stub Įveikti didžiausius AI pagrįsto žemo kodo / be kodo kūrimo saugumo iššūkius – Unite.AI
Susisiekti su mumis
   Minties lyderiai  
Įveikti didžiausius saugos iššūkius, susijusius su AI skatinamu mažo kodo / be kodo kūrimo
 mm
paskelbta
 prieš 3 savaites
 on
   
 
Žemo kodo kūrimo platformos pakeitė būdą, kaip žmonės kuria pasirinktinius verslo sprendimus, įskaitant programas, darbo eigas ir antruosius pilotus. Šie įrankiai suteikia galimybę piliečiams kūrėjams ir sukurti lankstesnę programėlių kūrimo aplinką. AI pridėjimas prie mišinio tik sustiprino šią galimybę. Tai, kad organizacijoje nėra pakankamai žmonių, turinčių įgūdžių (ir laiko) sukurti tiek programėlių, automatizavimo ir t. t., kurių reikia inovacijoms skatinti, paskatino mažai kodų / be kodų. paradigma. Dabar, nereikalaujant oficialaus techninio mokymo, piliečių kūrėjai gali panaudoti patogias platformas ir generatyvųjį dirbtinį intelektą kurdami, diegdami ir diegdami DI pagrįstus sprendimus.
Tačiau ar ši praktika yra saugi? Realybė tokia, kad tai kelia daugybę naujų pavojų. Geros naujienos: jums nereikia rinktis tarp saugumo ir efektyvumo, kurį suteikia verslo vadovaujamos inovacijos.
Perėjimas už tradicinės kompetencijos ribų
IT ir saugos komandos yra įpratusios sutelkti savo pastangas nuskaito ir ieško pažeidžiamumų, įrašytų į kodą. Jie daugiausia dėmesio skyrė tam, kad kūrėjai sukurtų saugią programinę įrangą, užtikrintų, kad programinė įranga būtų saugi, o tada, kai ji bus gaminama, stebėtų, ar joje nėra nukrypimų ar nieko įtartino.
Su žemo kodo padidėjimas ir jokio kodo, daugiau nei bet kada anksčiau žmonių kuria programas ir naudoja automatizavimą programoms kurti – ne tradiciniame kūrimo procese. Tai dažnai darbuotojai, turintys mažai arba visai neturintys programinės įrangos kūrimo žinių, o šios programos kuriamos už saugumo kompetencijos ribų.
Taip susidaro situacija, kai IT nebekuria visko organizacijai, o apsaugos komandai trūksta matomumo. Didelėje organizacijoje galite gauti kelis šimtus programų, sukurtų per metus, tobulėdami profesinėje veikloje; su žemu / be kodo galite gauti daug daugiau. Tai daugybė galimų programų, kurių saugos komandos gali nepastebėti arba neprižiūrėti.
Daugybė naujų pavojų
 Kai kurios galimos saugumo problemos, susijusios su mažo kodo / be kodo kūrimu, yra:
  1. Ne IT kompetencijai – kaip ką tik minėta, piliečių kūrėjai dirba už IT specialistų ribų, sukurdami matomumo trūkumą ir šešėlinių programų kūrimą. Be to, šie įrankiai leidžia begaliniam žmonių skaičiui vos keliais paspaudimais greitai sukurti programas ir automatizuoti. Tai reiškia, kad be galo daug žmonių sukuria neįtikėtinai daug programų be viso vaizdo.
  2. Ne programinės įrangos kūrimo gyvavimo ciklas (SDLC) – Tokiu būdu programinės įrangos kūrimas reiškia, kad nėra SDLC, o tai gali sukelti nenuoseklumą, painiavą ir atskaitomybės trūkumą, be rizikos.
  3. Pradedantieji kūrėjai – šias programas dažnai kuria žmonės, turintys mažiau techninių įgūdžių ir patirties, atverdami duris klaidoms ir saugumo grėsmėms. Jie nebūtinai galvoja apie saugumo ar plėtros pasekmes taip, kaip tai darytų profesionalus kūrėjas ar kas nors, turintis daugiau techninės patirties. Ir jei pažeidžiamumas randamas konkrečiame komponente, kuris yra įterptas į daugybę programų, jis gali būti išnaudotas keliuose egzemplioriuose
  4. Bloga tapatybės praktika – Tapatybės valdymas taip pat gali būti problema. Jei norite suteikti verslo vartotojui galimybę sukurti programą, svarbiausias dalykas, galintis jį sustabdyti, yra leidimų trūkumas. Dažnai tai gali būti apeinama, o atsitinka taip, kad vartotojas gali naudoti kito asmens tapatybę. Šiuo atveju nėra būdo išsiaiškinti, ar jie padarė ką nors ne taip. Jei prieisite prie kažko, kas jums neleidžiama, arba bandėte padaryti ką nors kenksmingo, saugumas ieškos pasiskolinto vartotojo tapatybės, nes niekaip nepavyks to atskirti.
  5. Nėra kodo, kurį būtų galima nuskaityti – dėl to trūksta skaidrumo, o tai gali trukdyti trikčių šalinimui, derinimui ir saugos analizei, taip pat galimi atitikties ir reguliavimo klausimai.
Visos šios rizikos gali prisidėti prie galimo duomenų nutekėjimo. Nesvarbu, kaip sukurta programa – ar ji kuriama naudojant vilkimą, teksto raginimą ar kodą – ji turi tapatybę, turi prieigą prie duomenų, gali atlikti operacijas ir turi bendrauti. su vartotojais. Duomenys perkeliami, dažnai tarp skirtingų organizacijos vietų; tai gali lengvai pažeisti duomenų ribas ar kliūtis.
Taip pat kyla pavojus duomenų privatumui ir atitikčiai. Šiose programose yra jautrūs duomenys, tačiau juos tvarko verslo vartotojai, kurie nežino, kaip (ir net negalvoja) tinkamai juos saugoti. Dėl to gali kilti daugybė papildomų problemų, įskaitant atitikties pažeidimus.
Matomumo atgavimas
Kaip minėta, vienas iš Dideli iššūkiai su mažai / be kodo yra tai, kad jis nepriklauso IT / saugumo kompetencijai, o tai reiškia, kad duomenys eina per programas. Ne visada aiškiai suprantama, kas iš tikrųjų kuria šias programas, ir apskritai trūksta informacijos apie tai, kas iš tikrųjų vyksta. Ir net ne kiekviena organizacija iki galo žino, kas vyksta. Arba jie mano, kad piliečių tobulėjimas jų organizacijoje nevyksta, bet beveik neabejotinai taip yra.
Taigi, kaip saugumo lyderiai gali įgyti kontrolę ir sumažinti riziką? Pirmiausia išnagrinėkite piliečių kūrėjų iniciatyvas savo organizacijoje, išsiaiškinkite, kas (jei kas nors) vadovauja šioms pastangoms, ir susisiekite su jais. Jūs nenorite, kad šios komandos jaustųsi nubaustos ar trukdomos; Jūsų, kaip saugumo lyderio, tikslas turėtų būti remti jų pastangas, bet suteikti švietimą ir patarimus, kaip padaryti procesą saugesnį.
Saugumas turi prasidėti nuo matomumo. Svarbiausia yra sukurti programų sąrašą ir suprasti, kas ką kuria. Turėdami šią informaciją galėsite užtikrinti, kad jei įvyktų koks nors pažeidimas, galėsite atsekti veiksmus ir išsiaiškinti, kas atsitiko.
Sukurkite pagrindą, kaip atrodo saugus vystymasis. Tai apima būtiną politiką ir techninius valdiklius, kurie užtikrins, kad vartotojai pasirinktų teisingus sprendimus. Net profesionalūs kūrėjai daro klaidų, kai kalbama apie neskelbtinus duomenis; su verslo vartotojais tai dar sunkiau suvaldyti. Tačiau su tinkamais valdikliais gali būti sunku padaryti klaidą.
Saugesnio mažo kodo / be kodo link
Tradicinis rankinio kodavimo procesas trukdė diegti naujoves, ypač konkurencinio laiko pateikimo į rinką scenarijuose. Naudodami šiandienines žemo kodo ir be kodo platformas, net ir neturintys kūrimo patirties žmonės gali kurti dirbtiniu intelektu pagrįstus sprendimus. Nors tai supaprastino programų kūrimą, tai taip pat gali kelti pavojų organizacijų saugai ir saugumui. Tačiau tai nebūtinai turi būti pasirinkimas tarp piliečių vystymosi ir saugumo; saugumo lyderiai gali bendradarbiauti su verslo vartotojais, kad rastų pusiausvyrą abiem.
       
 Susijusios temos:
 mm
Michaelas yra vienas iš įkūrėjų ir CTO zenity. Jis yra kibernetinio saugumo pramonės ekspertas, besidomintis debesimis, SaaS ir AppSec. Prieš „Zenity“ Michaelas buvo „Microsoft Cloud Security CTO Office“ vyresnysis architektas, kur jis įkūrė ir vadovavo saugos produktų pastangoms, susijusioms su daiktų internetu, API, IaC ir konfidencialia kompiuterija. Michaelas vadovauja OWASP bendruomenės pastangoms mažo kodo / be kodo saugumo srityje.