Y hacer que la IA generativa utilice automáticamente prácticas y mecanismos seguros contribuye a un entorno de codificación más seguro, afirma Robinson. «Los beneficios se extienden a una mejor estructuración del código, explicaciones mejoradas y un proceso de prueba optimizado, lo que en última instancia reduce la carga de prueba en los equipos de DevSecOps».
Algunos desarrolladores piensan que ya llegamos allí. De acuerdo a un informe publicado en noviembre por Snyk, una plataforma de seguridad de códigos, el 76% de los profesionales de la tecnología y la seguridad dicen que el código de IA es más seguro que el código humano.
Pero, al menos hoy, esa sensación de seguridad podría ser una ilusión y, además, peligrosa. según un trabajo de investigación de stanford Actualizado por última vez en diciembre, los desarrolladores que usan un asistente de codificación de IA escribieron “código significativamente menos seguro”, pero también eran más propensos a creer que escribieron código seguro que aquellos que no usaron IA. Además, las herramientas de codificación de IA a veces sugerían bibliotecas inseguras y los desarrolladores aceptaban las sugerencias sin leer la documentación de los componentes, dijeron los investigadores.
De manera similar, en la propia encuesta de Snyk, el 92% de los encuestados estuvo de acuerdo en que la IA genera sugerencias de código inseguro al menos parte del tiempo, y una quinta parte dijo que genera problemas de seguridad «con frecuencia».
Sin embargo, aunque el uso de IA generativa acelera la producción de código, sólo el 10% de los encuestados dice que ha automatizado la mayoría de sus controles y escaneos de seguridad, y el 80% dice que los desarrolladores de sus organizaciones eluden por completo las políticas de seguridad de IA.
De hecho, con la adopción de herramientas de codificación de IA generativa, más de la mitad de las organizaciones no han cambiado sus procesos de seguridad de software. De los que lo hicieron, el cambio más común fue la realización de auditorías de código más frecuentes, seguidas de la implementación de la automatización de la seguridad.
Todo este código generado por IA todavía necesita someterse a pruebas de seguridad, afirma Worthington de Forrester. En particular, las empresas deben asegurarse de contar con herramientas implementadas e integradas para verificar todo el código nuevo y verificar las bibliotecas y las imágenes de contenedores. «Estamos viendo una mayor necesidad de herramientas DevSecOps debido a la IA generativa».
La IA generativa puede ayudar al equipo de DevSecOps a escribir documentación, añade Worthington. De hecho, generar texto fue el primer caso de uso de ChatGPT. La IA generativa es particularmente buena para crear primeros borradores de documentos y resumir información.
Por lo tanto, no sorprende que el informe sobre el estado de DevOps de Google muestre que la IA tuvo un impacto 1,5 veces mayor en el desempeño organizacional como resultado de las mejoras en la documentación técnica. Y, según la encuesta de CoderPad, la documentación y el soporte de API son el cuarto caso de uso más popular para la IA generativa, y más de una cuarta parte de los profesionales de la tecnología la utilizan para este propósito.
También puede funcionar al revés, ayudando a los desarrolladores a revisar la documentación más rápidamente. “Cuando codificaba mucho, pasaba gran parte de mi tiempo investigando documentación”, dice Ben Moseley, profesor de investigación de operaciones en la Universidad Carnegie Mellon. “Si pudiera acceder rápidamente a esa información, realmente me ayudaría.
IA generativa para pruebas y control de calidad
La IA generativa tiene el potencial de ayudar a los equipos de DevSecOps a encontrar vulnerabilidades y problemas de seguridad que las herramientas de prueba tradicionales pasan por alto, explicar los problemas y sugerir soluciones. También puede ayudar a generar casos de prueba.
Algunas fallas de seguridad todavía tienen demasiados matices para que estas herramientas las detecten, dice Moseley de Carnegie Mellon. «Para esas cosas desafiantes, aún necesitarás gente que las busque, necesitarás expertos para encontrarlas». Sin embargo, la IA generativa puede detectar errores estándar.
Y, según la encuesta de CoderPad, alrededor del 13% de los profesionales de la tecnología ya utilizan la IA generativa para realizar pruebas y garantizar la calidad. Carm Taglienti, directora de datos y directora de cartera de datos e IA de Insight, espera que pronto veamos la adopción de sistemas de IA generativos entrenados a medida en bases de datos de vulnerabilidades. «Y un enfoque a corto plazo es tener una base de conocimientos o bases de datos vectoriales con estas vulnerabilidades para aumentar mis consultas particulares», dice.
Una pregunta más importante para las empresas será la automatización de la funcionalidad de la IA generativa y en qué medida se debe tener a los humanos al tanto. Por ejemplo, si la IA se utiliza para detectar vulnerabilidades del código en las primeras etapas del proceso. «¿Hasta qué punto puedo permitir que la herramienta corrija automáticamente el código?» pregunta Taglienti. La primera etapa es hacer que la IA generativa produzca un informe sobre lo que ve, luego los humanos pueden regresar y hacer cambios y correcciones. Luego, al monitorear la precisión de las herramientas, las empresas pueden comenzar a generar confianza para ciertas clases de correcciones y comenzar a avanzar hacia la automatización total. «Ese es el ciclo en el que la gente debe entrar», dice Taglienti a CSO.
De manera similar, para escribir casos de prueba, la IA necesitará humanos para guiar el proceso, afirma. «No deberíamos escalar permisos a áreas administrativas; crear casos de prueba para eso».
La IA generativa también tiene el potencial de usarse para interrogar a todo el entorno de producción, afirma. «¿El entorno de producción cumple con estos conjuntos de vulnerabilidades conocidas relacionadas con la infraestructura?» Ya existen herramientas automatizadas que comprueban cambios inesperados en el entorno o la configuración, pero la IA generativa puede verlo desde una perspectiva diferente, afirma. “¿NIST cambió sus especificaciones? ¿Se ha identificado una nueva vulnerabilidad?
Necesidad de políticas internas de IA generativa
Curtis Franklin, analista principal de gestión de seguridad empresarial en Omdia, dice que habla con profesionales de desarrollo en grandes empresas y están utilizando IA generativa. Y también lo son los desarrolladores y consultores independientes y los equipos más pequeños. «La diferencia es que las grandes empresas han elaborado políticas formales sobre cómo se utilizará», le dice a CSO. “Con pautas reales sobre cómo se debe verificar, modificar y probar antes de que cualquier código que haya pasado por la IA generativa pueda usarse en producción. Mi sensación es que este marco formal para el aseguramiento de la calidad no existe en las empresas más pequeñas porque son gastos generales que no pueden afrontar”.
A largo plazo, a medida que los generadores de códigos de IA mejoren, tienen el potencial de mejorar la seguridad general del software. El problema es que vamos a llegar a un peligroso punto de inflexión, dice Franklin. «Cuando los motores y modelos de IA generativa lleguen al punto en el que generen consistentemente código que sea bastante bueno, los equipos de desarrollo se verán presionados a asumir que lo bastante bueno es suficientemente bueno», afirma Franklin. “Y es ese punto en el que es más probable que las vulnerabilidades pasen sin ser detectadas ni corregidas. Esa es la zona de peligro”.
Mientras los desarrolladores y gerentes sean lo suficientemente escépticos y cautelosos, la IA generativa será una herramienta útil, afirma. «Cuando el nivel de precaución cae, se vuelve peligroso, de la misma manera que hemos visto en otras áreas, como los abogados que entregaron escritos generados por AI que incluían citaciones de casos que no existían».