Quatro dicas para proteger o desenvolvimento assistido por GenAI

O Gartner prevê que a IA generativa (GenAI) se tornará uma parceira de trabalho essencial para 90% das empresas até o próximo ano. Mais especificamente, no desenvolvimento de aplicativos, observamos que os desenvolvedores recorrem a assistentes de código, como o GitHub Copilot e o Google Gemini Code Assist, para criar software em uma velocidade sem precedentes. 

A GenAI pode promover novos níveis de produtividade e velocidade, mas também introduz novas ameaças e desafios para as equipes de segurança de aplicativos. Os dados de treinamento utilizados pelos grandes modelos de linguagem (LLMs) contêm tanto código de alta quanto de baixa qualidade, o que os torna tão propensos a introduzir vulnerabilidades e imperfeições quanto desenvolvedores juniores. No entanto, ao contrário de um desenvolvedor júnior, essas tecnologias geram código em questão de segundos.

Além disso, a GenAI não considera políticas organizacionais e práticas recomendadas. Portanto, não consegue adotar regulamentos de conformidade ou diretrizes de segurança específicas da organização. Também é possível que membros da equipe exponham acidentalmente dados confidenciais ao inseri-los em LLMs. 

Como podemos ver, essas novas tecnologias introduzem uma série de desafios de segurança que as equipes devem considerar. As equipes de AppSec de hoje precisam implementar estratégias de expansão para acompanhar a velocidade e amplitude da GenAI e ajudar as equipes de desenvolvimento de hoje sem prejudicar seu desempenho. 

Segurança na velocidade da GenAI

Quais são as melhores maneiras de expandir seu programa de AppSec e alinhá-lo às vantagens e desvantagens dos ciclos de desenvolvimento orientados por GenAI?

A Snyk colaborou com a equipe de especialistas em AppSec da Deloitte para criar um novo guia que ajuda organizações a entender os efeitos do aumento do uso da GenAI. O foco do guia é a expansão da segurança de aplicativos, garantindo a manutenção do crescimento contínuo e o uso seguro da GenAI. Veja a seguir os principais pontos destacados pela Deloitte e Snyk: 

Elimine obstáculos com tecnologia voltada a desenvolvedores 

A grande facilidade de uso das ferramentas de codificação assistida por GenAI atrai os desenvolvedores. Os desenvolvedores digitam um prompt, recebem uma resposta quase instantânea e adicionam o código gerado pela IA ao repositório. Se a segurança atrapalhar esse processo de alguma forma, é mais provável que o desenvolvedor ignore esses controles. Os obstáculos tecnológicos comuns incluem ferramentas de segurança que forçam os desenvolvedores a retroceder, pois as vulnerabilidades são detectadas tarde demais no pipeline, além de interfaces de usuário voltadas a equipes de segurança que obrigam as equipes de desenvolvimento a alternar entre diferentes plataformas para corrigir os problemas. Por outro lado, a incorporação de ferramentas de segurança voltadas para desenvolvedores, perfeitamente integradas aos seus fluxos de trabalho e sincronizadas com as ferramentas de codificação baseadas em IA, incentivará o desenvolvimento de software assistido por GenAI mais seguro.

Use o treinamento para explicar o “porquê” das proteções

Supõe-se que 80% dos desenvolvedores ignoram as medidas de segurança para código gerado por IA, já que tendem a confiar mais na GenAI do que em programadores humanos. Portanto, é essencial treinar esses desenvolvedores sobre por que eles precisam usar ferramentas de segurança em tempo real junto com os assistentes de codificação baseada em IA. As equipes de segurança também devem considerar o treinamento sobre como usar (e NÃO usar) LLMs. Por exemplo, o tipo de dados que os desenvolvedores podem copiar e colar em um prompt. 

Crie processos que funcionem em conjunto com a GenAI

Sua equipe provavelmente já percebeu como a GenAI aumenta o volume de código que entra nos repositórios. Como resultado, é mais importante do que nunca estabelecer processos diretos para encontrar e corrigir problemas de segurança com agilidade suficiente para acomodar esse aumento no volume de código. Considere refinar e fortalecer os processos de comunicação entre equipes de desenvolvimento e segurança, revisões de verificação de código e priorização de vulnerabilidades. 

Atualize políticas para considerar as ferramentas de GenAI

Também é importante definir políticas claras sobre a GenAI. Políticas adequadas elevam o padrão de uso da IA pelas equipes em seus fluxos de trabalho diários, exigindo pontos de verificação de segurança robustos. Alguns exemplos de políticas de IA incluem orientações sobre casos de uso aceitáveis, seleção e uso de dados, privacidade e segurança de dados e relação com requisitos de conformidade regulatória. Também é uma boa ideia definir uma frequência de atualização dessas políticas para acompanhar as novas ferramentas que chegam à organização e a contínua evolução das práticas de desenvolvimento. 

Expansão do programa de AppSec para enfrentar os desafios da IA

Ao estabelecer uma base sólida de políticas e proteções de IA, sua equipe prepara a organização para o sucesso com as futuras iterações e evoluções dessas tecnologias. A combinação dos serviços de automação e orquestração de Security by Design da Deloitte com uma plataforma de segurança de aplicativos que permite encontrar e corrigir automaticamente problemas como vulnerabilidades críticas e exploits de dia zero no início do ciclo de vida do desenvolvimento capacita as organizações a: 

• Ampliar a segurança de aplicativos em todo o ciclo de vida do desenvolvimento de software e automatizar fluxos de trabalho usando uma única plataforma 

• Integrar ferramentas e processos automatizados para maior adoção pelos desenvolvedores 

• Utilizar ferramentas de segurança e automação baseadas em IA para permitir que desenvolvedores e equipes de segurança trabalhem juntos na correção de novos problemas em uma fração do tempo normalmente necessário, bem como reduzir o risco

• Obter ajuda para correção de vulnerabilidades a fim de reduzir pendências

• Acelerar a integração e adoção com a implementação rápida e consistente de uma plataforma de segurança de aplicativos para proteger código próprio, incluindo código criado por assistentes de codificação baseada em IA, suas dependências de código aberto e seus contêineres e infraestrutura como código.

Para saber mais sobre como expandir seu programa de segurança de aplicativos para enfrentar os novos desafios do desenvolvimento orientado por GenAI, baixe nosso documento técnico Segurança de aplicativos em grande escala para GenAI.