GenAI kodundan korkmayın ama dikkatli olun


Yapay zeka (AI) bir sonraki büyük şey değil. Artık en büyük şey bu. Evet, neredeyse 70 yıldır üzerinde çalışılıyor. Çok büyük miktarda parası olan, gülünç düzeyde bilgi işlem gücüne sahip ve dünya çapında kamuya açık (ve çoğu durumda özel) bilgilere erişimi olan çok akıllı insanlar, bunu onlarca yıldır geliştiriyorlar.

Çoğu durumda, ilkel görevlerde bile sonuçlar karışıktı. Çok da uzun olmayan bir süre önce, bir kullanıcının şunu paylaşan ikonik sözlerini hatırlayın: “Sevgili Otomatik Düzeltme. Küfürlerimi düzeltmeyi bırak, seni suskun.”

Ancak prime time için hâlâ tam anlamıyla hazır olmasa da prime time’dır. Yapay zeka her yerde ve hastalıkları teşhis etmekten ev tasarlamaya, araştırma makaleleri yazmaya, deepfake porno oluşturmaya, metninizi otomatik olarak düzeltmeye ve yazılım oluşturmaya kadar hemen hemen her şeyi yapıyor. Şaşırtıcı miktarda veriyle beslenen büyük dil modellerinden (LLM) oluşturulan üretken yapay zeka (GenAI) araçları, yazılım ürünlerine dönüşen yazılım kodları sunabilir. Ve hepimizin bildiği gibi yazılım sadece dünyayı yemekle kalmıyor, aynı zamanda dünyayı yönetiyor.

Bu da bu araçları neredeyse karşı konulmaz derecede baştan çıkarıcı kılıyor. Hızla parlıyorlar; uykuya, kahve molalarına ya da tatile ihtiyaçları yok; maaş ve sosyal yardım talep etmiyorlar; ve sendikalaşmaya çalışmıyorlar. Bunlar bir yöneticinin hayalidir.

Yani neredeyse bir gecede (ChatGPT ve bir dizi rakip sohbet robotunun piyasaya sürülmesinden bu yana 18 aydan az bir süre geçti) GenAI kodu artık yazılımın dördüncü ana bileşeni olarak kabul ediliyor. On yıllardır piyasada olan diğer üçü ise yazdığınız kod (tescilli), satın aldığınız kod (ticari) ve (çoğunlukla ücretsiz) açık kaynaklı yazılımdır (OSS).

Bunda doğası gereği yanlış olan hiçbir şey yok. Artan üretkenlik genellikle artan kar ve daha düşük fiyatlar anlamına gelir.

GenAI kodu daha hızlı olduğu için aynı zamanda daha iyi olduğunu varsaymayın. Kusurlu insanlar tarafından yazılan mevcut kusurlu yazılımların geniş deposundan türetilmiştir; bu da onun aynı şekilde kusurlu olduğu anlamına gelir.

Synopsys Siber Güvenlik Araştırma Merkezi’nin yıllık “Açık Kaynak Güvenliği ve Risk Analizi” raporu gibi çalışmalar bunu belgeliyor.

– Rapor için taranan 1.703 kod tabanından %96’sı OSS içeriyordu, %84’ü en az bir güvenlik açığına sahipti ve %48’i en az bir yüksek riskli güvenlik açığı içeriyordu.

– Yüzde elli dördünde lisans çatışması vardı ve %31’i lisanssız OSS içeriyordu.

GenAI kodu biraz daha kusurlu olabilir; çoğu uzman, onun yeteneklerini, temel, kullanışlı kod üretebilen ancak sıkı denetime ihtiyaç duyan genç bir geliştiricinin yetenekleriyle karşılaştırır. Ve üretilen kod, insan tarafından üretilen herhangi bir yazılımın ihtiyaç duyduğu aynı titiz testleri gerektirir.

Analist firma Gartner, Avustralya’daki risk yönetimi harcamalarına ilişkin bir tahminde bu noktaya değindi. Bir basın açıklamasında GenAI’nin giderek daha fazla benimseneceğini öngördü, ancak test ihtiyacını ortadan kaldırdığına dair yanıltıcı iddiayı güçlü bir şekilde çürüttü ve 2025 yılına kadar “GenAI’nin güvenliğini sağlamak için gereken siber güvenlik kaynaklarında bir artışa neden olacağını ve %15’ten fazla bir artışa neden olacağını” öngördü. uygulama ve veri güvenliğine artan harcamalar.”

Gerçekten de, eğer GenAI araçları insanlardan çok daha hızlıysa, test edilecek çok daha fazla kod oluşturacaklardır.

Sorunlara neden olabilecek yalnızca mevcut yazılımlardan devralınan güvenlik açıkları değildir. GenAI araçları, suçlu bilgisayar korsanlarının bir LLM’ye beslenen eğitim verilerine kötü amaçlı kod örnekleri enjekte etmesi yoluyla “zehirlenebilir”. Bu, aracın kötü amaçlı yazılım bulaşmış kod oluşturmasına yol açabilir.

Bütün bunlar testi zorunlu kılıyor. Ve yazılımın güvenliğini ve kalitesini sağlamak için üç temel yazılım test yöntemi (OSS’nin statik analizi, dinamik analizi ve yazılım kompozisyon analizi (SCA)) zorunlu olmalıdır.

GenAI kodu aynı zamanda OSS’ye paralel olmalıdır, çünkü kaynağını bilmek kritik öneme sahiptir – onu kim yaptı, kimin sürdürdüğünü (ya da yapmadığını), çalışması için başka hangi bileşenlere ihtiyaç duyduğunu (bağımlılıklar), içindeki bilinen güvenlik açıklarını ve kullanımını hangi lisans hükümlerinin yönettiğini. . Bir SCA aracı bu bilginin bulunmasına yardımcı olur, böylece geliştiriciler bir şeyi düzeltmeleri mi yoksa lisanslamaya uymaları mı gerektiğini bilirler.

Bu nedenle, bir yazılım ürünü için tüm tedarik zincirinin bir envanteri olan Yazılım Malzeme Listesi (SBOM), OSS’nin güvenli bir şekilde kullanılması için gerekli hale geldi ve GenAI kodunun güvenli bir şekilde kullanılması için de aynı derecede önemlidir.

Özetle: GenAI koduyla ilgili korkutucu manşetlere kanmayın; birçok avantaj sunar; ancak aynı zamanda sınırlarının ve risklerinin de farkında olun. Bunu rutin ve tekrarlanan kodlama görevleri için kullanın ve bir uygulamanın özel ve karmaşık bölümlerini insanlara bırakın. Ve bunu diğer yazılım kodlarının ihtiyaç duyduğu titizlikle test edin.

Çünkü yine başka yazılımlardan geldiğini unutmayın.

Synopsys’in GenAI kodunuzu yönetmenize nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek için şu adresi ziyaret edin: www.synopsys.com/software.



Source link