Kapërcimi i sfidave kryesore të sigurisë të zhvillimit të kodit të ulët/pa kod të drejtuar nga AI

Platformat e zhvillimit me kod të ulët kanë ndryshuar mënyrën se si njerëzit krijojnë zgjidhje të personalizuara biznesi, duke përfshirë aplikacionet, rrjedhat e punës dhe kopilotët. Këto mjete fuqizojnë zhvilluesit qytetarë dhe krijojnë një mjedis më të shkathët për zhvillimin e aplikacioneve. Shtimi i AI në përzierje vetëm e ka përmirësuar këtë aftësi. Fakti që nuk ka njerëz të mjaftueshëm në një organizatë që kanë aftësitë (dhe kohën) për të ndërtuar numrin e aplikacioneve, automatizimeve e kështu me radhë që nevojiten për të çuar përpara inovacionin, ka krijuar një kod të ulët/pa kod. paradigmë. Tani, pa pasur nevojë për trajnim teknik formal, zhvilluesit qytetarë mund të përdorin platforma miqësore për përdoruesit dhe AI ​​gjeneruese për të krijuar, inovuar dhe vendosur zgjidhje të drejtuara nga AI.

Por sa e sigurt është kjo praktikë? Realiteti është se po sjell një mori rreziqesh të reja. Ja lajmi i mirë: nuk duhet të zgjidhni midis sigurisë dhe efikasitetit që ofron inovacioni i udhëhequr nga biznesi.

Një ndryshim përtej fushëveprimit tradicional

Ekipet e IT dhe sigurisë janë mësuar të përqendrojnë përpjekjet e tyre në skanimi dhe kërkimi i dobësive të shkruara në kod. Ata janë përqendruar në sigurimin që zhvilluesit po ndërtojnë softuer të sigurt, duke siguruar që softueri është i sigurt dhe më pas – pasi të jetë në prodhim – duke e monitoruar atë për devijime ose për çdo gjë të dyshimtë pas faktit.

Me ngritja e kodit të ulët dhe pa kod, më shumë njerëz se kurrë po ndërtojnë aplikacione dhe po përdorin automatizimin për të krijuar aplikacione – jashtë procesit tradicional të zhvillimit. Këta janë shpesh punonjës me pak ose aspak sfond të zhvillimit të softuerit dhe këto aplikacione po krijohen jashtë fushëveprimit të sigurisë.

Kjo krijon një situatë ku IT nuk po ndërton më gjithçka për organizatën dhe ekipit të sigurisë i mungon dukshmëria. Në një organizatë të madhe, mund të merrni disa qindra aplikacione të ndërtuara brenda një viti përmes zhvillimit profesional; me kod të ulët/pa kod, mund të merrni shumë më tepër se kaq. Këto janë shumë aplikacione të mundshme që mund të kalojnë pa u vënë re ose të pa monitoruara nga ekipet e sigurisë.

Një mori rreziqesh të reja

 Disa nga shqetësimet e mundshme të sigurisë që lidhen me zhvillimin me kod të ulët/pa kod përfshijnë:

1. Jo në kompetencën e TI-së – siç u përmend më lart, zhvilluesit qytetarë punojnë jashtë linjave të profesionistëve të TI-së, duke krijuar një mungesë të dukshmërisë dhe zhvillimit të aplikacioneve në hije. Për më tepër, këto mjete mundësojnë një numër të pafund njerëzish të krijojnë aplikacione dhe automatizime shpejt, me vetëm disa klikime. Kjo do të thotë se ka një numër të pallogaritshëm aplikacionesh që krijohen me ritme marramendëse nga një numër i pallogaritshëm njerëzish, të gjithë pa IT-në e plotë.
2. jo Cikli i jetës së zhvillimit të softuerit (SDLC) – Zhvillimi i softuerit në këtë mënyrë do të thotë se nuk ka SDLC në vend, gjë që mund të çojë në mospërputhje, konfuzion dhe mungesë përgjegjësie përveç rrezikut.
3. Zhvilluesit fillestarë – Këto aplikacione shpesh ndërtohen nga njerëz me më pak aftësi dhe përvojë teknike, duke i hapur derën gabimeve dhe kërcënimeve të sigurisë. Ata nuk mendojnë domosdoshmërisht për pasojat e sigurisë ose të zhvillimit në mënyrën që do të bënte një zhvillues profesionist ose dikush me më shumë përvojë teknike. Dhe nëse një dobësi gjendet në një komponent specifik që është i integruar në një numër të madh aplikacionesh, ai ka potencialin për t'u shfrytëzuar në shumë raste
4. Praktikat e këqija të identitetit – Menaxhimi i identitetit mund të jetë gjithashtu një problem. Nëse dëshironi të fuqizoni një përdorues biznesi për të ndërtuar një aplikacion, gjëja numër një që mund ta ndalojë është mungesa e lejeve. Shpesh, kjo mund të anashkalohet dhe ajo që ndodh është se mund të keni një përdorues që përdor identitetin e dikujt tjetër. Në këtë rast, nuk ka asnjë mënyrë për të kuptuar nëse ata kanë bërë diçka të gabuar. Nëse hyni në diçka që nuk ju lejohet ose jeni përpjekur të bëni diçka keqdashëse, siguria do të vijë duke kërkuar identitetin e përdoruesit të huazuar, sepse nuk ka asnjë mënyrë për të bërë dallimin midis të dyjave.
5. Nuk ka kod për të skanuar – Kjo shkakton mungesë transparence që mund të pengojë zgjidhjen e problemeve, korrigjimin dhe analizën e sigurisë, si dhe shqetësimet e mundshme të pajtueshmërisë dhe rregullatore.

Të gjitha këto rreziqe mund të kontribuojnë në rrjedhjen e mundshme të të dhënave. Pavarësisht se si është ndërtuar një aplikacion – pavarësisht nëse ndërtohet me drag-and-drop, një kërkesë të bazuar në tekst ose me kod – ai ka një identitet, ka akses në të dhëna, mund të kryejë operacione dhe duhet të komunikojë me përdoruesit. Të dhënat janë duke u zhvendosur, shpesh ndërmjet vendeve të ndryshme në organizatë; kjo mund të thyejë lehtësisht kufijtë ose barrierat e të dhënave.

Privatësia dhe pajtueshmëria e të dhënave janë gjithashtu në rrezik. Të dhënat e ndjeshme jetojnë brenda këtyre aplikacioneve, por ato po trajtohen nga përdoruesit e biznesit të cilët nuk dinë (as që mendojnë) t'i ruajnë siç duhet. Kjo mund të çojë në një mori çështjesh shtesë, duke përfshirë shkeljet e pajtueshmërisë.

Rifitimi i dukshmërisë

Siç u përmend, një nga Sfidat e mëdha me kod të ulët/pa kod është se nuk është nën kompetencën e IT/sigurisë, që do të thotë se të dhënat po përshkojnë aplikacionet. Nuk ka gjithmonë një kuptim të qartë se kush i krijon vërtet këto aplikacione dhe ka një mungesë të përgjithshme të dukshmërisë për atë që po ndodh realisht. Dhe jo çdo organizatë është plotësisht e vetëdijshme për atë që po ndodh. Ose ata mendojnë se zhvillimi qytetar nuk po ndodh në organizatën e tyre, por pothuajse me siguri po ndodh.

Pra, si munden drejtuesit e sigurisë të fitojnë kontrollin dhe të zbusin rrezikun? Hapi i parë është të shikoni iniciativat e zhvilluesve qytetarë brenda organizatës suaj, të zbuloni se kush (nëse dikush) i udhëheq këto përpjekje dhe të lidheni me ta. Ju nuk dëshironi që këto ekipe të ndihen të penalizuara apo të penguara; si një udhëheqës sigurie, qëllimi juaj duhet të jetë të mbështesni përpjekjet e tyre, por të ofroni edukim dhe udhëzime për ta bërë procesin më të sigurt.

Siguria duhet të fillojë me dukshmërinë. Çelësi për këtë është krijimi i një inventari të aplikacioneve dhe zhvillimi i të kuptuarit se kush po ndërton çfarë. Pasja e këtij informacioni do të ndihmojë të siguroheni që nëse ndodh një lloj shkeljeje, do të jeni në gjendje të gjurmoni hapat dhe të kuptoni se çfarë ndodhi.

Krijoni një kornizë për atë se si duket zhvillimi i sigurt. Kjo përfshin politikat e nevojshme dhe kontrollet teknike që do të sigurojnë që përdoruesit të bëjnë zgjedhjet e duhura. Edhe zhvilluesit profesionistë bëjnë gabime kur bëhet fjalë për të dhëna të ndjeshme; është edhe më e vështirë ta kontrollosh këtë me përdoruesit e biznesit. Por me kontrollet e duhura në vend, mund ta vështirësoni gabimin.

Drejt më të sigurt me kod të ulët/pa kod

Procesi tradicional i kodimit manual ka penguar inovacionin, veçanërisht në skenarët konkurrues nga koha në treg. Me platformat e sotme me kod të ulët dhe pa kod, edhe njerëzit pa përvojë zhvillimi mund të krijojnë zgjidhje të drejtuara nga AI. Ndërsa kjo ka përmirësuar zhvillimin e aplikacioneve, ajo gjithashtu mund të rrezikojë sigurinë dhe sigurinë e organizatave. Megjithatë, nuk duhet të jetë një zgjedhje midis zhvillimit të qytetarëve dhe sigurisë; Udhëheqësit e sigurisë mund të bashkëpunojnë me përdoruesit e biznesit për të gjetur një ekuilibër për të dy.