Ни для кого не секрет, что технологии AI/ML и модели большой языка (LLM) изменяют ландшафт разработки программного обеспечения. Поскольку использование крупных языковых моделей становится более распространенным, задача включения ИИ и ML в программные продукты все чаще падает на разработчиков. Эта инновационная тенденция также вводит значительные риски безопасности, особенно когда разработчикам не хватает ресурсов для обеспечения безопасной практики развития.
Наблюдения за безопасностью могут привести к ошибкам, никто не предназначался, например, вставка вредоносного кода в модели AI/ML. Независимо от того, насколько мала, уязвимость может позволить киберпреступникам распространять скомпрометированные модели программного обеспечения с открытым исходным кодом (OSS), которые затем можно использовать для нарушения корпоративных сетей и нанесения больших доходов и повреждения репутации.
Разработчики также все чаще используют генеративный ИИ для создания кода, который создает риски, поскольку разработчики, работающие в PACE, могут не иметь возможности тщательно проверять безопасность сгенерированного кода. Чтобы справиться с этими угрозами, код должен с самого начала проходить строгие проверки безопасности от двоичного уровня, чтобы предотвратить потенциальные нарушения в цепочке поставок программного обеспечения.
Проблемы, связанные с этими уязвимостями безопасности, продолжаются и, как ожидается, будут расти, поскольку киберпреступники находят новые способы использования технологий AI/ML. Таким образом, разработчики должны интегрировать меры безопасности в свои рабочие процессы с самого начала и принять упреждающую позицию для защиты цепочки поставок программного обеспечения своей организации.
Сотрудники также должны взять на себя ответственность в дополнение к обязанностям команды разработчиков. Содействие постоянному образованию и осознанию лучших практик безопасности среди разработчиков жизненно важно, и передача их более широким командам будет лучше защищать компанию. Если все понимают последние протоколы безопасности, все принесут пользу по мере развития технологий AI и ML.
Размытие линий между DevOps и DevSecops
Учитывая безопасность в начале жизненного цикла разработки программного обеспечения, традиционно не была стандартной практикой среди разработчиков. Конечно, этот контроль является золотой жилой для киберпреступников, которые используют модели ML для введения вредного вредоносного ПО в программное обеспечение. Отсутствие обучения безопасности для разработчиков усугубляет проблему, особенно когда Code, сгенерированный AI, обученный потенциально небезопасным данным с открытым исходным кодом, не будет адекватно проверен на уязвимости.
К сожалению, после того, как модели AI/ML интегрируют такой код, потенциал для незамеченных эксплойтов только увеличивается. Следовательно, разработчики также должны функционировать в качестве чемпионов безопасности, а DevOps и безопасность больше не могут рассматриваться как отдельные функции.
Инвестиции в регулярное обучение безопасности и предоставление ресурсов, чтобы помочь разработчикам предвидеть угрозы, имеют решающее значение. Улучшение сотрудничества между группами разработки и безопасности обеспечит беспрепятственную интеграцию мер безопасности, создавая надежную защиту от угроз. Внедрение безопасности на каждом этапе разработки необходимо при развертывании безопасных решений AI/ML.
Расстановка приоритетов ранних мер безопасности: подход «сдвиг слева»
Поскольку ИИ продолжает реализовать в масштабе разными командами, потребность в расширенной безопасности в моделях ML является ключевой. Введите подход «Сдвиг слева», который выступает за интеграцию мер безопасности в начале жизненного цикла программного обеспечения, чтобы продвинуться вперед и предотвратить как можно больше будущих уязвимостей и обеспечить комплексную безопасность на протяжении всего процесса разработки. Эта стратегия имеет решающее значение в разработке AI/ML, прежде чем они даже развернуты, чтобы обеспечить безопасность и соблюдение кода и моделей, которые часто происходят из внешних источников, а иногда нельзя доверять.
По мере того, как ИИ и ML становятся неотъемлемой частью разработки программного обеспечения, надежные политики безопасности, практика и образование становятся обязательными. Разработчики должны объединить свой опыт кодирования с сильным пониманием безопасности для решения критических уязвимостей в начале процесса разработки. Обеспечивая ранние и непрерывные меры безопасности на протяжении всего жизненного цикла программного обеспечения, подход «смену левого» гарантирует, что компании могут поддерживать доверие с клиентами и сотрудниками, смягчить риски и защищать от сложных кибергромов.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Eyal Dyment служит вице-президентом по обеспечению безопасности в JFROG и руководит стратегией проектирования, разработки и выхода на рынок для решения для обеспечения безопасности приложений-платформы JFROG Software Supplion Platform. До прихода в JFROG Eyal подал в нескольких … Подробнее от Eyal Dyment
