Yazılım tedarik zinciri güvenliği yeterince zordu. Daha sonra yapay zeka derleme hattına katıldı.
Beş yıl boyunca "yazılım tedarik zinciri güvenliği" tek bir soru anlamına geliyordu: Kodunuzda ne var? Hangi açık kaynak paketleri, hangi versiyonları, kimsenin bilerek seçmediği üç katman derinliğindeki hangi geçişli bağımlılıklar?
SolarWinds, Log4Shell ve XZ Utils'in hepsi aynı dersi verdi: Risk, bir ekibin yazdığı kodda daha az, onu üreten her şeyde ise daha fazladır. Bu yıl geliştirici araç zincirleri aracılığıyla yayılan, kendi kendine yayılan kötü amaçlı paket kampanyası Shai-Hulud, bir sonrakini öğretti: Kodunuzda ne olduğunu bilmek hala gerekli, ancak artık yeterli değil.
Model Bağlam Protokolü'nün başlatılmasından bu yana geçen yaklaşık 20 ay içinde yapay zeka araçları, modelleri ve bunların etrafındaki altyapı, yazılımın nasıl oluşturulduğu, dağıtıldığı ve çalıştırıldığı konusunda yük taşıyan parçalar haline geldi. Kod aracılar tarafından yazılır. Paketler, ihtiyaç duyulduğuna karar veren otonom araçlar tarafından alınır. İstemler yapıya gerçek bir girdi haline geldi, bu da onların onu tehlikeye atmanın gerçek bir yolu olduğu anlamına geliyor. Çoğu güvenlik programı tasarlandığında bunların hiçbiri kapsam dahilinde değildi.
Riskin gerçekte nereye taşındığı
Yapay zeka tarafından oluşturulan kodu yalnızca daha fazla kod olarak ele almak, onu aynı tarayıcılardan geçirmek ve kapsam dahilinde olduğunu söylemek cazip geliyor. Bu, riskin nereye taşındığını yanlış okuyor.
Tedarik zinciri güvenliğini her zaman tanımlayan kaynak sorusu - bu nereden geldi ve ona güvenebilir miyim - artık yalnızca yapı için değil model, aracı ve araçlar için de geçerlidir. Bir AI kodlama asistanı bir bağımlılık önerir ve geliştirici, paket bir insanın tehdit modelini aşmadan bunu kabul eder. Otonom bir aracı, bir görevi tamamlamak için MCP üzerinden bir araca ulaşır ve bu araç bir başkasına ulaşır. Bir saldırgan tarafından oluşturulan ve modelin okuyacağı bir yere yerleştirilen bir bilgi istemi, neyin yazılacağını veya neyin alınacağını yönlendirir.
Detaylar ve Etkileri
Yapay zeka tarafından oluşturulan kodun işlenmeden önce doğrulanması masa bahisleridir. Daha zor olan sorun, yazıyı yazan aracıları ve onların çağırdığı araçları yönetmektir.
Yapay zeka kapsam dahilinde olduğunda bir program nasıl görünür?
Uzmanların Görüşleri
Birlikte çalıştığımız ekiplerin bulgu sıkıntısı yok. Onlarda boğuluyorlar. Zaten aşırı yüklenmiş bir kuyruğa "AI çıktısını da tara" seçeneğinin eklenmesi, programı güçlendirmek yerine uyarı yığınını daha uzun hale getirir. Yapay zeka gerçekten kapsam dahilinde olduğunda iki şey değişir.
Birincisi, köken, modeller ve aracılar da dahil olmak üzere ardışık düzene giren her şeye uzanmalıdır. Bir yaklaşım, kökeni ardışık düzenin kendisine kadar genişletmektir - ilk taahhütten çalışma zamanına kadar etkinlik, kaynak ve konfigürasyon değişikliklerini izlemek ve diğer bağımlılıklarda olduğu gibi aynı titizliği modellere ve aracılara uygulamak.
İkincisi, önceliklendirmenin hacme değil gerçek kullanılabilirliğe dayanması gerekir. Bulguları çalışma zamanı bağlamıyla ilişkilendirmek ve gerçekte erişilebilen şeylerle ilişkilendirmek, bir güvenlik açığı listesi ile uygulanabilir bir yararlanma zinciri arasındaki farktır. Bir aracı öğle yemeğinden önce bin satırlık makul kod üretebildiğinde, bu fark daha az değil, daha fazla önem kazanır.
Bu, Gartner'ın Haziran ayında Yazılım Tedarik Zinciri Güvenliği için ilk Magic Quadrant'ı yayınladığında resmileştirdiği boşluktur; pazarın, ekiplerin bir bütçe sınırı olmadan savunduğu bir sorunu kabul etmesi artık sistematik olarak değerlendirilmeye değer bir şeydir.
Nasıl Önlem Alınmalı?
22 Temmuz'da OX araştırmacıları, bu işi içeriden yapan güvenlik liderleriyle birlikte yeni araştırmalara göz atmak için - Yapay Zeka Tedarik Zinciri Güvenliğini Bildiğimiz Şekilde Nasıl Yeniden Şekillendiriyor - adlı bir web seminerine ev sahipliği yapıyor. Yapay zeka entegrasyonunun saldırı yüzeyini nasıl değiştirdiğini, mevcut MCP sunucularına yapılan ilk sistematik incelemeden elde edilen bulguları ve bir tedarik zinciri güvenlik programının, yapay zeka kapsam dahilindeyken sonradan devreye sokulmak yerine gerçekte nasıl göründüğünü ele alacağız.
Buradan kaydolun. Zor sorular getirin.