Bu Help Net Security röportajında, Qwiet AI CEO’su Stuart McClure, reaktif düzeltmelerden proaktif risk yönetimine geçişin altını çizerek kod tarama uygulamalarının evrimini tartışıyor.
McClure ayrıca yapay zeka destekli kod taramanın geleceğine ilişkin bakış açısını paylaşıyor ve makine öğreniminin tehdit tespiti ve iyileştirmedeki potansiyelini vurguluyor.
Son yıllarda özellikle bulutun benimsenmesi ve DevSecOps ile birlikte kod tarama uygulamalarının nasıl geliştiğini gözlemlediniz?
Kod tarama uzun bir yol kat etti ve işlerin nasıl değiştiğini görmek büyüleyici. Başlangıçta, genellikle arayı kapatmaya çalışıyorduk ve sorunları ancak ortaya çıktıktan sonra çözebiliyorduk; genellikle bu güvenlik açığından yararlanan ve veri dökümünü arkadaşlarıyla paylaşan bir bilgisayar korsanı tarafından. Artık bütünsel riski bulma, düzeltme ve değerlendirme konusunda çok daha yetkin ve proaktifiz.
Bugün sahip olduğumuz şey, bu dünyanın Pleistosen dönemine benzemesini sağlıyor. Geliştiricilerin kodlarını editörlerinde (IDE’ler – entegre geliştirme ortamları) yazdıklarından Git’i kullanarak bulut geliştirme ortamına geçtikleri zamana ve tüm entegrasyon, derleme, test süreçlerine kadar kod yaşam döngüsü boyunca her yerde bu otomatik kontrol noktalarına sahibiz. ve dağıtım hattı.
Yazılım bileşenlerinin ve yığınlarının karmaşıklığı bazen kafa karıştırıcı olabilir, bu nedenle tüm bu noktaları mümkün olduğunca kusursuz ve eller serbest bir şekilde birleştirmek zorunludur. Örneğin, üçüncü taraf bir yazılım kitaplığında veya bileşeninde bir güvenlik açığı tespit edersek, bunun kendisini çağıran kodu nasıl etkileyebileceğini anlamamız gerekir.
Verimli, güvenli bir yazılım geliştirme yaşam döngüsü (SSDLC) programı çalıştırmanın anahtarı, temel veya tekrarlanan görevleri otomatikleştirmek ve bir güvenlik açığının yaşam döngüsünü (tespitten önceliklendirmeye kadar) rahimden mezara kadar tamamen izlemektir.
Kuruluşların kod tarama araçlarını geniş ölçekte benimserken karşılaştığı bazı önemli zorluklar nelerdir ve bu zorlukların üstesinden nasıl gelinebilir?
Eski kod tarama araçlarının çoğu son derece yavaştır ve genellikle tek bir modern uygulamayı taramak onlarca saat sürer! Ve sıklıkla, çoğu yanlış pozitif olan sonsuz uyarılar üretirler. Bütün gün hayaletleri ve kırmızı ringa balığını kovaladığınızı, 10 bulgudan 6 veya 7’sinin yanlış bayrak olduğunu hayal edin. Yorucu. Bu nedenle, halihazırda gerçek kodlama çalışmalarına boğulmuş olan geliştiricilerimizin artık hangi uyarıların önemli olduğunu anlamak için önceliklendirme yapması (ve genellikle bir kriz durumunda) gerekiyor.
Tüm bu gürültüyü giderip gerçek sorunları belirledikten sonra bile bildirim oluşturmaları ve buldukları her şeyi takip etmeleri gerekiyor. Bu işlev genellikle arzu edilen davranışı ikramiye veya tanınmaya teşvik etmek yerine, mühendisliğin mevcut sorumluluğuna bağlanır. Eğer elinizde bir sürü özellik isteği ve hata düzeltmesi olan bir geliştiriciyseniz ve daha sonra kimsenin umursamadığı bir tsunami güvenlik cezası alırsanız… tahmin edin hangileri yığının dibine itiliyor?
Üretken yapay zeka tabanlı aracılı iş akışları, tünelin sonundaki ışığı görmek ve SSDLC’nin yakın vadede ufukta olma olasılığını değerlendirmek için siber güvenlik ve mühendislik ekiplerinin ateşini yakıyor. Ve bugün piyasada bazı umut verici değişiklikler görüyoruz. Sorunları otomatik olarak takip edebilen, hangilerinin en önemli olduğunu anlayan, düzeltmeler önerebilen ve ardından bu düzeltmeleri test edip doğrulayabilen akıllı bir asistanınızın olduğunu hayal edin; hem de bilgisayar hızında! Hala geliştiricilerimizin işleri denetlemesine ve son kararları vermesine ihtiyacımız var, ancak yazılım aracısı verimli bir program çalıştırmanın yükünün çoğunu üstleniyor. İnsan + AI tek başına AI’dan daha üstündür.
Çok çeşitli statik ve dinamik tarama araçları mevcutken, bir CISO’nun kod tarama araçları seçimini hangi kritik faktörler etkilemelidir?
Yapay zeka çağında dikkate alınması gereken bir numaralı kritik faktör yapay zekanın kökenidir. Araç ve ürünlerin yapay zekaya öncelik veren şirket ve platformlardan geldiğini mi düşünüyorsunuz? Değilse, devam edin. Cevabınız evet ise, yol haritalarını belirleyen temel ilkeleri anlamak için çift tıklayın. Yapay zekayı bütünüyle uygulama güvenliği iş akışlarına nasıl uyguladılar ve yapay zeka ortamının hangi taraflarını benimsediler veya hangi taraflarından uzak durdular? Hem tahmine dayalı hem de üretken yapay zeka modelleri ve iş akışları, yapay zekaya öncelik veren bir uygulama güvenliği şirketi olmak için çok önemlidir ve bu kökene sahip olmayanlar, modern yapay zeka çözüm setine dönüşmek için çabalayacak ve mücadele edecektir.
İkincisi, hızlar ve akışlar arasında düşük gecikme süresi (işlem süresi), düşük bakım maliyetleri (şirket içi ile karşılaştırıldığında SaaS tabanlı), yüksek verim (kurumsal düzeyde paralelleştirme) ve tek bir cam bölme (bağlamın tüm sistem genelinde taşınması) yer alır. Bu araçlar, diğerlerinin yanı sıra, etkili bir program yürütmenin anahtarıdır.
CISO’lar, geliştirme ekipleri arasında önce güvenlik odaklı kodlama kültürünü nasıl teşvik edebilir ve otomatik kod incelemeleri bunda nasıl bir rol oynayabilir?
Güvenlik programı yönetim kurulu ve yönetici seviyelerinde görünür olmalıdır. Onları önemseyen ve eğiten yönetim kurulu üyeleriyle aynı hizaya gelin. Onları (nitelliğin yanı sıra) niceliksel iyileştirme ölçütleri talep etme konusunda güçlendirin ve görmezden gelindiğinde şirketi maruz bırakacakları kaçınılmaz riski onlara hatırlatın.
Bir CISO’nun gerçekleştirebileceği bir diğer anlamlı adım, güvenlik duruşunu sürdürmek için teşvikleri, ödülleri ve ikramiyeleri uyumlu hale getirmektir.
Yapay zeka ve makine öğreniminin, özellikle otomatik tehdit algılama ve düzeltmeyle kod taramanın geleceğini nasıl şekillendireceğini düşünüyorsunuz?
Yapay zekanın kod taramadaki evrimi, güvenliğe yaklaşımımızı temelden yeniden şekillendiriyor. Optimize edilmiş üretken AI LLM’ler (Büyük Dil Modelleri), milyonlarca kod satırını saniyeler içinde değerlendirebilir ve neredeyse her zaman insanlar tarafından olan samanlıktaki iğneyi bularak en ince ve incelikli desenlere bile dikkat edebilir.
En ilgi çekici gelişmelerden bazıları şunlardır:
- Bağlamsal anlayış: Modern yapay zeka modelleri, kodu yalnızca kalıp eşleştirmede değil, bağlam içinde anlamada da dikkate değer ölçüde ustalaşıyor. Kod bloklarının anlamsal anlamını ve aralarındaki ilişkileri kavrayabilirler, genellikle eski statik analizcilerin gözden kaçırdığı incelikli güvenlik açıklarını yakalayabilirler.
- Tahmine dayalı analiz: Yapay zeka sistemleri, bilinen güvenlik açıklarını işaretlemek yerine, kod yapısına ve akış modellerine dayalı olarak potansiyel güvenlik zayıflıklarını tahmin etmede ve tehditleri istismar edilebilir hale gelmeden önce tahmin etmede daha iyidir.
- Uyarlanabilir öğrenme: Her yeni güvenlik açığı keşfi, bu sistemlerin daha karmaşık hale gelmesi için eğitilmesine yardımcı olur. Gerçek dünyadaki saldırı modellerinden öğreniyorlar ve tespit yeteneklerini buna göre geliştiriyorlar.
- Yapay zeka saldırı grafikleri, kötü adamların sistemlere ve ağlara sızmak için kullanacağı bilgi işlem hızında geliştiriliyor.
Ücretsiz e-Kitabı almak için aşağıdaki formu doldurun: