Günümüzün dijital işyerlerinde, daha fazla çalışan, kod satırlarını manuel olarak yazmak yerine düşük Kod Yok Kodu (LCNC), Yapay Zeka (AI) ve Büyük Dil Modeli (LLM) araçlarını kullanarak kod oluşturarak kendi uygulamalarını oluşturuyor.
Bu çalışanlara vibe kodlayıcıları denir. Vibe kodlayıcıları, benzersiz gereksinimlerine göre kod oluşturmak için doğal dil istemlerini kullanarak LCNC ve AI araçlarını ister.
İki bölümlü blog dizimizin ilk kısmı “Düşük/kodsuz ve vibe kodlama platformlarının gizli tehlikeleri”, LCNC ve vibe kodlamasının güvenlik zorluklarına odaklanacak. LCNC ve Vibe kodlu uygulamaların iş kullanımı için güvenli olmasını sağlamak için adımları paylaşıyoruz.
Vibe kodlayıcıları, resmi programlama becerileri olmayan vatandaş geliştiricileri olabilir ve sağlık, eğitim ve finans gibi birçok farklı alandan gelebilir. Kendi işlerinde uzman olmalarına rağmen, her zaman güvenlik en iyi uygulamaları konusunda eğitilmezler.
LCNC geliştirme ve vibe kodlaması, çalışanların BT departmanlarına veya yazılım geliştirme ekiplerine güvenmeden günlük sorunları üstesinden gelmek için teknolojiyi kullanmalarını sağlar.
Vibe kodlayıcılarının rolü
Vibe kodlayıcıları işletmelere yeni fikirler ve hız getirir. Bununla birlikte, birçoğunun resmi BT veya siber güvenlik eğitimi olmadığı için, çalışmaları düzgün yönetilmezse işletmeleri riske atabilir.
Bu insanlar, BT desteğine ihtiyaç duymadan işyeri sorunlarını çözmek için uygulamalar oluştururlar. Görevleri otomatikleştirmek ve bilgileri takip etmek için LCNC ve LLM platformlarını kullanırlar. Bu aynı zamanda günlük olarak onlarla çalıştıkları için aşina oldukları iş akışlarını geliştirmelerine yardımcı olur.
Çalışmaları, şirketlerin daha hızlı hareket etmesine, maliyetleri düşürmesine ve uzun süredir beklemeden yenilik yapmasına yardımcı olur. Takımların genellikle ele alma kapasitesine sahip olmadığı boşluklarını kapatmaya yardımcı olurlar.
Temel Güvenlik Zorlukları
Vibe kodlayıcılarının kullanımı güvenli uygulamalar oluşturabilmesi için dikkate alınması gereken güvenlik zorlukları vardır.
Doğrulama ve denetim eksikliği
Vibe kodlayıcıları tarafından oluşturulan uygulamalar genellikle temel adımları kaçırır. Saha doğrulama, hata işleme ve günlüğü göz ardı edebilirler. Bunlar olmadan, uygulamalar güvenilmez veya güvensiz olabilir. Örneğin, bir vibe kodlayıcı bir envanter uygulaması oluşturabilir. Bununla birlikte, uygun kontroller olmadan, bu envanter kayıtlarına yol açabilir ve uygulama yönetimini zorlaştırabilir ve bulut depolama alanını alabilir.
Uygunsuz uygulama paylaşımı riskleri
Bazen, vibe kodlayıcıları uygulamalarını diğer ekiplerle veya diğer diğer vibe kodlayıcılarla paylaşır. Ancak genellikle doğru kullanıcı izinlerini ayarlamayı unuturlar. Bu uygulamalar rol tabanlı erişimle güvence altına alınmazsa, hassas iş veya kişisel veriler ortaya çıkabilir.
Yetim uygulamalar
Bazen, bir vibe kodlayıcı şirketten ayrıldığında veya yeni bir role geçtiğinde, oluşturdukları uygulamalar unutulur. Bu “yetim” uygulamaları sorunlara neden olabilir. Bakılmıyorlar, ancak yine de sistemde koşuyorlar, bu da saldırganlar veya kazara veri sızıntıları için kolay hedefler haline getiriyorlar.
Kontrolsüz AI tarafından oluşturulan kod
Yapay zeka ile çalışan kod asistanları büyük veri setleri üzerinde eğitilir, ancak güvenli ve güvensiz bir desen arasındaki farkı her zaman bilmezler. Bu, SQL enjeksiyonları, güvensiz kimlik doğrulama mekanizmaları veya hassas verilerin sızması gibi sorunlar dahil olmak üzere güvenlik açıklarına yol açabilir.
Hızlı enjeksiyon saldırısı, önyargı ve halüsinasyonların AI araçlarını kullanırken riskler vardır.
AI kodlama araçları, var olmayan paketler veya kod parçacıkları önerebilir. Slopsquatting, bu AI araçlarının var olmayan paketler önerdiği yerdir. Saldırganlar bu paketleri kötü niyetli niyetle kaydederek kullanabilirler.
Fikri Mülkiyet Sorunları
LCNC Tools tarafından önerilen AI tarafından oluşturulan kod veya kod, hesap verebilirlik sorununu oluşturur, yani bir AI aracının oluşturduğu koddan kim sorumludur? Organizasyon, satıcı mı yoksa ekibi mi kullanıyor?
İnovasyon ve Güvenliği Dengelemek
Bu zorlukları çözmek için, işletmeler doğru korumaları uygulamaya koymalıdır. Hız ve yaratıcılık asla güvenlik pahasına gelmemelidir. Bunlar şunları içerir:
Eğitim ve güvenlik korkulukları
Şirketler, vibe kodlayıcıları için gelişmiş güvenlik eğitimi ve simülasyon eğitimine yatırım yapmalıdır. Eğitimin, güvensiz kod kalıpları nedeniyle potansiyel güvenlik açıklarına odaklanması gerekmektedir. Firmaların, çalışanların LCNC veya AI tarafından oluşturulan kodlarla uygulama oluşturmalarına izin verilmeden önce güvenlik eğitimini tamamlamalarını istemektedir. Clear Güvenlik Yönergeleri, vibe kodlayıcılarının daha iyi daha güvenli uygulamalar oluşturmasına yardımcı olur.
“Siber Güvenlik, Psikoloji ve Hacking insanlar” kitabında Tarnveer Singh, siber güvenlikte insan merkezli bir yaklaşımın önemini vurgulamaktadır. Bu yaklaşım siber güvenlik için gereklidir ve insan davranışı ve psikoloji dikkate alınarak, kullanıcı göz önünde bulundurularak sistem ve politikaların tasarlanmasını içerir.
Buna ek olarak, Tarnveer kitabında, insan merkezli yaklaşımın, organizasyon içinde siber güvenlik en iyi uygulamalarının teşvik edilmesini ve çalışanları şüpheli faaliyetleri bildirmeye teşvik etmeyi içeren bir siber güvenlik kültürü oluşturmayı içerdiğini belirtiyor.
Rol tabanlı erişim kontrollerinin uygulanması
En az ayrıcalık ilkesini uygulamak anahtardır. Bu, insanlara (ve inşa ettikleri uygulamalara) sadece ihtiyaç duydukları erişimi vermek ve başka bir şey vermek anlamına gelir. Uygulamaların yerleşik kontrolleri olmalıdır, böylece kullanıcılar verileri göremez veya değiştirmemeleri gereken verileri değiştirir.
Sürekli İzleme
Otomatik izleme araçları, vibe kodlu uygulamaların gerçek zamanlı olarak ne yaptığını izlemeye yardımcı olabilir. Bir uygulama aniden hassas sistemlere erişmeye veya büyük miktarda veri aktarmaya çalışırsa, güvenlik ekipleri uyarılabilir ve hızlı bir şekilde yanıt verilebilir. Bu izleme, aşırı manuel çalışma gerektirmeden problemleri erken yakalamaya yardımcı olur.
Daha hızlı, daha yenilikçi ve güvenli
Vibe kodlayıcıları kuruluşların daha hızlı hareket etmesine ve daha yenilikçi olmalarına yardımcı oluyor. Çalışmaları gerçek ihtiyaçları karşılıyor ve günlük süreçleri geliştiriyor. Ancak doğru güvenlik önlemleri olmadan, genellikle farkına varmadan yeni riskler de getirebilirler.
Akıllı bir yaklaşım özgürlüğü ve kontrolü dengeler. Eğitim, güvenlik önlemleri, devam eden AI ile çalışan izleme ve gözlemlenebilirlik ve dikkatli erişim yönetimini içerir.
İyi yönetişim, akıllı gözetim ve güvenli kalkınma uygulamaları, kuruluşların LCNC ve Vibe kod inovasyonunun tadını çıkarmasına yardımcı olur. Bunu uyum veya risk üzerindeki kontrolü kaybetmeden yapabilirler.
Aparna Achanta, özellikle federal ajanslarda, kritik siber güvenlik girişimlerini sürdüren kapsamlı deneyim ile IBM Consulting’de ödüllü bir güvenlik mimarı ve lideridir. Aparna, düşük kod, kodsuz uygulamalar ve üretken AI uygulamaları dahil olmak üzere federal ajanslarda gelişmekte olan teknolojilerin güvence altına alınmasında uzmanlaşmıştır.
Aparna, Forbes Teknoloji Konseyi’nin bir üyesi ve Tech’teki Kadınlar için Tutkulu Bir Avukat olan Aparna, WomenTech ağında kurucu bir üye ve konuşmacı ve Siber Güvenlik (Wicys) Austin’deki Kadınlarda Yönetim Kurulu Üyesidir. Aparna, Siber Güvenlik Topluluğuna katkıları için Topcyber News Magazine tarafından Siber Güvenlik’te 40 Yaş Altı Liste 40’a seçildi.
Aparna, George Mason Üniversitesi Hükümet Siber Güvenlik Risk Yönetimi ve Dayanıklılığında Mükemmellik Merkezi Danışma Kurulu’ndadır.
Tarnveer, güvenlik ve mimarlık alanlarında yirmi yıllık deneyime sahip ödüllü bir CISO’dur. Halen Exeter Insurance’da CISO ve Cyber Wisdom Ltd’de Güvenlik ve Uyum Direktörü.
Aşağıdakiler dahil olmak üzere birkaç seminal kitap yazdı:
- Yapay Zeka ve Etik: Paydaşlar için Bir Saha Rehberi
- Siber Güvenlik Psikolojisi: Hacking ve İnsan Zihni
- Dijital esneklik, siber güvenlik ve tedarik zincirleri
- Finans Dönüşümü: Dijital Dönüşüm ve Yıkıcı Yenilik Liderliği
- Siber güvenlik, psikoloji ve hackleyen insanlar
Tarnveer’ın kitapları, AI riskinden ve hacklenen insanlardan dijital esnekliğe kadar değişen konularda farkındalık yarattığı için tanınır ve siber güvenlik profesyonelleri için temel okuma olarak kabul edilir. Hem İngiliz Bilgisayar Derneği hem de Yeminli Bilgi Güvenliği Enstitüsü üyesidir.
‘Vibe kodlayıcıları’ ve güvenlik arasında doğru dengeyi bulan Post, BT Security Guru’da ilk kez ortaya çıktı.