Lehet-e tökéletes, hibamentes kódot írni? Aligha. A határidős nyomás, az ötlettelenség, a jó példák hiánya, a fejlesztőcsapatok eltérő logikája, csapaton belül a felkészültségbeli különbségek, az ismerethiány és még sok más tényező együttes hatása, hogy végül bugos kódok kerülnek a felhasználókhoz, amit a kiberbűnözők igyekeznek is kihasználni. A rossz nyelvek szerint a Windows NT 4.0, amit sokan az első nagy Windows-korszak legjobb szerver operációs rendszerének tartottak, rengeteg, a fejlesztők által ismert hibával, köztük több kritikus sérülékenységgel került piacra.

A jó szándék természetesen megvolt, hogy ilyen szoftverkiadásokra minél kevesebbszer kerüljön sor. Ám mintegy két évtizeddel az NT4 megjelenése és a DevOps, majd a DevSecOps filozófia általánossá válása után a Google 2022-es DORA (DevOps Research and Assessment) jelentésében, a State of DevOpsban ismét arra jutott, hogy a CI/CD (Continuous Integration/Continuous Delivery) lenne a legfontosabb a szoftverbiztonság szempontjából, és hogy a biztonságos szoftverek fejlesztéséhez talán javítani kellene a stakeholderek (köztük a végső döntéseket hozó felső vezetők) kollaborációs kultúráján.

A problémára tehát, hogy már a fejlesztési fázisban kiküszöböljék a sérülékenységeket, mind a mai napig nem sikerült átfogó és megnyugtató megoldást megoldást találni. Nem segített a mesterséges intelligencia sem, amelynek első "áldozatai" között ott volt a szoftverfejlesztés is. Az MI-alapú programozási segédeszközök (a GitHub Codexe 2022-től érhető el előfizetéses formában) vagy az ún. vibe kódolás ahelyett hogy javították volna, inkább tovább rontották a helyzetet. A Gartner a közelmúltban megjelent Hype Cycle for Application Security, 2025 című tanulmánya szerint két év múlva az alkalmazásbiztonsági kockázatok legalább 30 százaléka a vibe kódolási gyakorlatok elterjedésére vezethető majd vissza – miközben a fogalmat csupán 2025 elején dobta be a köztudatba Andrej Karpathy, az OpenAI társalapítója.

Az MI-alapú segédeszközök felpörgették a fejlesztést: a fejlesztőcsapatok hetente, sőt akár naponta szállítanak új funkciókat. Ezt a tempót a kódbiztonságért felelős csapatok nem feltétlenül tudják követni, amit a támadók oly módon igyekeznek kihasználni, hogy már a szoftverfejlesztési életciklus korai szakaszában támadják a kódot és a folyamatokat, mielőtt azok éles környezetbe kerülnének.

A felhőben még problémásabb

A biztonsági megoldásszállítók erre a helyzetre egységes kiberbiztonsági adatplatform felépítésével reagálnak. Mint a Palo Alto Networks egy tanulmánya fogalmaz, a kódfejlesztéstől a felhőalapú környezetekig és a SOC-okig (Security Operations Center) mindent magában foglaló platformot kell kialakítani.

A széttagolt rendszereket, melyeket elszigetelt munkafolyamatok és nagyon sok, csak manuálisan elvégezhető feladat terhel, egyre nehezebb megvédeni a modern kiberfenyegetésekkel szemben. "Ez különösen szembeötlő a felhőbiztonság területén, ahol a decentralizált rendszerek, az inkonzisztens adatáramlás és a szétszórt eszközök vakfoltokat hoznak létre, lassítva a behatolások észlelését, a reagálást és a megelőzést" – írják a cég elemzői.

Ezért fordul egyre több biztonsági cég olyan megoldások felé, amelyek egyszerre képesek kezelni a fejlesztési folyamatban keletkező kódsérülékenységeket, valós időben monitorozni a felhős környezeteket, valamint gyors választ adni a támadási kísérletekre. Emögött az a megfontolás, hogy ha minden biztonsági réteg egy egységes platformra kerül, az javítja az általános vizibilitást, és a korábbinál sokkal rugalmasabb, adaptívabb védelmi rendszerek kiépítésére ad lehetőséget.

Mivel az ilyen platformokban egyre nagyobb szerepet kapnak a mesterséges intelligencia vezérelte eszközök, a vállalatok arra törekszenek, hogy csökkentsék a megoldásszállítóik számát, mert egy koherensebb, egyszerűbb környezetben jobban érvényesül az MI pozitív hatása.

A Gartner Hype Cycle is ezt mutatja

A Gartner már említett tanulmánya is hasonló eredményre jut: egyre nagyobb szerep jut a mesterséges intelligenciának mind az alkalmazásfejlesztésben, mind a védekezésben. Azaz az MI nemcsak gyorsítja a szállítást, hanem egyúttal már a fejlesztés korai szakaszától segítheti az alkalmazások sebezhetőségeinek detektálását és javítását.
 

A vibe kódolás még csak a hype ciklius meredélyén kapaszlkodik felfelé,
de két éven belül elérheti a platót. Forrás: Gartner
(Kattintson a képre a nagyobb mérethez!)  

A kutatócég szerint négy fontos trend jellemzi a kódbiztonság területét.

1. Egyre nagyobb hangsúlyt kap az MI-támogatással fejlesztett kód biztonságossá tétele. Az MI-alapú kódolási asszisztensek és a vibe kódolás látványosan gyorsítja a fejlesztést, ám mellékhatásként számos új biztonsági problémát és sebezhetőséget hoz magával. Utóbbiak kezelését szintén MI-alapú eszközökre bízzák: egyre népszerűbbek a virtuális "biztonsági szakértők", melyekkel automatizálható az alkalmazások sebezhetőségének azonosítását és javítása.

2. Átalakulóban a DevSecOps filozófia. A tesztelésben egyre elterjedtebb az ún. "shift-left" megközelítés. Mivel így a kód ellenőrzése már a fejlesztés korai fázisában megkezdődik, a sebezhetőségek egy részét maguk a fejlesztők tárják fel és javítják. Egyre szélesebb körben alkalmazzák az ASPM (Application Security Posture Management) megközelítést, amely a teljes fejlesztési életciklusban biztosítja a sérülékenységek folyamatos felderítését, priorizálását és javítását. Az ASPM használata is arra sarkalja a szervezeteket, hogy a hagyományos, elszigetelt biztonsági eszközök helyett egységes, kontextus-alapú megközelítéssel kezeljék a biztonsági kockázatokat a kódolástól az operációig.

3. A "felhősödés" következményeként egyre szorosabb a kapocs kód- és a workload-biztonság között. A Gartner szerint ennek az az oka, hogy a felhős alkalmazások összekapcsolják az alkalmazáskódot a felhőinfrastruktúrával, miáltal gyorsul az alkalmazástelepítést. Ezt az alkalmazásbiztonságnak is le kell követnie: olyan megoldásra van szükség, amely figyelembe veszi a munkaterhelést, és összekapcsolja a fejlesztést a futási környezettel (ezt a elvet lehetne/kellene alkalmazni az API-biztonságnál is).

4. És végül, de nem utolsósorban: javítani kell a mesterséges intelligencia ágensek és a generatív MI-kompatibilis alkalmazások biztonságát. Ezek ugyanis új támadási felületet jelentenek.

Összeállításunk következő részében összefoglaljuk, hogyan csapódnak le a fentiek a CNAPP-okban, azaz az integrált felhős védelmet megvalósító Cloud-Native Application Protection Platformokban.

Ez a cikk független szerkesztőségi tartalom, mely a Clico Hungary támogatásával készült. Részletek »