Sería bueno tener sofisticados herramientas de ciberseguridad para ayudar a detectar vulnerabilidades, pero la seguridad del código aún debe comenzar cuando los desarrolladores comprendan correctamente los conceptos básicos.
Este enfoque en los fundamentos significa adherirse a los fundamentos, como encender Autenticación de dos factores (2FA) y adoptar estándares y mejores prácticas de la industria, dijo Mike Hanley, director de seguridad (CSO) de GitHub y vicepresidente senior de ingeniería.
También: Los mejores servicios VPN (y cómo elegir el adecuado para ti)
La plataforma de desarrollo de software propiedad de Microsoft tiene más de 100 millones de usuarios y sufre una buena cantidad de ciberataques dirigidos. Sin embargo, la forma de estos ataques no ha cambiado significativamente durante la última década. La mayoría de estos intentos son ataques de phishing y de ingeniería social, cuyo objetivo es apoderarse de las credenciales y cuentas de los mantenedores del software, así como explotar las vulnerabilidades de las aplicaciones web.
Dado que los ciberdelincuentes siguen en gran medida las mismas tácticas, es fundamental que la seguridad comience con el desarrollador. «Se pueden comprar herramientas para prevenir y detectar vulnerabilidades, pero lo primero que hay que hacer es ayudar a los desarrolladores a asegurarse de que están creando aplicaciones seguras», dijo Hanley en una entrevista en vídeo con ZDNET.
También: Los mejores administradores de contraseñas para evitar problemas de inicio de sesión
A medida que se construyen las principales herramientas de software, incluidas aquellas que impulsan las llamadas de videoconferencia y los automóviles autónomos, y sus bibliotecas se ponen a disposición en GitHub, si las cuentas de las personas que mantienen estas aplicaciones no están protegidas adecuadamente, los piratas informáticos malintencionados pueden apoderarse de estas cuentas y comprometer una biblioteca.
El daño puede ser de gran alcance y provocar otro incumplimiento de terceroscomo personas como Vientos solares y Log4j, El lo notó. Hanley se unió a GitHub en 2021 y asumió el rol recién creado de CSO como noticia colosal. Ataque de vientos solares desparramar.
«Todavía le decimos a la gente que active 2FA… obtener lo básico es una prioridad», dijo.
Señaló los esfuerzos de GitHub para exigir el uso de 2FA para todos los usuarios, proceso que se viene trabajando desde hace un año y medio y que finalizará a principios de este año.
También: ¿Qué son las claves de acceso? La magia que cambia la vida al no tener contraseñas
Ahora que el mercado de la seguridad está inundado de ofertas «llamativas», puede resultar fácil para los profesionales pasar por alto la necesidad de un simple cerrojo en la puerta.
El controles básicos serán más efectivos para proteger el entorno de una organización, junto con la adopción de estándares y mejores prácticas de la industria, dijo. Estas prácticas incluyen Puntos de referencia publicados por Cloud Security Alliance y Estándar de aplicaciones seguras de Singapurque se basa en prácticas de seguridad básicas de «sentido común» y aportes de organizaciones públicas y privadas para ayudar a centrarse en los componentes más esenciales.
Redefiniendo el desarrollo de giro a la izquierda con IA
Inteligencia artificial (IA), incluyendo IA generativatambién está surgiendo como un compañero importante para los desarrolladores de software, particularmente en la identificación de vulnerabilidades potenciales mientras escriben su código, según Hanley.
También: Cómo usar ChatGPT para escribir código
La IA redefine el modelo de desplazamiento a la izquierda y ayuda a evitar que los desarrolladores escriban vulnerabilidades en su código desde el principio, afirmó.
El enfoque de desplazamiento a la izquierda implica probar el software en una fase más temprana del ciclo de vida de desarrollo, de modo que su calidad pueda evaluarse y perfeccionarse durante toda la etapa de desarrollo.
Dado que las vulnerabilidades del software a menudo se descubren después de que los códigos se hacen públicos (y a veces pasan años antes de que se descubran, como en el caso de Log4j), la capacidad de la IA para identificar y proporcionar sugerencias para solucionar posibles vulnerabilidades antes de que el software se publica es un punto de inflexión para los desarrolladores, afirmó Hanley.
De acuerdo a investigación de GitClearque analizó 153 millones de líneas de código modificadas escritas entre 2020 y 2023, se prevé que la proporción de códigos que se revierten o actualizan menos de dos semanas después de su escritura se duplicará este año en comparación con 2021.
También: ¿Implementar IA en la ingeniería de software? Aquí tienes todo lo que necesitas saber
Al señalar la herramienta de desarrollo de software asistida por IA de GitHub, Copilot, Hanley dijo que la tecnología tiene como objetivo no sólo ayudar a los desarrolladores a escribir código, sino también revisarlo y corregirlo.
Copiloto de GitHub se promociona para proporcionar sugerencias de código que están alineadas con el contexto y las convenciones de estilo de un proyecto, ofreciendo a los desarrolladores la capacidad de decidir qué aceptar, rechazar o editar. La herramienta se puede integrar con otros editores, como Visual Studio y Neovim, y puede sugerir sintaxis y código en varios lenguajes, incluidos Python, JavaScript, Ruby y C#.
Presentado por primera vez en octubre de 2021, GitHub Copilot es utilizado actualmente por más de un millón de desarrolladores y 20.000 organizaciones, dijo el director ejecutivo de GitHub, Thomas Dohmke, en un Publicación de junio de 2023. La herramienta asistida por IA ha generado más de tres mil millones de líneas de códigos aceptadas.
En promedio, sus usuarios han aceptado casi el 30% de las sugerencias de código, y esta cifra aumenta a medida que los desarrolladores se familiarizan con la herramienta, dijo Dohmke, citando un análisis de muestra de 934,533 usuarios de GitHub Copilot.
Con base en la tasa de productividad del 30% y una proyección de 45 millones de desarrolladores en 2030, dijo que las herramientas de desarrollo de IA generativa pueden agregar potencialmente 15 millones de «desarrolladores efectivos» a la capacidad global para 2030, impulsando el PIB en más de 1,5 billones de dólares.
También: Cómo el desarrollo de código asistido por IA puede hacer que su trabajo de TI sea más complicado
Los usuarios de GitHub Copilot también informan que codifican un 55% más rápido con la herramienta, señaló, y agregó que el 46% de los códigos se completaron con la tecnología impulsada por IA en los archivos donde se activó.
Sin embargo, al igual que los automóviles autónomos, las herramientas de desarrollo asistidas por IA no reemplazan a los desarrolladores humanos ni a los procesos de revisión de códigos, dijo Hanley. Son herramientas complementarias y, como sugiere el apodo, los copilotos de los desarrolladores de software son más eficaces cuando trabajan junto con sus homólogos humanos.
