ChatGPT’nin genel sürümünden iki yıldan az bir süre sonra çoğu yazılım geliştiricisi programlama için yapay zeka asistanlarını benimsedi. Bu, verimliliği artırıyor ancak aynı zamanda güvenliğin sürdürülmesini daha da zorlaştıran yazılım geliştirme temposunun artmasına da yol açıyor.
Yıllık “Yazılım Tedarik Zincirinin Durumu” raporuna göre, geliştiriciler 2024 yılında 6,6 trilyondan fazla yazılım bileşeni indirme yolunda ilerliyor; buna JavaScript bileşenlerinin indirilmesinde %70’lik bir artış ve Python modüllerinde %87’lik bir artış da dahil. rapor Sonatype’den. Aynı zamanda, bu açık kaynak projelerdeki güvenlik açıklarını gidermeye yönelik ortalama süre, son yedi yılda önemli ölçüde arttı; 2017’de yaklaşık 25 gün iken, 2024’te 300 günün üzerine çıktı.
Olası bir neden: Sonatype’in baş teknoloji sorumlusu Brian Fox, yapay zekanın ortaya çıkışının geliştirme döngülerini hızlandırdığını ve güvenliği daha da zorlaştırdığını söylüyor. Yakın zamanda yapılan bir Stackoverflow anketine göre geliştiricilerin çoğunluğu artık geliştirme süreçlerinde yapay zeka araçlarını kullanıyor. Kodlayıcıların %62’si yapay zeka asistanı kullandığını söylüyorgeçen yılki oran %44’tü.
“Yapay zeka, kodlama sürecini hızlandırmak için hızla güçlü bir araç haline geldi, ancak güvenliğin hızı o kadar hızlı ilerlemedi ve daha düşük kaliteli, daha az güvenli koda yol açan bir boşluk yaratıyor” diyor. “Doğru yöne doğru gidiyoruz, ancak yapay zekanın asıl faydası, geliştiricilerin hız için kalite veya güvenlikten ödün vermek zorunda kalmaması durumunda ortaya çıkacak.”
Güvenlik araştırmacıları, yapay zeka kod üretiminin daha fazla güvenlik açığına ve yeni saldırılara yol açabileceği konusunda uyardı. Örneğin, bir grup araştırmacı bu yeteneği gösterdi. Kod oluşturmak için kullanılan büyük dil modellerini (LLM’ler) zehirleyin Ağustos ayında USENIX Güvenlik Sempozyumu’nda kötü niyetli olarak yararlanılabilen kodla. Mart ayında, bir Yüksek Lisans güvenlik tedarikçisi ile çalışan araştırmacılar, saldırganların yapay zeka halüsinasyonlarını bir yöntem olarak kullanabileceğini gösterdi. geliştiricileri ve uygulamalarını kötü amaçlı paketlere yönlendirmek.
Geliştiricilerin ayrıca yapay zeka asistanlarının savunmasız kodları önerme veya yayma potansiyeli konusunda da artan endişeleri var. Geliştiricilerin çoğunluğu (%56) yapay zeka asistanlarının kullanılabilir kod sağlamasını beklerken yalnızca %23’ü kodun güvenli olmasını beklerken daha büyük bir grup (%40) AI asistanlarının güvenli kod sağladığına kesinlikle inanmıyorumYazılım geliştirme şirketi JetBrains ve Irvine’deki Kaliforniya Üniversitesi’nin Haziran ayında yayınlanan araştırmasına göre.
Açık kaynak projelerinin güvenlik açıklarını gidermesi daha uzun sürer. Kaynak: Sonatip
Yazılım bütünlüğü araçları sağlayıcısı Black Duck Software’in kıdemli ürün müdürü Jimmy Rabon, birçok geliştiricinin yapay zeka kodlama araçlarının yarattığı değişimin hızından şaşkına döndüğünü ve muhtemelen daha fazlasının da geleceğini söylüyor.
“Geniş veya orta düzey bir geliştirici düzeyinde ve büyük ölçekte kod yazabilecek bir şey eklemenin uzun vadeli etkilerini görmedik” diyor. “Beklentim şu ki, daha fazla orta düzey hata (bir başlangıç veya orta düzey geliştirici olarak yapacağınız temel hatalar) ve [issues with] Bazı verilerin aktığı yerin bağlamını anlamak.”
2024: Geliştiricinin Yapay Zeka Asistanının Yılı
Yapay zeka asistanları artık geliştiricilerin çoğunluğu tarafından kullanılıyor olsa da, iş ortamlarında yapay zeka araçlarının benimsenmesi çok daha yüksek; geliştiricilerin %90’ından fazlası yapay zeka asistanlarını kullandı. Black Duck’ın 2024 Küresel DevSecOps Durumu araştırması. Rabon, geliştiricilere yönelik bir araç olarak yapay zekanın köklü olduğunu ve “hiçbir zaman kaybolmayacağını” söylüyor.
Ancak çoğu geliştirici, yapay zeka asistanı tarafından sağlanan kodun güvenli olup olmadığına karar verecek deneyime sahip değil. Stackoverflow’un yıllık geliştirici anketine göre, örneğin giriş seviyesi geliştiriciler, yapay zeka tarafından üretilen kodlara profesyonel meslektaşlarından daha fazla güveniyor; %49’u yapay zeka tarafından oluşturulan kodun doğruluğuna güvenirken, daha deneyimli geliştiriciler için bu oran %42’dir.
Uzmanlar ayrıca yapay zeka araçlarının geliştiricilerin eğitimini etkileyeceğini ve giriş seviyesi geliştiricilerin kariyerlerinde ilerlemek için gereken becerileri kazanmalarını zorlaştırabileceğini söylüyor. Sonatype’den Fox, basit programlama projelerini tamamlamak için yapay zekaya güvenmenin, genellikle daha basit kodlama görevleriyle uğraşan yeni veya giriş seviyesi geliştiricilere olan ihtiyacı azaltabileceğini ve eğitim yolunu ortadan kaldırabileceğini söylüyor.
“Kalkınma topluluğu yaşlanıyor ve yapay zekanın tanıtılması genç nesiller için potansiyel riskler oluşturuyor” diyor. “Yapay zeka, daha önce yeni yetişen geliştiricilere verilen görevleri yerine getirebilirse, sektörden çıkan eski geliştiricilerin yerini almak için gereken deneyimi nasıl kazanacaklar?”
Otomatik Güvenli Kod Oluşturma
Yapay zeka asistanlarının arkasındaki şirketler, güvenli kod önerileri içeren eğitim veri kümeleri oluşturana veya savunmasız ve kötü niyetli kod üretimine karşı koruma sağlayan korkuluklar yerleştirene kadar, şirketlerin herhangi bir kodlama asistanının çalışmasını kontrol etmek için otomatik yazılım güvenliği araçlarını dağıtması gerekecek.
Black Duck’tan Rabon, iyi haber şu ki, ek güvenlik kontrolleri ve kod oluşturma asistanlarının hızlı gelişimi sayesinde yazılım ve uygulamaların güvenliği eninde sonunda çok daha güçlü hale gelebilir, diyor.
“Ortadan kalkacağını düşündüğüm bazı temel güvenlik kusurları var” diyor. “Bir yapay zeka sisteminden kod üretmesini isteseydiniz neden kod üretsin ki? [suggest an insecure function?] … dramatik etkilerini gerçekten görmek için yeterli zamanımız olduğunu sanmıyorum. [such capabilities] ya da kanıtla.”