A maioria dos desenvolvedores de software não escreve todo o código do zero para os novos projetos, para que você provavelmente não moa ou moa trigo para fazer farinha para o seu pão. Isso pode criar mais problemas de segurança do que resolve. Portanto, os desenvolvedores usam bibliotecas existentes (geralmente projetos de código aberto) para implantar uma variedade de componentes básicos de software.
Essa abordagem é eficiente, mas pode criar exposição e falta de visibilidade ao software. No entanto, cada vez mais, a ascensão da codificação atmosférica está sendo usada de maneira semelhante, permitindo que os desenvolvedores girem rapidamente o código que pode ser simplesmente adaptado, em vez de escrever do zero. No entanto, os pesquisadores de segurança alertam que esse novo gênero de código plug-and-play torna a segurança da cadeia de suprimentos de software ainda mais complicada e perigosa.
“Estamos procurando uma maneira de ajudá -lo a começar”, disse Alex Zenra, diretor de tecnologia da empresa de segurança em nuvem Edera. “E a IA é o pior inimigo em termos de geração de código instável. Se a IA for parcialmente treinada com software antigo, vulnerável ou de baixa qualidade disponível lá, todas as vulnerabilidades que existiam podem ser registradas e relançadas, sem mencionar novas questões”.
Além de sugar dados de treinamento potencialmente instáveis, a realidade da codificação atmosférica é gerar um rascunho aproximado de código que não leva em consideração todos os contextos e considerações específicas de um produto ou serviço específico. Em outras palavras, mesmo que uma empresa treine um modelo local com uma descrição da linguagem natural do código -fonte do projeto e da linguagem natural do alvo, o processo de produção depende da capacidade de um revisor humano encontrar possíveis falhas ou inconsistências no código originalmente gerado pela IA.
“Os grupos de engenharia precisam pensar no ciclo de vida do desenvolvimento na era da codificação da vibração”, disse Eran Kinsbruner, pesquisador da empresa de segurança de aplicativos Chechmarx. “Quando você pede que eles escrevam exatamente o mesmo modelo LLM para um código fonte específico, cada um deles possui saídas ligeiramente diferentes. Um desenvolvedor em sua equipe produzirá uma saída, enquanto os outros desenvolvedores obterão saídas diferentes.
Na pesquisa CheckMarx dos diretores de segurança da informação, gerentes de segurança de aplicativos e agentes de desenvolvimento, um terço dos entrevistados disse que mais de 60% dos códigos organizacionais foram gerados pela IA em 2024. Checkmarx votou em milhares de especialistas e publicou suas descobertas em agosto. Ele também enfatiza que o desenvolvimento da IA dificultou rastrear o código “Propriedade”;
