توسعهدهندگان برای تولید کد سریعتر از همیشه - با تقاضای ثابت برای عملکرد بیشتر و تجربه کاربری یکپارچه - تحت کنترل هستند که منجر به از بین رفتن اولویت عمومی امنیت سایبری و آسیبپذیریهای اجتنابناپذیری میشود که به نرمافزار راه پیدا میکنند. این آسیبپذیریها شامل افزایش امتیاز، اعتبارنامه درب پشتی، قرار گرفتن در معرض احتمالی تزریق و دادههای رمزگذاری نشده است.
این نقطه درد برای دهه ها وجود داشته است، با این حال، هوش مصنوعی (AI) آماده است تا در اینجا پشتیبانی قابل توجهی را ارائه دهد. تعداد فزایندهای از تیمهای توسعهدهنده از ابزارهای اصلاح هوش مصنوعی برای ارائه پیشنهادهایی برای رفع سریع آسیبپذیری در طول چرخه عمر توسعه نرمافزار (SDLC) استفاده میکنند.
چنین ابزارهایی میتوانند به قابلیتهای دفاعی توسعهدهندگان کمک کنند و مسیری آسانتر را برای یک ذهنیت «اول امنیت» فراهم کنند. اما - مانند هر نوآوری جدید و بالقوه تأثیرگذار - آنها همچنین مسائل بالقوه ای را مطرح می کنند که تیم ها و سازمان ها باید تحلیل کنند. در اینجا سه مورد از آنها، با دیدگاه های اولیه من در پاسخ آمده است:
بنیانگذار و مدیر عامل، Secure Code Warrior.
خیر. اگر این ابزارها به طور مؤثر مستقر شوند، به توسعه دهندگان این امکان را می دهند که آگاهی بیشتری از وجود آسیب پذیری ها در محصولات خود به دست آورند و سپس فرصتی برای حذف آنها ایجاد کنند. با این حال، در حالی که هوش مصنوعی میتواند برخی از مسائل و ناسازگاریها را شناسایی کند، بینشهای انسانی هنوز برای درک اینکه چگونه توصیههای هوش مصنوعی با زمینه بزرگتر پروژه بهعنوان یک کل همسو میشوند، مورد نیاز است. عناصری مانند نقصهای طراحی و منطق کسبوکار، بینش در مورد الزامات انطباق برای دادهها و سیستمهای خاص، و شیوههای مدلسازی تهدید به رهبری توسعهدهنده، همگی حوزههایی هستند که ابزار هوش مصنوعی در آنها برای ارائه ارزش تلاش میکند.
علاوه بر این، تیم ها نمی توانند کورکورانه به خروجی دستیاران کدنویسی و اصلاح هوش مصنوعی اعتماد کنند. "توهمات" یا پاسخ های نادرست، بسیار رایج هستند و معمولاً با درجه بالایی از اطمینان ارائه می شوند. انسانها باید تمام پاسخها را بهویژه پاسخهایی که مربوط به امنیت هستند تحلیل کنند تا از معتبر بودن توصیهها اطمینان حاصل کنند و کد را برای یکپارچهسازی ایمن تنظیم کنند. همانطور که این فضای فناوری به بلوغ می رسد و استفاده گسترده تر می شود، تهدیدات غیرقابل اجتناب ناشی از هوش مصنوعی به یک خطر مهم برای برنامه ریزی و کاهش تبدیل می شوند.
در نهایت، ما همیشه به "دیدگاه مردم" برای پیش بینی و محافظت از کد در برابر تکنیک های حمله پیچیده امروزی نیاز خواهیم داشت. دستیاران کدنویسی هوش مصنوعی میتوانند در رفع سریع کمک کنند و به عنوان شرکای برنامهنویسی جفت قدرتمند خدمت کنند، اما انسانها باید مسئولیتهای «تصویر بزرگتر» تعیین و اجرای بهترین شیوههای امنیتی را بر عهده بگیرند. برای این منظور، توسعه دهندگان همچنین باید آموزش های کافی و مکرر را دریافت کنند تا اطمینان حاصل شود که برای سهیم شدن مسئولیت امنیت مجهز هستند.
آموزش باید تکامل یابد تا توسعه دهندگان را تشویق کند تا مسیرهای متعددی را برای آموزش خود در زمینه اصلاح هوش مصنوعی و سایر ابزارهای هوش مصنوعی تقویتکننده امنیت، و همچنین درسهای جامع و عملی در بهترین شیوههای کدنویسی ایمن دنبال کنند.
مطمئناً برای توسعه دهندگان مفید است که یاد بگیرند چگونه از ابزارهایی استفاده کنند که کارایی و بهره وری را افزایش می دهند، اما بسیار مهم است که آنها بدانند چگونه آنها را به طور مسئولانه در پشته فناوری خود مستقر کنند. سوالی که همیشه باید بپرسیم این است که چگونه میتوانیم اطمینان حاصل کنیم که ابزارهای اصلاح هوش مصنوعی برای کمک به توسعهدهندگان در مقابل استفاده از آنها برای جبران کمبود آموزشهای امنیتی پایه، به کار گرفته میشوند؟
آموزش توسعهدهندگان نیز باید با اجرای اندازهگیریهای استاندارد برای پیشرفت توسعهدهنده، با معیارهایی برای مقایسه در طول زمان، به خوبی در شناسایی و حذف آسیبپذیریها، تشخیص پیکربندیهای نادرست و کاهش ضعفهای سطح کد تکامل یابد. اگر به درستی مورد استفاده قرار گیرد، ابزارهای اصلاح هوش مصنوعی به توسعه دهندگان کمک می کند تا به طور فزاینده ای از امنیت آگاه شوند و در عین حال خطر کلی را در سراسر سازمان کاهش دهند. علاوه بر این، تسلط بر اصلاح هوش مصنوعی مسئول به عنوان یک دارایی تجاری ارزشمند تلقی میشود و توسعهدهندگان را قادر میسازد تا با پروژهها و مسئولیتهای تیمی به ارتفاعات جدیدی پیش بروند.
چشم انداز توسعه نرم افزار همیشه در حال تغییر است، اما منصفانه است که بگوییم که معرفی ابزار کمکی هوش مصنوعی در SDLC استاندارد نشان دهنده تغییری سریع به اساساً یک روش جدید کار برای بسیاری از مهندسان نرم افزار است. با این حال، همان موضوع معرفی الگوهای کدگذاری ضعیفی را که به طور بالقوه می توانند سریعتر و با حجم بیشتری نسبت به هر زمان دیگری در تاریخ مورد سوء استفاده قرار گیرند، تداوم می بخشد.
در محیطی که در یک حالت شار ثابت عمل می کند، تمرین باید سرعت خود را حفظ کند و تا حد امکان تازه و پویا باقی بماند. در یک سناریوی ایدهآل، توسعهدهندگان آموزشهای امنیتی دریافت میکنند که مشکلاتی را که در روز کاری با آنها مواجه میشوند تقلید میکند، در قالبهایی که به نظرشان جذابتر است. علاوه بر این، آموزشهای امنیتی مدرن باید بر اصول طراحی ایمن تأکید داشته باشد و نیاز عمیق به استفاده از تفکر انتقادی را برای هر خروجی هوش مصنوعی در نظر بگیرد. این در حال حاضر حوزه توسعهدهندگان بسیار ماهر و آگاه از امنیت است که پایگاه کد خود را بهتر از هر کس دیگری میدانند.
همه چیز به نوآوری برمی گردد. تیمها با راهحلهایی که دید مشکلات و قابلیتهای حلوفصل را در طول SDLC گسترش میدهند، پیشرفت میکنند، اما روند توسعه نرمافزار را کند نمیکنند.
هوش مصنوعی نمیتواند برای «ایجاد امنیت برای توسعهدهندگان» وارد عمل شود، همانطور که به طور کامل جایگزین آنها در فرآیند کدنویسی نمیشود. مهم نیست که چقدر پیشرفتهای بیشتر در هوش مصنوعی ظاهر میشوند، این ابزارها هرگز پاسخهای صددرصدی و بدون خطا در مورد آسیبپذیریها و رفع مشکلات ارائه نمیدهند. با این حال، آنها میتوانند نقشهای مهمی را در تصویر بزرگتر یک فرهنگ کلی «اول امنیت» ایفا کنند - فرهنگی که به همان اندازه به فناوری و دیدگاههای انسانی بستگی دارد. هنگامی که تیمها برای رسیدن به این وضعیت، آموزشهای لازم و دانشسازی در حین کار را پشت سر بگذارند، در واقع متوجه خواهند شد که محصولاتی را سریع، مؤثر و ایمن ایجاد میکنند.
همچنین باید بيان کرد که مانند منابع آنلاین مانند Stack Overflow یا Reddit، اگر زبان برنامه نویسی کمتر محبوب یا رایج باشد، این امر در در دسترس بودن داده ها و منابع منعکس می شود. بعید است که برای یافتن پاسخ سوالات امنیتی در جاوا یا C مشکلی نداشته باشید، اما ممکن است هنگام تلاش برای حل اشکالات پیچیده در COBOL یا حتی Golang، داده ها کم یا به طور آشکار وجود نداشته باشند. LLM ها بر روی داده های در دسترس عموم آموزش می بینند، و آنها فقط به خوبی مجموعه داده ها هستند.
این یک منطقه کلیدی است که در آن توسعه دهندگان آگاه از امنیت خلأ را پر می کنند. تجربه عملی خودشان با زبانهای مبهمتر - همراه با نتایج یادگیری رسمی و مستمر امنیتی - باید به پر کردن شکاف دانش متمایز و کاهش خطر اجرای خروجی هوش مصنوعی به تنهایی کمک کند.
ما بهترین پلت فرم آموزش آنلاین را معرفی کرده ایم .
این مقاله به عنوان بخشی از کانال Expert Insights TechRadarPro تهیه شده است که در آن بهترین و باهوش ترین ذهن ها در صنعت فناوری امروز را معرفی می کنیم. نظرات بیان شده در اینجا نظرات نویسنده است و لزوماً نظرات TechRadarPro یا Future plc نیست. اگر علاقه مند به مشارکت هستید، اطلاعات بیشتری را در اینجا بیابید: https://www.techradar.com/news/submit-your-story-to-techradar-pro
ارسال نظر