Yazılım tedarik zinciri güvenliği zaten yeterince zordu. Şimdi de AI, derleme sürecine dahil oldu. Beş yıl boyunca 'yazılım tedarik zinciri güvenliği' tek bir soruyu sorduruyordu: Kodunuzun içinde ne var? Hangi açık kaynak paketler, hangi sürümler, kimsenin bilerek seçmediği üç katman derinliğindeki geçişli bağımlılıklar? SolarWinds, Log4Shell ve XZ Utis aynı dersi verdi: Risk, ekibin yazdığı koddan çok, onu üreten her şeyde yatıyor. Bu yıl geliştirici araç zincirlerine yayılan kendi kendini yayan kötü amaçlı paket kampanyası Shai-Hulud ise bir sonraki dersi öğretti: Kodunuzda ne olduğunu bilmek hala gerekli, ancak artık yeterli değil.
Model Context Protocol'ün (MCP) piyasaya sürülmesinden bu yana geçen yaklaşık 20 ayda, AI araçları, modelleri ve bunların etrafındaki altyapı, yazılımın nasıl oluşturulduğu, dağıtıldığı ve çalıştırıldığı konusunda yük taşıyıcı parçalar haline geldi. Kod ajanlar tarafından yazılıyor. Paketler, gerekli olduğuna karar veren otonom araçlar tarafından çekiliyor. Promptlar, derleme için gerçek bir girdi haline geldi, yani onu tehlikeye atmanın gerçek bir yolu haline geldi. Güvenlik programlarının çoğu tasarlanırken bunların hiçbiri kapsamda değildi.
AI tarafından oluşturulan kodu sadece daha fazla kod olarak ele alıp aynı tarayıcılardan geçirmek ve işi halletmiş saymak cazip gelebilir. Ancak bu, riskin nereye kaydığını yanlış okumaktır. Tedarik zinciri güvenliğini her zaman tanımlayan menşe sorusu -bu nereden geldi ve ona güvenebilir miyim- artık yalnızca yapıtaşına değil, aynı zamanda modele, ajana ve araç takımına da uygulanıyor. Bir AI kodlama asistanı bir bağımlılık öneriyor ve geliştirici, paket hiçbir insanın tehdit modelinden geçmeden kabul ediyor. Otonom bir ajan, bir görevi tamamlamak için MCP üzerinden bir araca uzanıyor ve bu araç bir başkasına uzanıyor. Bir saldırgan tarafından hazırlanan ve modelin okuyacağı bir yere yerleştirilen bir prompt, neyin yazılacağını veya neyin çekileceğini yönlendiriyor. AI tarafından oluşturulan kodu işlenmeden önce doğrulamak temel gerekliliktir. Daha zor olan sorun, yazma işlemini yapan ajanları ve onların çağırdığı araçları yönetmektir.
Çalıştığımız ekipler bulgulardan yoksun değil; adeta boğuluyorlar. Zaten aşırı yüklü olan kuyruğa 'AI çıktısını da tara' eklemek uyarı yığınını büyütür, programı güçlendirmez. AI gerçekten kapsama alındığında iki şey değişir. Birincisi, soyağacı, modeller ve ajanlar da dahil olmak üzere boru hattına giren her şeyi kapsamalıdır. Bir yaklaşım, soyağacını boru hattının kendisine genişletmektir - ilk işlemeden çalışma zamanına kadar etkinlik, menşe ve yapılandırma değişikliklerini izlemek ve modellere ve ajanlara diğer bağımlılıklarla aynı titizliği uygulamak. İkincisi, önceliklendirme hacme değil, gerçek istismar edilebilirliğe dayanmalıdır. Bulguları, çalışma zamanı bağlamı ve gerçekte erişilebilir olanla ilişkilendirmek, bir güvenlik açığı listesi ile çalıştırılabilir bir istismar zinciri arasındaki farktır. Bu fark, bir ajan öğle yemeğinden önce bin satır makul kod üretebildiğinde daha da önem kazanır. Gartner, Haziran ayında Yazılım Tedarik Zinciri Güvenliği için ilk Sihirli Çeyrek'i yayınlayarak bu boşluğu resmileştirdi - ekiplerin bütçe kalemi olmadan savunduğu bir sorunun artık sistematik olarak değerlendirilmeye değer olduğunun piyasa tarafından kabulü.