Современная разработка программного обеспечения развивалась быстро, а инструменты безопасности на основе статического анализа-нет. Сегодняшние инженерные команды создают облачные нативные приложения, используя микросервисы, контейнеры, без серверных функций и динамическую инфраструктуру, которая меняется на минутку. Между тем, генеративный ИИ ускоряет то, как и когда мы пишем код. Разработчики теперь используют LLMS, чтобы использовать API, генерировать файлы конфигурации и даже обрабатывать бизнес -логику. Результат? Код отправляется быстрее, чем когда -либо, но сложность — и риск — складывается.
И все же, большинство статических инструментов анализа застряли в прошлом. Они были разработаны, чтобы сделать снимки для монолитов, одноязычных стеков и линейных конвейеров сборки, с кодом, который был написан вручную. В 2025 году это просто не так, как работает программное обеспечение.
Чтобы идти в ногу, инструменты безопасности должны развиваться в тандеме с разработкой программного обеспечения. Они должны работать во время выполнения, использовать машинное обучение, чтобы обнаружить аномальное поведение и адаптироваться к постоянно меняющимся средам. Статический анализ только не может увидеть достаточно или двигаться достаточно быстро.
Микросервисы нарушают традиционные сканеры
В облачных местных средах ваша «кодовая база» не является одним из репо — это много. Вы написали услуги в Go, Python, Node и, возможно, немного ржавчины для критически важных путей. Они развернуты через Kubernetes, общаются из -за очередей GRPC или сообщений и управляются через рабочие процессы Gitops. Статические инструменты обычно анализируют одну кодовую базу за раз. Они не понимают распределенных систем. Если уязвимость живет на пересечении двух служб — скажем, небезопасной аудиторией между API и работником — сканер, вероятно, не поймет его. Они не могут следовать звонкам по репо, языкам или сервисным сеткам. Это главная слепая пятно.
Инструменты безопасности среды, улучшенные машинным обучением, CAN. Наблюдая за живым взаимодействием между услугами, они обнаруживают подозрительное поведение, неправильные конфигурации или эскалации привилегий в режиме реального времени, даже если эти уязвимости невидимы в коде. Машинное обучение может изучать нормальные взаимодействия с обслуживанием к услугам и аномалии флага, которые пропускают традиционные инструменты.
ИИ пишет код быстрее, чем мы можем проверить его
Давайте будем честными: кодирование A-ASISTIND здесь, чтобы остаться. По словам Y Combinator, четверть его стартапов отчета с использованием AI для получения 95% или более их кода. Будь то github Copilot или пользовательский рабочий процесс LLM, разработчики используют генеративные инструменты для движения быстрее. Это означает больше кода, больше зависимостей и большую площадь поверхности — большая часть его написана без тщательного обзора. Даже когда выход LLM «выглядит хорошо» на поверхности, он может отсутствовать важный контекст: безопасные по умолчанию, пределы скорости, правильная обработка ошибок или ограничения соответствия. Фактически, кодирование, управляемое AI, может ввести новые проблемы соблюдения или уязвимости, такие как чрезмерно допустимый доступ к API или хранилище.
Унаследованные инструменты безопасности на основе сканирования могут обнаружить те же чрезвычайно разрешительные часы кода, управляемого AI-или даже дни-после развертывания, оставив вашу организацию выставленной, и это просто не риск, который может быть принят.
Вот где безопасность времени выполнения становится важной. Он подтверждает поведение в дикой природе, наблюдая, как ведут себя компоненты. Машинное обучение позволяет этим системам обнаруживать необычные модели доступа, неправильные привилегии и другие признаки риску, сгенерированного AI.
Шум все еще утопляет сигнал
Если вы работали со статическими сканерами, вы видели это: страницы оповещений, большинство из которых не имеют значения. Строка, которая может быть секретной (но нет); неиспользованная переменная, помеченная как потенциальная ошибка; теоретический вектор инъекции за твердым кодированным значением. У Cloud Contive Commands нет времени просеивать весь этот шум, особенно при развертывании 10+ раз в день. Ложные позитивы разрушают доверие. Они становятся еще хуже благодаря развитию ИИ, что увеличивает скорость. Если ваш инструмент плачет волка достаточно часто, инженеры перестанут слушать. На этом этапе инструмент не помогает безопасности; это причиняет вред.
Инструменты, основанные на выполнении, меняют игру. Вместо того, чтобы полагаться на статические догадки, они основывают оповещения о том, что происходит в производстве. Это сервис, доступа к базе данных, к которой он никогда не обращался ранее? Является ли лямбда, делая неожиданные исходящие запросы? С помощью машинного обучения инструменты безопасности могут постоянно улучшать — изучать то, что нормально, уменьшая ложные срабатывания и помечая реальные проблемы, прежде чем они обострятся.
Злоумышленники знают, как работают статические инструменты — и как их уклониться
Современные нападавшие не пишут простые эксплойты в код. Они используют динамические полезные нагрузки, запутывание и логику времени выполнения, которые статические инструменты не видят. Если ваш сканер рассматривает только код в состоянии покоя, он пропустит вредоносное ПО, которое вводится через переменные среды выполнения или собирается на лету. Это не теоретическое — это происходит сегодня, особенно в атаках цепочки поставок. Статический анализ должен работать в сочетании с мониторингом времени выполнения и поведенческими инструментами. В противном случае это просто проверяет замки в открытом окне.
Статические инструменты никогда не увидят полезные нагрузки. Но инструменты безопасности времени выполнения, особенно те, которые работают на машинном обучении. Анализируя живые модели выполнения, модели машинного обучения могут обнаружить подозрительное поведение: боковое движение, неправильное использование учетных данных или эксфильтрация данных. Защита времени выполнения не просто находит проблемы — она останавливает активные угрозы в процессе.
В мире, где атаки цепочки поставок становятся все более распространенными, эта защита в реальном времени больше не является обязательной. Это важно.
CI/CD не может ждать
Команды Cloud Native живут в трубопроводах CI/CD. Код создается, протестируется и развертывается автоматически, иногда несколько раз в час. Инструменты безопасности, который не может быть в курсе, будет игнорироваться или удалить. Длительное время сканирования? Чрезмерные ложные тревоги? Отсутствие контейнера или поддержки МАК? Это сделка. Чтобы работать в рабочих процессах DevSecops, статические инструменты должны быть быстрыми, точными и созданными для автоматизации. Они должны сканировать контейнеры, манифесты Kubernetes, файлы Terraform и Helm, а не только код приложения. И они должны сделать это, не блокируя команду.
Инструменты времени выполнения предназначены для работы после развертывания, непрерывно работающего вместе с вашими приложениями. Им не нужно блокировать сборки — они защищают то, что живет. Еще лучше, в сочетании с машинным обучением инструменты времени выполнения становятся умнее с каждым развертыванием. Они распознают нормальное поведение в разных выпусках, уменьшают шум и адаптируются по мере развития вашего стека. Это безопасность, построенная для скорости.
Статический не мертв, но этого недостаточно
Безопасность не может быть прикреплена — она должна течь со стеком. Если ваш инструмент не создан для облачного нативного и AI-кода, он уже устарел. Статический анализ по -прежнему играет определенную роль, особенно в чувствительных рабочих нагрузках. Но само по себе он далеко не достаточно для современной, облачной нативной разработки: он не видит в разных услугах, он борется с высокоскоростным кодом, созданного AI, он утопит команды в шуме и замедляет трубопроводы.
Вместо того, чтобы полагаться исключительно на статический анализ, нам нужны инструменты безопасности, созданные для времени выполнения, которые контролируют живые среды и используют машинное обучение для адаптации, в то же время предлагая преимущества статического сканирования. Этот переход к динамическому, интеллектуальному мониторингу времени выполнения поможет управлять сложностью, уменьшить не относящиеся к делу оповещения и более низкие риски безопасности, при этом не препятствуя рабочим процессам DevSecops, расширяя защиту во всем жизненном цикле разработки программного обеспечения.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Крис Лентриккия — универсальный специалист по маркетингу продуктов B2B SaaS с почти десятилетним опытом в технологиях открытого и закрытого исходного коэффициента, от Linux до Kubernetes. Он увлечен тем, чтобы сделать сложные технологии легкими для понимания, специализируясь на содержании, обмене сообщениями и … Подробнее от Криса Ленккии
