Los retos del uso de AI en la codificación de aplicaciones
Autor: Orlando Eutimio
Hay dos desafíos importantes entorno a la IA que hacen que esta sea un área esencial que las plataformas AppSec deben abordar:
1.- Adopción de LLM dentro del SDLC. – La IA está alterando el flujo de trabajo de los desarrolladores con el que los equipos de AppSec han trabajado arduamente para integrarse. Sabemos que los modelos de lenguaje grandes (LLM) de IA no comprenden las prácticas de codificación segura, sin embargo, los desarrolladores dependen cada vez más de ellos para maximizar su producción en la codificación de sus aplicativos. Esto da como resultado una avalancha de líneas de código inseguro que se dirige a equipos de AppSec, quienes ya se encuentran en una situación insostenible, especialmente porque muchos desarrolladores no comprenden ni practican la codificación segura.
2.- Aumento de vulnerabilidades al codificar con AI. -Los equipos de AppSec generalmente no cuentan con los recursos suficientes, dependen del trabajo con equipos multifuncionales con incentivos a menudo opuestos; y se enfrentan a un entorno de código cada vez más complejo. El análisis y triage de las vulnerabilidades ya ha sido difícil, y hace tiempo que renunciaron a la idea de reducir su recuento de vulnerabilidades a cero.
Visión de la inteligencia artificial de Checkmarx
Checkmarx puede brindar asistencia significativa en los siguientes puntos clave:
- El flujo de trabajo del desarrollador: los desarrolladores utilizan y seguirán utilizando la IA para la generación de código que ayude a disminuir los tiempos de codificación de sus aplicativos. Al conectar las herramientas de AppSec directamente a las herramientas de IA, Checkmarx pretende ayudar a proteger el código desde la primera línea escrita, al mismo tiempo que protege la cadena de suministro de software.
- Acelerar los equipos de seguridad de aplicaciones: los equipos de seguridad de aplicaciones quieren utilizar GenAI como herramienta de productividad de la misma manera que lo hacen los demás. Checkmarx está creando herramientas y funciones de plataforma para simplificar la gestión de seguridad de aplicaciones y aumentar la eficiencia diaria de los equipos de seguridad de aplicaciones.
- Ataques basados en IA: el uso de nuevas tecnologías siempre conlleva nuevos riesgos, y las herramientas de IA no son la excepción. Checkmarx ayudará a los clientes a protegerse contra los riesgos que se dirigen a las herramientas de IA en el nuevo flujo de trabajo de los desarrolladores.
Checkmarx ya ha proporcionado a los desarrolladores funciones básicas para respaldar la experiencia cambiante del flujo de trabajo de los desarrolladores que ha creado la IA. Estas incluyen:
- AI Security Champion para Infraestructura como Código (IaC)
- AI Query Builder para reducir los falsos positivos
- Integración GPT de Checkmarx que ayuda a los desarrolladores a comprender los riesgos de código abierto del código generado.
Las características recientemente lanzadas se basan en el impulso con más formas que permiten a los desarrolladores adoptar la IA de una manera que sea cómoda para su flujo de trabajo y tenga en cuenta la responsabilidad de la empresa con sus datos (y los de sus clientes).
Mitigación de vulnerabilidades para SAST
Resolver vulnerabilidades de seguridad es un mal necesario para los desarrolladores. Suele requerir mucho tiempo y supone una importante cantidad de investigación y cambios de contexto. Cada vulnerabilidad tiene su propio contexto que es necesario comprender antes de poder diseñar e implementar una solución.
La función de reparación automática para SAST, parte del plugin AI Security Champion, tiene como objetivo reducir significativamente el tiempo y el esfuerzo que necesitan los desarrolladores para solucionar vulnerabilidades. Ahora, los desarrolladores pueden obtener una reatroalimentación significativa con recomendaciones, directamente en su IDE, sobre cómo resolver vulnerabilidades específicas de SAST, lo que hace que (no solo encontrarlas, sino también resolverlas) sea mucho más práctico y razonable.
Integraciones con plataformas IA
ChatGPT: El código es código, independientemente de si lo escribe un desarrollador, lo copia y pega desde repositorios de código abierto o lo genera una IA. Todo debe analizarse y, si desea analizar el código generado por IA con éxito, debe hacerlo en tiempo real.
Checkmarx demostró cómo la integración inicial de Checkmarx GPT para ChatGPT permitió analizar el código generado en busca de paquetes maliciosos y posibles problemas de versiones y licencias. Se ha ampliado aún más la funcionalidad de Checkmarx GPT al incluir la capacidad de realizar un análisis SAST como parte del proceso, por lo que ahora, los desarrolladores que usan ChatGPT pueden aprovechar una verificación de seguridad completa del código generado en tiempo real y obtener consejos de mitigación para vulnerabilidades específicas.
Copilot: Hoy en día muchos desarrolladores están usando Copilot integrado directamente en el IDEpara satisfacer sus necesidades de generación de código y, tal como con ChatGPT, se tiene la necesidad de proporcionar un escaneo en tiempo real para el código generado por Copilot. El Plugin VS Code para Checkmarx ahora admite el escaneo IDE en tiempo real para todos los tipos de código, incluido el código generado por Copilot, lo que permite a los desarrolladores obtener un escaneo SAST súper rápido del código mientras se crea.
La IA en su programa de seguridad de aplicaciones
A medida que la adopción de la IA en el desarrollo de software sigue creciendo, Checkmarx sigue dedicándose a guiar a las organizaciones en sus recorridos hacia la seguridad de las aplicaciones. Al centrarse en mejorar la experiencia del desarrollador, reducir los falsos positivos y abordar las amenazas únicas que plantea la IA, Checkmarx está allanando el camino hacia un futuro digital más seguro.
En TrustDimension podemos ayudar a tu organización a integrar la seguridad en su SDLC, mediante las soluciones de Checkmarx. Contáctanos para obtener más información.