Gereken kod hacmi her zamankinden daha fazlayken, söz konusu kodu üretmek için gereken döngüler azalıyor. Bunun sonuçlarından biri de güvenliğin ikinci planda kalmasıdır; hem güvenli kod uygulamaları konusunda eğitim eksikliği hem de güvenlik açıklarını düzeltmek için döngülere sahip olunması nedeniyle. 1.000’den fazla ABD BT profesyonelinin katıldığı bir Geliştirici Anketi’nde, geliştiricilerin üçte birinden fazlası zamanlarının yüzde 33’üne kadarını kod yazmak yerine hataları ve güvenlik açıklarını düzeltmek için harcadığını bildirdi. Bu durum, büyük miktarda yanlış pozitif üreten gürültülü güvenlik açığı tespit araçlarıyla daha da karmaşık hale geliyor ve önceliklendirmeyi daha da zorlaştırıyor.
Qwiet AI, kodu güvence altına alma hızını iyileştiriyor ve oraya ulaşma sürecini basitleştiriyor. Qwiet AI’nın güvenlik açıklarını bulmadaki sınıfının en iyisi doğruluğu, geliştirme ekiplerinin düzeltme yükünü azaltır ve ardından düzeltme sürecini saatlerden dakikalara indirmek için AI tarafından oluşturulan Otomatik Düzeltmeler sağlayarak bir adım daha ileri gider.
“Qwiet AI, geliştirme ekibimiz için iş akışlarını değiştirmeden güvenlik geri bildirim döngüleri oluşturmak için ihtiyaç duyduğumuz hızı ve doğruluğu sağlıyor. Sadece MTTR’de aydan aya düşüş görmüyoruz, aynı zamanda güvenlik açıklarının bulunduğu aynı sprintte düzeltilmesi artık yaygın ve en önemlisi, mühendislerimiz bu süreci gerçekten seviyor.” Lider küresel havayolu şirketinde CISO
Qwiet AI, AppSec sektöründe koddaki güvenlik açıklarının AI destekli tespitini, eski rakiplere kıyasla daha yüksek doğrulukla ve çok daha kısa sürede sağlayan ilk şirkettir. Yanlış pozitifler ve uyarı yorgunluğu, AppSec test araçlarının temel bir bölümünden kaynaklanır: tarama metodolojisi. Bunun anlamı, eski araçların genellikle uygulamanın geri kalanını dikkate almadan, silo bloklarındaki kodu inceleyen “yerelleştirilmiş” bir tarama yöntemi kullanmasıdır. Verilerin uygulama boyunca nasıl aktığı incelenmeden bırakılır ve bu da düşük doğrulukta sonuçlara yol açar.
Qwiet AI’nın eğrinin önünde kalmasının yolu şöyledir. Qwiet AI’nın preZero platformu, altı yıldan uzun süredir veri üzerinde eğitilmiş ve 78 milyardan fazla satır kodla sonuçlanmış Büyük Dil Modeli’nden (LLM) yararlanır. preZero platformu bir tarama gerçekleştirdiğinde, uygulamanın bir Kod Özellik Grafiğini (CPG) oluşturur. Bu, uygulamanın tamamını ve verilerin kodda nasıl aktığını tarayan bütünsel bir yaklaşımdır. CPG, kodun birden fazla grafiksel gösterimini alıp bunları katmanlı bir grafik perspektifinde birleştiren görsel bir kavramdır. Bu yöntemle, taramalar saatler yerine dakikalar alır, daha az yanlış pozitif bulur, olası bir güvenlik açığının erişimini görür ve tehdidin kendisine nasıl yaklaşılacağı ve kötüye kullanılacağı konusunda gerçek dünya perspektifleri sağlar.
“CPG analizi yüksek kalite ve değerdedir. Açık kaynaklı araçlar, makul miktarda çaba olmadan bunu sağlayamaz ve test ettiğimiz rakipler performansla eşleşmiyor.” Önde gelen küresel finansal hizmetler firmasında AppSec lideri
Qwiet AI’nın güvensiz kodu geçmişte kalmış bir sorun haline getirme ivmesini ve misyonunu güçlendiren şirket, yakın zamanda güvenlik açıkları belirlendiğinde kod önerilerini otomatik olarak üretmek için üretken AI’dan yararlanan güçlü bir araç olan AI AutoFix’i yayınladı. Bu, geliştiricilerin potansiyel düzeltmeleri araştırmak için harcadıkları iş ve zamanı önemli ölçüde azaltır ve ekiplerin güvenli kod üretmeye devam edebilecekleri bir akış durumunda kalmasını sağlar.
Qwiet AI CEO’su Stuart McClure, “Neredeyse tüm siber saldırıların kökenini güvenli olmayan kodlara kadar takip edebiliyoruz,” dedi. “Geliştiriciler daha sıkı teslim tarihleriyle baskı altında, sayısız saatini güvenlik açığı düzeltmeleri peşinde koşarak ve tükenmişlik yaşayarak geçiriyor. AI destekli AppSec çözümlerinin gelişiyle, güvenlik açıklarını bulduğumuzda ortadan kaldırmak için gerçek bir cevabımız var.”
Qwiet AI CISO’su Chris Hatter, “Geliştiricilerin hızlı hareket etmek istediği, ancak siber ekibin her zaman yeniden risk almak istediği bir dünyada, bu iki unsuru bir araya getirmek çok ihtiyaç duyulan bir birleştirme noktasını temsil ediyor” dedi.
10.000 saat serbest bırakabilseydiniz ne yapardınız? Müşterinin eski rakibiyle toplam 4,9 milyon satır kod içeren 10 uygulamayı karşılaştıran Qwiet AI, eski rakibin 2.928’ine kıyasla 522 güvenlik açığı buldu. İnceleme sonucunda, Qwiet AI 28 yanlış pozitif döndürürken rakip 2.339 yanlış pozitif döndürdü – bu, eski rakip için %79,9’luk ve Qwiet AI için %8’lik bir yanlış pozitif oranıdır. Eski rakibin bulgularını ele almak için her bir güvenlik açığını araştırmak ve düzeltmek yaklaşık 4 saat sürecek ve yaklaşık 11.712 saat sürecekti. Qwiet’in bulgularının düzeltilmesi yaklaşık 2.088 saat sürecek ve müşteriye 9.624 saat kazandıracaktı. Siber tehdit ortamının gelişmeye devam etmesiyle, yapay zeka destekli çözümlerin her geliştiricinin araç setinin temel bir parçası olacağı açıktır. Kendi gözlerinizle görmek için preZero platformunu inceleyin veya bir demo talep edin.
Twitter’da @QwietAI #AppSec #DevSecOps #Geliştiriciler #QwietAI
Yazar Hakkında
Pete Green, vCISO, Siber Güvenlik Danışmanı ve CDM Muhabiri. Pete Green, Bilgi Teknolojileri ile ilgili alanlarda 20 yılı aşkın deneyime sahiptir ve Bilgi Güvenliği konusunda başarılı bir uygulayıcıdır. LAN / WLAN Mühendisi, Tehdit Analisti / Mühendisi, Güvenlik Proje Yöneticisi, Güvenlik Mimarı, Bulut Güvenlik Mimarı, Baş Güvenlik Danışmanı, BT Yöneticisi / Direktörü, CTO, CEO ve Sanal CISO gibi çeşitli güvenlik operasyonları pozisyonlarında bulunmuştur. Pete, federal, eyalet ve yerel hükümet, finansal hizmetler, sağlık hizmetleri, yiyecek hizmetleri, üretim, teknoloji, ulaşım ve misafirperverlik dahil olmak üzere çok çeşitli sektörlerdeki müşterilerle çalışmıştır. Pete, Boston Üniversitesi’nden Bilgi Güvenliği alanında Bilgisayar Bilgi Sistemleri Yüksek Lisansı, NSA / DHS Ulusal Bilgi Güvencesi / Siber Savunma Akademik Mükemmellik Merkezi (CAE IA / CD) ve Bilişim alanında İşletme Yüksek Lisansı derecesine sahiptir. Pete’e çevrimiçi olarak ( adresinden ulaşılabilir[email protected]@petegreen, https://linkedin.com/in/petegreen ) ve dergimizin web sitesinde https://www.cyberdefensemagazine.com