Автор: Дар’я Старічнєва, Brand Manager
Оскільки технології продовжують розвиватися швидкими темпами, штучний інтелект (ШІ) став потужним інструментом для різних галузей. У розробці програмного забезпечення ШІ показав великі перспективи в автоматизації завдань, створенні коду та оптимізації процесів. Попри те, що інтеграція штучного інтелекту в процес розробки дає численні переваги, важливо усвідомлювати й потенційні ризики, пов’язані з його використанням.
Основні загрози для безпеки та способи їх уникнення
Проблеми з відповідністю
Код, згенерований штучним інтелектом часто викликає занепокоєння щодо відповідності стандартам, оскільки автоматизовані процеси не завжди враховують необхідність відповідати нормативним вимогам і галузевим стандартам. Часто такий код містить вразливості, що в майбутньому можуть спричинити невідповідність загально прийнятим стандартам типу ISO 27001, PCI DSS.
XSS і SQLi вразливості в згенерованому коді
GitHub Copilot або інші інструменти розробки основані на ШІ можуть витягнути код з будь-яких джерел, зокрема неавторизованих, і тому потребує більш ретельного аналізу, більшої кількості тестів та переглядів. Інструмент також може підтягувати старі, вразливі версії коду, проігнорувавши останні патчі та оновлення.
Ліцензування та відповідність авторським правам
Згенерований штучним інтелектом код може включати фрагменти з різних джерел, що потенційно може призвести до порушень умов ліцензування та авторських прав. Щоб забезпечити відповідність цим вимогам, рекомендується використовувати інструменти Аналізу складу програмного забезпечення (SCA). SCA можуть ідентифікувати фрагменти коду, перевіряти їх ліцензії та інформацію про авторські права, мінімізуючи ризик правових проблем, пов’язаних із кодом, створеним рішеннями на основі ШІ.
Зловмисники можуть підробляти відповіді на популярні запити
Чим більш розповсюджений запит – тим з меншою ймовірністю він буде безпечний. Зловмисники будуть намагатися розмістити шкідливий код у загальнодоступних сховищах, підробивши назви популярних бібліотек і компоненти, що може спричинити потенційну епідемію вразливості.
Зовні правильний код, що створює вразливості бізнес-логіки.
Зовні правильний код, що відповідає всім стандартам безпеки може стати вразливим після імплементації в збірку. OWASP вважає вразливості пов’язані з бізнес-логікою більш критичними з точки зору наслідків, оскільки вони глибоко пов’язані з процесами компанії. Перевірити подібні вразливості можна за допомогою просунутих інструментів DAST сканування в рішеннях від Invicti Security як частина (Invicti, Acunetix). Інструмент розроблений як частина DAST рішення і має назву Business Logic Recorder. Він дозволяє записати типову послідовність дій користувача вебресурсу і дати команду перевірити безпечність цього шляху з точки зору бізнес-логіки.
Висновок
Інтеграція штучного інтелекту в процес розробки пропонує чудові можливості для ефективності та інновацій. Однак дуже важливо знати про ризики, які супроводжують цю технологію.
Вразливості в згенерованому коді, невідповідність ліцензійним нормам і стандартам, а також ймовірні помилки, що пов’язані з бізнес-логікою, є одними з ключових проблем, які потребують уваги.
DAST дає змогу командам розробників виявляти та розв’язувати проблеми безпеки в режимі реального часу, забезпечуючи створення безпечного та надійного програмного забезпечення, яке відповідає найвищим стандартам якості та безпеки. Це дозволяє своєчасно виявляти та виправляти недоліки безпеки, зменшуючи ризик потенційних порушень даних і забезпечуючи розробку безпечних і надійних програм.
Invicti є постачальником платформ AppSec на основі технологій DAST, з додаванням IAST і SCA. Продукти Invicti базуються на більш ніж п’ятнадцятирічному досвіді усунення багатьох типових недоліків DAST, зокрема, завдяки унікальній технології Proof-based scanning сканери мають найнижчий рівень хибнопозитивних результатів на ринку та здатні точно визначати місцеположення вразливості в коді.
