Հաղթահարելով AI-ի վրա հիմնված ցածր կոդ/առանց կոդի մշակման հիմնական անվտանգության մարտահրավերները

Ցածր կոդերի մշակման հարթակներ փոխել են, թե ինչպես են մարդիկ ստեղծում անհատական ​​բիզնես լուծումներ, ներառյալ հավելվածները, աշխատանքային հոսքերը և կրկնօրինակները: Այս գործիքները հնարավորություն են տալիս քաղաքացիների մշակողներին և ստեղծում են ավելի ճկուն միջավայր հավելվածների մշակման համար: AI-ի խառնուրդին ավելացնելը միայն ուժեղացրել է այս հնարավորությունը: Այն փաստը, որ կազմակերպությունում բավականաչափ մարդիկ չկան, որոնք ունեն հմտություններ (և ժամանակ) ստեղծելու հավելվածների, ավտոմատացումների և այլնի քանակը, որոնք անհրաժեշտ են նորարարությունն առաջ մղելու համար, առաջացրել է ցածր կոդ/առանց կոդ: պարադիգմ. Այժմ, առանց պաշտոնական տեխնիկական ուսուցման կարիքի, քաղաքացի մշակողները կարող են օգտագործել օգտատերերի համար հարմար հարթակներ և Generative AI՝ ստեղծելու, նորարարելու և կիրառելու AI-ի վրա հիմնված լուծումներ:

Բայց որքանո՞վ է ապահով այս պրակտիկան: Իրականությունն այն է, որ այն ներկայացնում է մի շարք նոր ռիսկեր: Ահա լավ նորությունը. դուք պետք չէ ընտրություն կատարել անվտանգության և արդյունավետության միջև, որը ապահովում է բիզնեսի կողմից առաջնորդվող նորարարությունը:

Շարժում ավանդական շրջանակներից դուրս

ՏՏ և անվտանգության թիմերը սովոր են կենտրոնացնել իրենց ջանքերը սկանավորել և փնտրել կոդի մեջ գրված խոցելիություններ. Նրանք կենտրոնացել են համոզվելու վրա, որ մշակողները ստեղծում են անվտանգ ծրագրակազմ՝ հավաստիացնելով, որ ծրագրակազմն ապահով է, և այնուհետև, երբ այն արտադրվում է, հետևում է շեղումների կամ որևէ կասկածելի բանի համար:

Հետ ցածր կոդի բարձրացում և առանց ծածկագրի, ավելի շատ մարդիկ, քան երբևէ, ստեղծում են հավելվածներ և օգտագործում ավտոմատացում՝ հավելվածներ ստեղծելու համար՝ ավանդական զարգացման գործընթացից դուրս: Սրանք հաճախ ծրագրային ապահովման մշակման համար քիչ կամ բացակայող աշխատողներ են, և այս հավելվածները ստեղծվում են անվտանգության ոլորտի իրավասություններից դուրս:

Սա ստեղծում է մի իրավիճակ, երբ ՏՏ-ն այլևս չի կառուցում ամեն ինչ կազմակերպության համար, և անվտանգության թիմը տեսանելիության պակաս ունի: Խոշոր կազմակերպությունում դուք կարող եք ստանալ մի քանի հարյուր հավելվածներ, որոնք ստեղծվել են մեկ տարվա ընթացքում մասնագիտական ​​զարգացման միջոցով. ցածր/առանց կոդով դուք կարող եք դրանից շատ ավելին ստանալ: Դա շատ հավանական հավելվածներ են, որոնք կարող են աննկատ մնալ կամ չվերահսկվել անվտանգության թիմերի կողմից:

Նոր ռիսկերի հարստություն

 Անվտանգության հնարավոր մտահոգություններից մի քանիսը, որոնք կապված են ցածր կոդերի/առանց կոդերի մշակման հետ, ներառում են.

1. Չի վերաբերում ՏՏ ոլորտին. ինչպես արդեն նշվեց, քաղաքացի մշակողները աշխատում են ՏՏ մասնագետների շրջանակներից դուրս՝ ստեղծելով տեսանելիության և ստվերային հավելվածների մշակման պակաս: Բացի այդ, այս գործիքները հնարավորություն են տալիս անսահման թվով մարդկանց արագ ստեղծել հավելվածներ և ավտոմատացումներ՝ ընդամենը մի քանի կտտոցով: Դա նշանակում է, որ անասելի թվով հավելվածներ են ստեղծվում անասելի արագությամբ անասելի թվով մարդկանց կողմից, որոնք բոլորն էլ չունեն ՏՏ ամբողջական պատկերը:
2. Ոչ ծրագրային ապահովման մշակման կյանքի ցիկլը (SDLC) – Այս կերպ ծրագրային ապահովման մշակումը նշանակում է, որ չկա SDLC, ինչը կարող է հանգեցնել անհամապատասխանության, շփոթության և հաշվետվողականության բացակայության, բացի ռիսկից:
3. Սկսնակ ծրագրավորողներ – Այս հավելվածները հաճախ ստեղծվում են ավելի քիչ տեխնիկական հմտություն և փորձ ունեցող մարդկանց կողմից՝ բացելով սխալների և անվտանգության սպառնալիքների առաջ: Նրանք պարտադիր չէ, որ մտածեն անվտանգության կամ զարգացման հետևանքների մասին այնպես, ինչպես կմտածեր պրոֆեսիոնալ մշակողը կամ ավելի շատ տեխնիկական փորձ ունեցող որևէ մեկը: Եվ եթե խոցելիություն հայտնաբերվի որոշակի բաղադրիչում, որը ներկառուցված է մեծ թվով հավելվածների մեջ, այն կարող է օգտագործվել բազմաթիվ օրինակներում:
4. Ինքնության վատ պրակտիկա – Ինքնության կառավարումը նույնպես կարող է խնդիր լինել: Եթե ​​ցանկանում եք բիզնես օգտագործողին հզորացնել հավելված ստեղծելու համար, թիվ մեկ բանը, որը կարող է խանգարել նրան, թույլտվությունների բացակայությունն է: Հաճախ դա կարելի է շրջանցել, և այն, ինչ տեղի է ունենում, այն է, որ դուք կարող եք ունենալ օգտվող, որն օգտագործում է ուրիշի ինքնությունը: Այս դեպքում ոչ մի կերպ հնարավոր չէ պարզել, թե արդյոք նրանք ինչ-որ բան սխալ են արել: Եթե ​​դուք մուտք եք գործում ինչ-որ բան, որը ձեզ չի թույլատրվում կամ փորձել եք ինչ-որ չարամիտ բան անել, անվտանգությունը կգա փնտրելու փոխառված օգտատիրոջ ինքնությունը, քանի որ չկա տարբերակելու այդ երկուսը:
5. Սկանավորման համար կոդ չկա – Սա առաջացնում է թափանցիկության պակաս, որը կարող է խանգարել անսարքությունների վերացմանը, վրիպազերծմանը և անվտանգության վերլուծությանը, ինչպես նաև հնարավոր համապատասխանությանն ու կարգավորող խնդիրներին:

Այս բոլոր ռիսկերը կարող են նպաստել տվյալների հնարավոր արտահոսքին: Անկախ նրանից, թե ինչպես է կառուցված հավելվածը, անկախ նրանից, թե այն կառուցվում է քաշել և թողնել, թե տեքստի վրա հիմնված հուշումով, թե կոդով, այն ունի ինքնություն, հասանելի է տվյալներին, կարող է կատարել գործողություններ և պետք է հաղորդակցվի: օգտատերերի հետ։ Տվյալները տեղափոխվում են, հաճախ կազմակերպության տարբեր վայրերի միջև. դա կարող է հեշտությամբ կոտրել տվյալների սահմանները կամ արգելքները:

Տվյալների գաղտնիությունն ու համապատասխանությունը նույնպես վտանգված են: Զգայուն տվյալներն ապրում են այս հավելվածներում, սակայն դրանք մշակվում են գործարար օգտատերերի կողմից, ովքեր չգիտեն, թե ինչպես (ոչ նույնիսկ մտածում են) ճիշտ պահել դրանք: Դա կարող է հանգեցնել մի շարք լրացուցիչ խնդիրների, ներառյալ համապատասխանության խախտումները:

Տեսանելիության վերականգնում

Ինչպես նշվեց, մեկը Մեծ մարտահրավերները ցածր/առանց կոդով այն է, որ այն չի գտնվում ՏՏ/անվտանգության ոլորտում, ինչը նշանակում է, որ տվյալները անցնում են հավելվածներով: Միշտ չէ, որ հստակ պատկերացում կա, թե ով է իրականում ստեղծում այս հավելվածները, և ընդհանուր առմամբ տեսանելիության պակաս կա, թե ինչ է իրականում կատարվում: Եվ ոչ բոլոր կազմակերպություններն են նույնիսկ լիովին տեղյակ, թե ինչ է կատարվում: Կամ նրանք կարծում են, որ քաղաքացիների զարգացումը տեղի չի ունենում իրենց կազմակերպությունում, բայց դա գրեթե անկասկած:

Այսպիսով, ինչպե՞ս կարող են անվտանգության ղեկավարները վերահսկողություն ձեռք բերել և նվազեցնել ռիսկը: Առաջին քայլը ձեր կազմակերպությունում ծրագրավորողների նախաձեռնությունները ուսումնասիրելն է, պարզել, թե ով է (եթե որևէ մեկը) ղեկավարում է այդ ջանքերը և կապ հաստատել նրանց հետ: Դուք չեք ցանկանում, որ այս թիմերը իրենց տուգանք կամ խոչընդոտ զգան. Որպես անվտանգության ղեկավար, ձեր նպատակը պետք է լինի աջակցել նրանց ջանքերին, բայց տրամադրել կրթություն և ուղեցույց՝ գործընթացն ավելի անվտանգ դարձնելու համար:

Անվտանգությունը պետք է սկսվի տեսանելիությունից: Դրա բանալին հավելվածների գույքագրման ստեղծումն է և պատկերացում կազմելը, թե ով ինչ է կառուցում: Այս տեղեկատվության առկայությունը կօգնի ապահովել, որ եթե ինչ-որ խախտում տեղի ունենա, դուք կկարողանաք հետևել քայլերին և պարզել, թե ինչ է տեղի ունեցել:

Ստեղծեք շրջանակ, թե ինչպիսի տեսք ունի անվտանգ զարգացումը: Սա ներառում է անհրաժեշտ քաղաքականություն և տեխնիկական հսկողություն, որոնք կապահովեն օգտվողներին ճիշտ ընտրություն կատարել: Նույնիսկ պրոֆեսիոնալ մշակողները սխալներ են թույլ տալիս, երբ խոսքը վերաբերում է զգայուն տվյալներին. նույնիսկ ավելի դժվար է դա վերահսկել բիզնես օգտագործողների հետ: Սակայն ճիշտ վերահսկման առկայության դեպքում դուք կարող եք դժվարացնել սխալ թույլ տալը:

Դեպի ավելի անվտանգ ցածր կոդ/առանց կոդ

Ձեռքով կոդավորման ավանդական գործընթացը խոչընդոտել է նորարարությանը, հատկապես մրցակցային ժամանակի շուկայական սցենարներում: Այսօրվա ցածր կոդով և առանց կոդերի պլատֆորմներով, նույնիսկ մշակման փորձ չունեցող մարդիկ կարող են ստեղծել AI-ի վրա հիմնված լուծումներ: Թեև սա հեշտացրել է հավելվածների մշակումը, այն կարող է նաև վտանգել կազմակերպությունների անվտանգությունն ու անվտանգությունը: Այնուամենայնիվ, դա պարտադիր չէ, որ ընտրություն լինի քաղաքացիների զարգացման և անվտանգության միջև. Անվտանգության ղեկավարները կարող են համագործակցել բիզնես օգտագործողների հետ՝ երկուսի համար հավասարակշռություն գտնելու համար: