A GitHub és az OpenAI közös kódolási segédje, a Codex bő három éve indult el kereskedelmi szolgáltatásként. Azóta gombamód szaporodnak a hasonló eszközök, amiket a fejlesztők lelkesen használnak – munkahelyi jóváhagyással!
A Checkmarx friss globális kutatása (The Future of AppSec in the Era of AI) szerint azonban ezzel a vállalatok jelentős kockázatokat vesznek a nyakukba. A tanulmányban, melyhez közel 1500 informatikai vezetőt, alkalmazásbiztonságért felelős vezetőt és fejlesztőt kérdeztek meg Észak-Amerikában, Európában, valamint az ázsiai és csendes-óceáni térségben, kifejezetten azt vizsgálták, hogy vállalati környezetben hogyan használják a kódolási segédleteket.
Egyharmad a kétharmadot…
Mivel hatékony(nak tűnik), és olcsóbb – legalábbis rövid távon –, mint egy fejlesztő, értelemszerűen egyre többen használják. Az MI-vel történő kódgyártás kezd egyfajta kvázi szabvánnyá válni a vállalati felhasználásban (is): a megkérdezett cégek fele használ ilyen eszközt.
Ez még önmagában nem jelent semmit, hiszen használhatnák például arra is, hogy gyorsabban készüljenek proof-of-conceptek vagy fussanak le pilotok. Ám kiderült: a szervezetek harmadánál (34 százalék) MI gyártja a kódok közel kétharmadát (kb. 60 százalék). A kérdést másik oldalról közelítve: száz válaszadóból mindössze 2 (!) mondta azt, hogy cégénél 1 és 20 százalék között lehet az MI-generálta kód.
Eközben a terület teljes mértékben szabályozatlan: a mintában szereplő cégek kevesebb mint ötödénél (18 százalék) dolgoztak ki erre egyértelmű irányelveket. Pedig a többség valószínűleg tisztában van a következményekkel: csökken a fejlesztők felelőssége, és nő a cég támadási felülete.
Pénz beszél, biztonság ugat (de nem harap)
Az ok egyértelmű: pénz, pénz és pénz. A piaci verseny miatt egyre többen vállalják be az MI gyártotta kód kockázatát. A helyzet paradox voltát jól leírja, hogy a mintában szereplő cégek 81 százalékánál tudják, hogy az MI-vel generált kód bugos. De annak ellenére is vállalják a használatával járó kockázatot, hogy 2024-ben 91 százalékuknál volt legalább egy biztonsági incidens hibás kódok miatt.
A válaszadók harmada a következő tizenkét-tizennyolc hónapban az incidensek szaporodására számít, különösen az API-k területén, leginkább a shadow IT részeként megjelenő MI-eszközök miatt. (Hogy miért váltak a vállalati IT kritikus biztonsági elemévé az API-k, azzal többek között itt és itt foglalkoztuk.)
A helyzeten javíthatna valamelyest, ha a szervezetek legalább a DevSecOps megközelítést alkalmaznák. Ám ez még az USA-ban sem általános, ahogy az sem, hogy a fejlesztőknek kódbiztonsági képzést nyújtsanak.
a melléklet támogatója az EURO ONE
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak