Báo cáo “Tình trạng toàn cầu của DevSecOps” cho thấy việc ứng dụng trí tuệ nhân tạo vào phát triển phần mềm đã làm gia tăng sự xung đột trong hệ thống bảo mật hiện có. Mặc dù AI mang đến nhiều lợi ích, nhưng nó cũng tạo ra các vấn đề về bảo mật mới. Như mã do AI tạo ra khó kiểm soát và các kết quả kiểm tra bảo mật không rõ ràng. Điều này đòi hỏi các tổ chức phải xây dựng một chiến lược DevSecOps hiệu quả hơn, tự động hóa hơn để đối phó với những thách thức này.
Quan điểm doanh nghiệp về việc ứng dụng AI trong hỗ trợ công việc
Hơn 90% doanh nghiệp đang sử dụng AI trong phát triển hệ thống an ninh mạng. Tuy nhiên, chỉ một số ít cảm thấy tự tin về việc hệ thống vẫn đảm bảo an toàn khi ứng dụng trí tuệ nhân tạo. Vì mã do AI tạo ra – tiềm ẩn nhiều rủi ro về bản quyền và lỗ hổng bảo mật.
Báo cáo “Tình trạng Toàn cầu của DevSecOps” còn cho kết quả chi tiết:
- 27% tổ chức cho kỹ sư phần mềm sử dụng các công cụ AI hỗ trợ để viết mã và sửa đổi dự án
- 43% tổ chức hạn chế việc sử dụng công cụ AI
- Chỉ 5% báo cáo rằng họ chưa áp dụng và chắc chắn rằng các kỹ sư phần mềm của họ không sử dụng công cụ AI
- Báo cáo cũng cho thấy 21% các tổ chức biết một số nhân viên kỹ sư phần mềm đang sử dụng các công cụ AI trong phát triển mã mặc dù có lệnh cấm
Đây là số liệu thống kê đáng lo ngại, sử dụng các công cụ phát triển mã dựa trên AI mà không được ủy quyền là một rủi ro lớn đối với doanh nghiệp. Nếu lập trình viên không hiểu rõ các công cụ AI hoặc code do chúng đề xuất có mang lại nguy cơ độc hại hay không. Thì sẽ gây khó khăn khi điều chỉnh các chương trình DevSecOps nhằm duy trì mức độ bảo mật và tăng năng suất phù hợp.
Thách thức của hệ thống bảo mật khi đánh giá các vấn đề của code do AI tạo ra
- Chỉ có 24% tổ chức được khảo sát trong báo cáo này – bày tỏ sự tự tin cao vào các cơ chế tự động mà họ đã đưa ra – để đánh giá mã do AI tạo
- 41% số người trả lời báo cáo có mức độ tự tin trung bình vào khả năng của họ trong việc tự động kiểm tra code được viết bởi AI
- 20% tổ chức chỉ tự tin một chút, 6% hoàn toàn không tự tin
- 5% họ không quan tâm nhiều đến vấn đề này
Nguồn: Báo cáo “Tình trạng Toàn cầu của DevSecOps”
Trong khi một số tổ chức có thể quản lý các vấn đề về mã do AI tạo ra bằng cơ sở hạ tầng AppSec hiện tại của họ. Các tổ chức khác có thể cần phân bổ thêm nguồn lực bảo mật, hợp nhất những công cụ kiểm tra, tích hợp nhiều cơ chế kiểm tra tự động và thống nhất chính sách trên nhiều dự án.
Cũng cần lưu ý rằng, ngoài các vấn đề bảo mật ứng dụng, phát triển AI có thể gây ra nhiều vấn đề với việc tuân thủ giấy phép liên quan đến phần mềm. Có khả năng gây nguy hiểm cho tài sản trí tuệ bằng cách kết hợp code của bên thứ ba.
Đọc thêm: Bắt kịp xu hướng: DevSecOps – Bí quyết phát triển phần mềm trong kỷ nguyên mới
Lập kế hoạch xây dựng hệ thống bảo mật khi sử dụng hỗ trợ từ công cụ AI
Trước tình hình áp dụng công cụ AI, các tổ chức cần xây dựng một chiến lược “đóng cửa” phòng thủ – tấn công. Hầu hết tất cả tổ chức đã học cách thích ứng với các nguồn mở trong hệ thống có sẵn của họ và xây dựng báo động – để họ có thể vá và cập nhật kịp thời.
Các tổ chức đều có thói quen kiểm tra mã nguồn thường xuyên để phát hiện các điểm yếu và cấu hình không an toàn. Để kết hợp công cụ AI vào các quy trình này, kỹ sư bảo mật và lập trình viên có nhiệm vụ hợp tác với nhau. Bằng cách sử dụng bộ công cụ DevSecOps đáp ứng nhu cầu về hiệu quả và độ tin cậy cao.
Dữ liệu thu thập được từ báo cáo “Tình trạng Toàn cầu của DevSecOps” chỉ ra rằng có bốn cách chính để phát triển chương trình DevSecOps của tổ chức. Nhằm đảm bảo sự an toàn an ninh mạng và phát triển AI trong hệ thống.
- Bảo mật liền mạch
Bằng cách xây dựng bản thử nghiệm và thông tin chi tiết trực tiếp vào các công cụ và luồng công việc. Chương trình DevSecOps làm cho bảo mật trở nên liền mạch.
- Tích hợp và tự động hóa
Bằng cách tích hợp kiểm tra tự động phù hợp với các chính sách bảo mật rủi ro, thiết lập các cổng bảo mật, thắt chặt vòng phản hồi và loại bỏ sự tin tưởng hoàn toàn vào AI.
- Đào tạo nâng cao nhận thức bảo mật của nhân viên (kỹ sư bảo mật/ lập trình viên)
Bằng cách trao quyền cho nhân viên, với nhận thức về rủi ro và hướng dẫn khắc phục do AI cung cấp. Tổ chức giúp nâng cao tiêu chuẩn phản hồi cảnh báo và khắc phục lỗ hổng với tốc độ cao.
- Lập kế hoạch với một chiến lược bền vững
Bằng cách thống nhất các chính sách, thông tin chi tiết và thử nghiệm trên một nền tảng kiểm tra bảo mật ứng dụng linh hoạt. Có thể xây dựng một chiến lược DevSecOps toàn diện phát triển cùng với an ninh của mỗi doanh nghiệp.
Kết luận
Trong tương lai, các tổ chức nhất định sẽ sử dụng hiệu quả luồng công việc công nghệ AppSec của mình, tận dụng trí tuệ nhân tạo một cách hiệu quả và đảm bảo an ninh trong quá trình vận hành. Hành trình DevSecOps đang được AI đẩy nhanh, đòi hỏi các tổ chức phải không ngừng đổi mới. Và thích ứng để đảm bảo an toàn cho phần mềm và tối ưu hóa quy trình phát triển.
