4 consejos para garantizar el desarrollo asistido por la IA generativa

Gartner prevé que la IA generativa (GenAI) se convertirá en un socio fundamental de la mano de obra para el 90 % de las empresas el año que viene. En el desarrollo de aplicaciones en concreto, vemos cómo los desarrolladores recurren a asistentes de código como Github Copilot y Google Gemini Code Assist como ayuda para crear software a una velocidad sin precedentes. 

Pero aunque la IA generativa puede impulsar nuevos niveles de productividad y velocidad, también supone nuevas amenazas y desafíos para los equipos de seguridad de las aplicaciones. Los datos de entrenamiento que utilizan los modelos extensos de lenguaje (LLM) son una mezcla de código de buena y mala calidad, lo que significa que es tan probable que presenten vulnerabilidades e imperfecciones como los desarrolladores noveles. Sin embargo, a diferencia de un desarrollador novel, estas tecnologías generan código en cuestión de segundos.

La IA generativa tampoco tiene en cuenta las políticas y prácticas recomendadas de la organización, por lo que no puede adherirse a las normativas de cumplimiento ni a las directrices de seguridad específicas de la organización. También es posible que los miembros del equipo expongan involuntariamente datos confidenciales al ingresarlos en los LLM. 

Como vemos, estas nuevas tecnologías presentan una serie de desafíos de seguridad que los equipos deben tener en cuenta. Los equipos de AppSec de hoy en día necesitan implementar estrategias para escalar a la velocidad y amplitud de la IA generativa y apoyar a los equipos de desarrollo actuales sin ralentizarlos. 

Seguridad a la velocidad de la IA generativa

¿Cuáles son las mejores maneras de ampliar tu programa AppSec y alinearte con los detalles de los ciclos de desarrollo impulsados por IA generativa?

Snyk colaboró con el equipo de expertos en AppSec de Deloitte para crear una nueva guía que ayude a las organizaciones a comprender los efectos del creciente uso de IA generativa. Con un enfoque en la ampliación de la seguridad de las aplicaciones, garantizando al mismo tiempo el crecimiento continuo y el uso seguro de IA generativa, echa un vistazo a los principales puntos clave de Deloitte y Snyk: 

Elimina los obstáculos con una tecnología que da prioridad a los desarrolladores 

Las herramientas de programación asistida por IA generativa atraen a los desarrolladores por su facilidad de uso. Los desarrolladores escriben una consulta, obtienen una respuesta casi instantánea y agregan el código recién generado al repositorio. Si la seguridad obstaculiza este proceso de algún modo, es más probable que el desarrollador se salte estos controles por completo. Entre los obstáculos habituales causados por la tecnología se encuentran las herramientas de seguridad que obligan a los desarrolladores a dar marcha atrás porque encontraron vulnerabilidades demasiado tarde en el pipeline o las interfaces de usuario centradas en el equipo de seguridad que obligan a los equipos de desarrollo a alternar entre distintas plataformas para solucionar los problemas. Por el contrario, la incorporación de herramientas de seguridad orientadas al desarrollador, que se adapten perfectamente a los flujos de trabajo de los desarrolladores y funcionen en sincronía con las herramientas de programación de IA, fomentará un desarrollo de software asistido por IA generativa más seguro.

Utilizar la capacitación para explicar el “porqué” de las barreras de seguridad

Según los informes, el 80 % de los desarrolladores se saltan las medidas de seguridad en torno al código de IA, ya que tienden a confiar más en la IA generativa que en los programadores humanos. Por lo tanto, es esencial capacitar a estos desarrolladores sobre por qué necesitan utilizar herramientas de seguridad en tiempo real junto con sus asistentes de programación de IA. Los equipos de seguridad también deben considerar la capacitación sobre cómo utilizar (y NO utilizar) los LLM, por ejemplo, qué tipo de datos está permitido que los desarrolladores copien y peguen en una consulta. 

Crear procesos que funcionen junto con la IA generativa

Es probable que tu equipo ya haya visto cómo la IA generativa aumenta el volumen de código que entra en los repositorios. En consecuencia, es más importante que nunca establecer procesos sencillos para detectar y remediar los problemas de seguridad a una velocidad que permita dar cabida a este mayor volumen de código. Considera la posibilidad de perfeccionar y reforzar tus procesos en torno a la comunicación entre los equipos de desarrollo y seguridad, las revisiones de escaneo de código y la priorización de vulnerabilidades. 

Actualizar las políticas para adaptarlas a las herramientas de IA generativa

También es importante definir políticas claras en torno a la IA generativa. Las políticas adecuadas elevarán el estándar de cómo los equipos utilizan la IA en sus flujos de trabajo diarios y requerirán fuertes puntos de control de seguridad. Algunos ejemplos de políticas de IA incluyen orientación sobre casos de uso aceptables, selección y uso de datos, privacidad y seguridad de los datos y relación con los requisitos de cumplimiento normativo. También es una buena idea tener una cadencia para actualizar estas políticas a medida que nuevas herramientas entran en tu organización y las prácticas de desarrollo continúan evolucionando. 

Cómo escalar tu programa AppSec para afrontar los desafíos de la IA

Cuando tu equipo sienta las bases de unas políticas y unas barreras de seguridad sólidas para la IA, preparas a tu organización para el éxito con futuras iteraciones y evoluciones de estas tecnologías. Al combinar los servicios de automatización y orquestación Secure by Design de Deloitte con una plataforma de seguridad de aplicaciones que te permite encontrar y solucionar automáticamente problemas como vulnerabilidades críticas y días cero en las primeras fases del ciclo de vida de desarrollo, las organizaciones son capaces de: 

• aumentar y escalar de manera segura la seguridad de las aplicaciones a lo largo del ciclo de vida de desarrollo del software y automatizar los flujos de trabajo utilizando una única plataforma; 

• integrar herramientas y procesos automatizados para mejorar la adopción por parte de los desarrolladores; 

• aprovechar las herramientas de seguridad y automatización basadas en IA para permitir que los desarrolladores y los equipos de seguridad trabajen juntos y solucionen sin esfuerzo los problemas en una fase temprana (a medida que se producen), en una fracción del tiempo que se tardaría normalmente, y reducir el riesgo;

• obtener acceso a asistencia para el remedio de vulnerabilidades con el fin de reducir los retrasos;

• acelerar la incorporación y la adopción con la habilitación rápida y coherente de una plataforma de seguridad de aplicaciones para proteger el código propio, incluido el código creado por los asistentes de programación de IA, las dependencias de código abierto, los contenedores y la infraestructura como código.

Para obtener más información sobre cómo escalar tu programa de seguridad de aplicaciones para hacer frente a los nuevos desafíos del desarrollo impulsado por IA generativa, descarga nuestro artículo técnico Application Security at Scale for GenAI (Seguridad de aplicaciones a escala para la IA generativa).