4 Best Practices für sichere Entwicklung mit generativer KI

Schon im kommenden Jahr, so eine Prognose von Gartner, wird generative KI bei 90 % aller Unternehmen ein zentrales Element ihrer Arbeitspraxis bilden. In der Anwendungsentwicklung gilt dies umso mehr: Coding-Assistenten wie GitHub Copilot oder Gemini Code Assist, die GenAI-Lösung von Google, halten zunehmend Einzug in Developer-Workflows und beschleunigen die Software-Entwicklung in nie dagewesenem Ausmaß. 

Generative KI hebt jedoch nicht nur Produktivität und Release-Taktung auf ein neues Niveau, sondern bringt auch neue Bedrohungen und Herausforderungen für AppSec-Teams mit sich. Grund hierfür ist, dass die Trainingsdaten von Large Language Models (LLMs) Code-Bestände von guter und schlechter Qualität gleichermaßen beinhalten. Entsprechend kann der Output genauso leicht Schwachstellen oder andere Mängel aufweisen wie Code, der von unerfahrenen Entwicklern geschrieben wurde. Im Gegensatz zu Letzteren können diese Technologien jedoch Code im Sekundentakt generieren.

Zudem sind generativer KI Richtlinien und Best Practices fremd, die womöglich in einem Unternehmen gelten. Compliance-Bestimmungen kann sie also ebenso wenig erfüllen wie spezifische Security-Rahmenwerke. Hinzu kommt das Risiko eines unachtsamen Moments, in dem sensible Daten durch eine versehentliche Eingabe ins Sichtfeld von LLMs gelangen. 

Die neuen Technologien sind also mit einer ganzen Bandbreite an Security-Herausforderungen verbunden, die es berücksichtigen gilt. AppSec-Teams sind daher gefordert, durch skalierbare Security Anschluss an die Schnelligkeit und Auswahlbreite generativer KI zu halten – mit Strategien, die Dev-Teams bei der Umsetzung unterstützen, ohne sie auszubremsen. 

Security-Agilität auf Augenhöhe mit generativer KI

Doch wie lässt es sich am besten bewerkstelligen, AppSec-Programme skalierbar zu gestalten und dabei den Spezifika GenAI-gestützter Dev-Cycles Rechnung zu tragen?

Gemeinsam mit den Experten der AppSec-Sparte von Deloitte haben wir dies eingehend untersucht und in einem neuen Guide zusammengefasst. Als umfassende Richtschnur zum Verständnis, wie sich die zunehmende Nutzung generativer KI auswirkt, vermittelt er Klarheit darüber, wie sich adäquate AppSec-Skalierung in diesem Kontext gestalten lässt. Im Folgenden finden Sie die wichtigsten Erkenntnisse hierzu und dahingehend, wie sich dabei auch die Nutzung von generativer KI sicher ausweiten lässt. 

Ersatz von Tooling-Hemmschuhen durch Dev-First-Technologie 

GenAI-gestützte Coding Tools punkten bei Entwicklern durch den Reiz enormer Einfachheit: Prompt eingeben, Antwort erhalten, und schon können sie den neu generierten Code in ihr Repository einspielen. Security-Kontrollen, die dabei in irgendeiner Weise als Hemmschuh wirken, werden so möglicherweise gleich ganz umgangen. Klassische Kandidaten hierfür sind Security-Tools, die Schwachstellen erst in vorangeschritten Phasen der Pipeline aufdecken und Entwickler so dazu zwingen, im Nachgang Hand anzulegen. Ebenfalls zu nennen sind hier UIs mit Fokus auf Security-Teams, bei denen Entwickler zur Behebung von Problemen zwischen Plattformen hin und her wechseln müssen. Genau anders herum verhält es sich mit Dev-First Security-Tooling, das sich nahtlos in ihre Workflows einpassen lässt und parallel zu KI-Coding-Tools arbeitet: Es motiviert Entwickler eher dazu, die Sicherheit des KI-Outputs zu kontrollieren.

Schulungen zu Zweck und Nutzen von Kontrollmechanismen

KI-generierter Code wird in Dev-Kreisen eher unkritisch gesehen. Entsprechend lax gehen sie mit Maßnahmen für seine Absicherung um: Laut einer von uns durchgeführten Studie umgehen 80 % der Entwickler diese, da sie KI-Code sogar als vertrauenswürdiger erachten als solchen aus menschlicher Feder. Daher ist es unerlässlich, ihnen klar zu vermitteln, warum der Einsatz von KI-Coding-Assistenten stets durch Echtzeit-Scans zu flankieren ist. Schulungsbedarf besteht womöglich auch zum Umgang mit LLMs: Was erlaubt ist und wo die rote Linie etwa auch im Hinblick darauf anfängt, welche Daten in Prompts kopiert werden dürfen. 

Prozesse am Puls generativer KI

Wie Ihnen ein Blick auf Ihre Repositories womöglich schon verraten hat, nimmt das Code-Volumen, mit der generative KI sie befüllt, eine völlig neue Größenordnung an. Daher ist es wichtiger als je zuvor, unkomplizierte Prozesse zur Erkennung und Behebung von Sicherheitsproblemen zu gestalten, die agil genug sind, um damit Schritt zu halten. Effizientere Kommunikation zwischen Dev- und Security-Teams ist hier ein Knackpunkt. Ebenso wichtige Stellschrauben bilden aber Code-Scans und -Reviews sowie die Behebung von Schwachstellen nach Priorität. 

Policy-Abstimmung auf GenAI-Tools

Klare Richtlinien zur Nutzung generativer KI bilden ein weiteres entscheidendes Puzzlestück. Sind sie richtig angelegt, entstehen hohe Standards zur KI-Nutzung im Tagesgeschäft. Gesteuert wird dies durch stringente Kontrollvorgaben. So geben sie etwa klare Leitlinien zur akzeptablen Nutzung vor, bestimmen das Spektrum auswählbarer Datenbestände und deren Nutzung, regeln Datenschutz und -sicherheit und bilden Compliance-Anforderungen ab. Empfehlenswert ist zudem, sie in regelmäßiger Taktung zu aktualisieren, damit sie neuen Tools, die in Ihre Workflows Einzug halten, ebenso Rechnung tragen können wie der Entwicklungsdynamik zugrunde liegender Methodiken. 

Bereit für KI-Herausforderungen durch Skalierung Ihres AppSec-Programms

Mit starken KI-Richtlinien und präzisen Leitschienen kann Ihr Team das nötige Fundament legen, um Ihrem Unternehmen zur erfolgreichen Nutzung dieser Technologien zu verhelfen und auch für künftige Entwicklungen gewappnet zu sein. Eine Kernsäule bilden darauf aufbauend Services zur Automatisierung und Orchestrierung gemäß „Secure by Design“ Framework von Deloitte im Verbund mit einer AppSec-Plattform, mit der sich Probleme wie kritische und Zero-Day-Schwachstellen automatisch noch in den Frühphasen des SDLC aufspüren und beheben lassen. So wird Folgendes möglich: 

• Verlässliche AppSec-Ausweitung und -Skalierung über das gesamte SDLC hinweg durch Workflow-Automatisierung in einer zentralen Plattform 

• Förderung der Developer Adoption durch integrierte Tools und automatisierte Prozesse 

• Risikomitigierung mit Dev- und Security-Teams als Erfolgspartner durch Einsatz KI-gestützter Security-Tools und Automatisierung zur Behebung von Problemen direkt bei ihrem Auftreten und in einem Bruchteil der bis dato dafür benötigten Zeit

• Abbau von Schwachstellen-Backlogs durch Zugang zu Fixing-Unterstützung

• Onboarding- und Adoption-Effizienz dank schneller, konsistenter Bereitstellung einer AppSec-Plattform zur Absicherung von in Eigenregie geschriebenem ebenso wie KI-generiertem Code sowie von Open-Source-Abhängigkeiten, Containern und Infrastructure as Code

Sie möchten mehr darüber erfahren, wie Sie ein AppSec-Programm gestalten, das neue Herausforderungen in Zeiten GenAI-gestützter Entwicklung skalierbar adressiert? Dann lesen hier den kompletten Guide, um von der ganzen Bandbreite der Insights von Synk und Deloitte zu profitieren.