Az OpenText szakértői szerint a hibák azonosításában és javításában épp az AI nyújthat megfelelő segítséget, méghozzá fejlett alkalmazásbiztonsági eszközökbe ágyazva, amelyek automatizáltan végzik ezeket a feladatokat. A mesterséges intelligencia mostanra a szoftverfejlesztők mindennapi munkaeszközévé vált: egy elemzés szerint 2024-ben a szakemberek több mint 80 százaléka használt AI-t a kódok készítésénél, és ez a szám azóta minden bizonnyal csak tovább emelkedett.
Ugyanakkor az automatizált kódgenerálás nem mentes a sebezhetőségektől: egy kutatás rámutatott, hogy a Copilot által javasolt kódok 40 százaléka tartalmazott olyan sérülékenységet, amely szerepel a MITRE CWE Top 25 listáján, vagyis a leggyakoribb és legsúlyosabb biztonsági rések közé tartozik. Más vizsgálatok szerint az AI segítségével létrehozott kódok 62 százalékában fordult elő valamilyen tervezési hiba vagy ismert biztonsági hiányosság.
Ezek az arányok rávilágítanak annak veszélyére, hogy a gyors innováció önmagában nem elegendő, ha nem építjük be a biztonságot minden szinten. Megnehezíti azonban a helyzetet, hogy a GenAI‑fejlesztés sebessége messze meghaladja a hagyományos biztonsági ellenőrzések kapacitását. Ezért olyan új megközelítésekre van szükség, amelyekkel automatizáltan és folyamatosan vizsgálhatók az AI‑generált kódok.
Sárkány ellen sárkány
Érdekes módon épp a mesterséges intelligencia segíthet ennek a problémának a megoldásában, hiszen az AI-ra támaszkodó alkalmazásbiztonsági eszközök képesek kombinálni a gépi tanulás eredményeit a szakértői információkkal, így pontosabban felismerik a sebezhetőségeket. Ezek az eszközök olyan munkafolyamatokat kínálnak, amelyek szem előtt tartják a fejlesztők igényeit, és könnyedén illeszkednek az IDE környezetekbe, illetve CI/CD rendszerekbe. Emellett zökkenőmentesen működnek felhőnatív és hibrid környezetekben is, így számos különféle vállalati architektúrában alkalmazhatók.
Azok a szervezetek, amelyek igénybe veszik ezeket a modern eszközöket, a fejlesztési ciklus korábbi szakaszaiban azonosíthatják a sebezhetőségeket, és gyorsabban javíthatják őket. Ezzel komoly összegeket takaríthatnak meg, hiszen minél később derül fény egy sérülékenységre a fejlesztés során, annál magasabb a javítás költsége.
Az olyan fejlett megoldások, mint például az OpenText termékei a piaci átlaghoz képest rendkívül kevés hamis riasztást küldenek, és rangsorba is állítják a javításra váró hibákat fontosság szerint. Így a szakemberek az igazán hasznos tevékenységekre koncentrálhatnak, és a megfelelőség fenntartása, valamint a kockázatok csökkentése is egyszerűsödik. Szorosabbá válik továbbá az együttműködés a fejlesztői és az alkalmazásbiztonsági csapatok között, ezáltal a vállalatok gyorsan és biztonságosan adhatják ki az AI‑alapú alkalmazásokat.
Minden hasznos eszköz egy helyen
Az OpenText AI-ra támaszkodó alkalmazásbiztonsági teszteszközöket tartalmazó portfóliója ezt a megközelítést támogatja olyan komponensekkel, amelyek célzottan szolgálják ki a modern igényeket. A Static Application Security Testing (korábban: Fortify) azonosítja a sérülékenységeket a kódban, a futás közben jelentkező hibákat pedig a Dynamic Application Security Testing ismeri fel a GenAI-alapú alkalmazásokban.
Az AppSec Aviator generatív AI-technológiákra, például a Claude LLM-re támaszkodva csökkenti a téves riasztások számát, és automatikusan készít javaslatokat a sebezhetőségek javításához. A Core Software Composition Analysis (SCA) pedig intelligens elemzéssel támogatja a szakembereket a biztonságos open source csomagok kiválasztásában. Mindezek együtt lehetővé teszik, hogy a szoftverek biztonságával ne utólag foglalkozzanak a szervezetek, hanem a fejlesztési folyamatba integrált elemként.
| Illusztráció: Open Text
