انضم إلى كبار المديرين التنفيذيين في سان فرانسيسكو يومي 11 و 12 يوليو ، لمعرفة كيف يدمج القادة استثمارات الذكاء الاصطناعي ويحسنونها لتحقيق النجاح. يتعلم أكثر
سلسلة توريد البرمجيات هي البنية التحتية للعالم الحديث – لذا لا يمكن المبالغة في أهمية تأمينها.
ومع ذلك ، فإن هذا الأمر معقد بسبب حقيقة أنه منتشر ومتباين للغاية ، حيث يجمع بين العديد من التعليمات البرمجية والأدوات مفتوحة المصدر. في الواقع ، يقدر أن 97٪ من التطبيقات تحتوي على كود مفتوح المصدر.
لكن الخبراء يقولون إن أدوات الذكاء الاصطناعي المتطورة بشكل متزايد مثل ChatGPT ونماذج اللغات الكبيرة الأخرى (LLMs) هي نعمة لأمن سلسلة إمداد البرامج – من اكتشاف الثغرات الأمنية وإدارتها ، إلى تصحيح الثغرات الأمنية وجمع المعلومات الاستخبارية في الوقت الفعلي.
قالت Mikaela Pisani-Leal ، رئيسة ML في شركة Rootstrap لتطوير المنتجات ، “توفر هذه التقنيات الجديدة إمكانيات مثيرة لتحسين أمان البرامج ، ومن المؤكد أنها ستصبح أداة ذات أهمية متزايدة للمطورين والمتخصصين في مجال الأمن.”
حدث
تحويل 2023
انضم إلينا في سان فرانسيسكو يومي 11 و 12 يوليو ، حيث سيشارك كبار المسؤولين التنفيذيين في كيفية دمج استثمارات الذكاء الاصطناعي وتحسينها لتحقيق النجاح وتجنب المزالق الشائعة.
سجل الان
تحديد نقاط الضعف التي لم نشهدها بطريقة أخرى
بالنسبة للمبتدئين ، يقول الخبراء ، يمكن استخدام الذكاء الاصطناعي لتحديد نقاط الضعف بسرعة ودقة أكبر في التعليمات البرمجية مفتوحة المصدر.
أحد الأمثلة على ذلك هو DroidGPT من Endor Labs منصة أداة مطور مفتوحة المصدر. تمتلئ الأداة بنتائج المخاطر التي تكشف عن جودة كل حزمة برامج وشعبيتها ومصداقيتها وأمانها ، وفقًا للشركة. يمكن للمطورين التشكيك في صلاحية التعليمات البرمجية لـ GPT بطريقة محادثة. على سبيل المثال:
- “ما هي أفضل حزم التسجيل لجافا؟”
- “ما الحزم في Go التي لها وظيفة مماثلة لـ log4j؟”
- “ما الحزم المشابهة لـ go-memdb؟”
- “ما هي حزم Go التي تحتوي على أقل نقاط الضعف المعروفة؟”
بشكل عام ، يمكن لأدوات الذكاء الاصطناعي مثل هذه مسح الكود بحثًا عن نقاط الضعف على نطاق واسع ويمكن أن تتعلم تحديد نقاط الضعف الجديدة عند ظهورها ، كما أوضح مارشال جونغ ، مهندس الحلول الرئيسي في شركة تابنين لمنصة التطوير والتعليمات البرمجية للذكاء الاصطناعي. وأكد أن هذا بالطبع بمساعدة بعض المشرفين البشريين.
وقال إن أحد الأمثلة على ذلك هو المشفر التلقائي ، أو أسلوب التعلم غير الخاضع للإشراف باستخدام الشبكات العصبية للتعلم التمثيلي. والآخر هو آلات ناقلات الدعم من فئة واحدة (SVM) ، أو النماذج الخاضعة للإشراف مع الخوارزميات التي تحلل البيانات من أجل التصنيف والانحدار.
من خلال تحليل الكود الآلي هذا ، يمكن للمطورين تحليل التعليمات البرمجية بحثًا عن نقاط الضعف المحتملة بسرعة وبدقة ، وتقديم اقتراحات للتحسينات والإصلاحات ، كما قال بيساني ليل. وقالت إن هذه العملية الآلية مفيدة بشكل خاص في تحديد المشكلات الأمنية الشائعة مثل فيض المخزن المؤقت وهجمات الحقن والعيوب الأخرى التي يمكن لمجرمي الإنترنت استغلالها.
وبالمثل ، يمكن أن تساعد الأتمتة في تسريع عملية الاختبار من خلال السماح بإجراء اختبارات التكامل والاختبارات الشاملة بشكل مستمر وتحديد المشكلات في الإنتاج بسرعة. وقالت أيضًا ، من خلال أتمتة مراقبة الامتثال (مثل اللائحة العامة لحماية البيانات و HIPAA) ، يمكن للمنظمات تحديد المشكلات في وقت مبكر وتجنب الغرامات باهظة الثمن والإضرار بالسمعة.
قالت Pisani-Leal: “من خلال أتمتة الاختبار ، يمكن للمطورين أن يكونوا واثقين من أن شفراتهم آمنة وقوية قبل نشرها”.
تصحيح نقاط الضعف والذكاء في الوقت الحقيقي
علاوة على ذلك ، يمكن استخدام الذكاء الاصطناعي لتصحيح الثغرات الأمنية في التعليمات البرمجية مفتوحة المصدر ، كما قال يونغ. يمكنه أتمتة عملية تحديد التصحيحات وتطبيقها عبر الشبكات العصبية لمطابقة أنماط معالجة اللغة الطبيعية (NLP) أو KNN في عمليات تضمين الكود ، مما يوفر الوقت والموارد.
وقال ربما الأهم من ذلك ، أنه يمكن استخدام الذكاء الاصطناعي لتثقيف المطورين حول أفضل الممارسات الأمنية. يمكن أن يساعد ذلك المطورين على كتابة تعليمات برمجية أكثر أمانًا وتحديد الثغرات الأمنية والتخفيف من حدتها.
قال Jung: “أعتقد أن هذا هو المكان الذي تتألق فيه تقنيات LLM حقًا”.
عند التدريب على مستودعات آمنة ومراجعة ، يمكن لأدوات LLM AI التوصية بأفضل الممارسات للمطورين في الوقت الفعلي ، مما يلغي الحاجة إلى اكتشاف الثغرات الأمنية وإصلاحها في طلب السحب / الدمج التلقائي (PR / MR).
قال جونغ: “درهم وقاية خير من قنطار من الإصلاحات ، كما يقولون”.
وضع GPT في اختبار الأمان
قال جيسون كينت ، المتسلل المقيم في منصة أمان Cequence Security ، إن ظهور LLMs بما في ذلك GPT-4 و ChatGPT يمكّن المطورين من اختبار أمان المشاريع مفتوحة المصدر – ويسفر بسرعة كبيرة عن نتائج عالية الجودة.
وقال إنه من المنطقي أن تحدث الأتمتة من جانب المستخدم (وليس بطريقة تنازلية). يمكن إحضار LLM إلى مشروع مفتوح المصدر ؛ يمكنه معالجته واقتراحه ونشره تلقائيًا داخليًا ؛ ثم يمكن للنظام أن يستهلك إخراج ChatGPT ودمج ذلك في المشروع.
قال كينت: “يمكن أن يكون سير عمل رائعًا من شأنه أن يخلق مشروعًا أفضل بكثير على المدى الطويل”.
كجزء من هذه العملية ، يمكن للمطورين الاستمرار في سؤال ChatGPT إذا كانت التعليمات البرمجية أو المكتبات آمنة.
وضع كينت هذا على المحك ، وطلب من ChatGPT تحليل بعض التعليمات البرمجية وتحديد أي عيوب وكيفية إصلاحها:
“هل ترى أي خطأ في هذا؟ String pw = “123456” ؛ // قد يأتي هذا من استعلام سلسلة المستخدم = “SELECT * من المستخدمين حيث الاسم = ‘USER'” + “وكلمة المرور =” “+ pw +” “
أجاب ChatGPT ، “نعم ، هناك مشكلات أمنية محتملة في مقتطف الشفرة هذا.”
أوضح النموذج أن الكود كان يربط (يربط) سلسلة مقدمة من المستخدم pw مباشرة في استعلام SQL دون أي تحقق من صحة الإدخال أو تعقيمه.
قال النموذج: “هذا يجعل الكود عرضة لهجمات حقن SQL ، حيث يمكن للمهاجم التلاعب بإدخال المستخدم لتنفيذ تعليمات برمجية SQL ضارة وربما يعرض قاعدة البيانات للخطر.”
يتمثل النهج الأفضل ، وفقًا لـ ChatGPT ، في استخدام العبارات المعدة والاستعلامات ذات المعلمات لتمرير مدخلات المستخدم بأمان إلى استعلام SQL. تسمح Java ، على سبيل المثال ، للمستخدمين بتقديم PreparedStatement لإنشاء استعلامات ذات معلمات. (ثم قدم ChatGPT مثالاً.)
قال كينت: “لا تدعني أفرط في بيع هذا ، فهو ليس مثاليًا”. “لقد تعلمت من البشر بعد كل شيء. ولكن ، ماذا لو تمكنا من تنفيذ مشروع مفتوح المصدر وإزالة 80٪ من نقاط الضعف فيه؟ “
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
