu tarafı, araştırmacılar geçen yılki Black Hat konferansında, GPT-3 tabanlı modellerin, olay müdahale ekiplerinin güvenliğe özgü bilgileri bulmak için büyük miktarda veriyi incelemesine yardımcı olabileceğini, doğal dilde tehdit avına ve web sitelerinin daha iyi sınıflandırılmasına olanak verebileceğine dair kanıtlar sundular. . Savunma Araştırma Projeleri Araştırma Ajansı (DARPA), Ağustos ayında yazılımı geliştirmek için yapay zekayı kullanmayı amaçlayan iki yıllık bir yarışma başlattı.
GitHub kesinlikle çabalarının başarıya ulaştığını gördü. 2022 yılında, geliştiricilerin hizmetini kullanarak teslim ettiği kodun üçte birinden fazlası (%35) şirketin yapay zeka asistanı Copilot tarafından önerildi. GitHub’dan Hutchings, bu yıl geliştiricilerin bu payı %60’a çıkarma yolunda ilerlediğini ve şirketin beş yıl içinde bu oranın %80’e çıkmasını beklediğini söylüyor.
“Geliştiricilerin görevleri daha hızlı tamamlamasının yanı sıra neredeyse %90’ı rapor ediyor [that they do] — ama daha da güçlü olan şey, onların akışta kalmalarına, daha tatmin edici işlere odaklanmalarına ve zihinsel enerjilerini korumalarına yardımcı olmasıdır” diyor.
Bununla birlikte, ilgisiz bilgiler arasında bağlantı kuran (genellikle “halüsinasyonlar” olarak anılır) üretken yapay zeka sistemleri hala bir tehlike olmaya devam ediyor ve kod düzeltmeleri için kötü önerilerle sonuçlanabiliyor. Ayrı anketlere göre, geliştiricilerin üçte biri (%32) geliştirmede kullanılan yapay zeka konusunda endişe duyuyor ve şirket yönetim kurullarının yarısından fazlası (%59) işlerinde yapay zeka kullanımı konusunda endişeleniyor.
Yapay Zeka, Her Yerde
Yapay zekanın eninde sonunda her geliştiricinin deneyiminin bir parçası haline geleceğine dair bir algı var; bu olup olmayacağı değil, ne zaman olacağı meselesi. Vicarius’tan Assraf, içindeki Marc Andreessen’i kanalize ederek şöyle diyor: “Yapay zeka dünyayı yiyip bitirecek ve bizim için daha spesifik ve alakalı olan yapay zeka, güvenlik dünyasını yiyecek.”
Kurucunun vizyonu, geliştiricilere güvenlik açıklarını ortadan kaldırmak için kodlama modelleri önermenin ötesine geçiyor; yazılımı bağımsız olarak düzeltebilen yapay zeka aracılarını mümkün kılmak istiyor.
Assraf, “Nihai hedef, altyapının etrafından dolaşacak ve tehditleri tamamen bağımsız olarak, hiçbir insan müdahalesi veya minimum doğrulama olmadan düzeltecek solucan benzeri bir tarayıcı oluşturmaktır” diyor. “Bu, siber hijyeni ölçeklenebilir ve verimli bir şekilde artıracak ve bu da mutlaka pahalı bir ürün seti veya güçlü güvenlik personeli gerektirmeyecek.”