Цього тижня OpenText оновив інструмент статичного аналізу, який він надає для перевірки коду за допомогою алгоритмів машинного навчання, щоб забезпечити більш глибоке розуміння локальних ІТ-середовищ. Останнє покоління Fortify Audit, оголошене на конференції OpenText Security Summit 2024, надає додаткові моделі штучного інтелекту (AI), здатні вивчати унікальні атрибути власного вихідного коду, повідомляє DevOps.com.
Остання версія Fortify Audit Assistant також додає можливість виявляти дрейф у моделі та, якщо необхідно, автоматично її оновлювати. Тепер OpenText зобов’язується оновлювати ці моделі щокварталу.
Дискримінантна модель штучного інтелекту від OpenText дозволяє алгоритмам машинного навчання дізнаватися, як люди проводили аудит застосунків, щоб потім запускати подібні тести в інших застосунках.
Раніше Fortify Audit покладався на ту саму основну модель для аудиту як локального, так і програмного забезпечення як послуги (SaaS) на основі даних, зібраних OpenText. Fortify Audit Assistant тепер забезпечує підтримку більш ніж 30 мовних моделей для покращення продуктивності тестування.
Ділан Томас, старший директор із розробки та продуктів Fortify для OpenText Cybersecurity, сказав, що ця можливість гарантує, що жодні конфіденційні дані ніколи не залишать локальне ІТ-середовище.
Загальна мета полягає в тому, щоб упорядкувати кількість сповіщень, які інакше перевантажили б команду DevSecOps, намагаючись визначити першопричину проблеми, додав він. Наприклад, Fortify Audit Assistant визначить тестовий код, який не є вразливим, оскільки він ніколи не розгортався у реальному робочому середовищі.
Такий підхід полегшує командам DevOps визначення пріоритетності вразливостей у вихідному коді за допомогою полегшеної моделі штучного інтелекту, яка все ще дозволяє їм глибоко сканувати вихідний код.
Історично командам DevSecOps доводиться шукати компроміс між легкими підходами та глибоким скануванням вихідного коду, яке більше не потрібно.
Оскільки правила, що стосуються безпеки ланцюга постачання програмного забезпечення, стають суворішими, кількість команд розробників, які підлягатимуть певному типу аудиту, лише збільшуватиметься. Вартість провалу перевірки також неминуче зросте, оскільки регулюючі органи шукатимуть приклади організацій, які не захищають належним чином свої ланцюги постачання програмного забезпечення.
Незрозуміло, наскільки агресивно ІТ-організації використовують найкращі практики DevSecOps для вирішення безлічі проблем безпеки ланцюга постачання ПЗ, які були висвітлені в розпорядженні адміністрації Байдена для федеральних агентств. Однак із розвитком штучного інтелекту та інших форм автоматизації має стати простіше виявляти більше вразливостей, перш ніж вони будуть використані у виробничому середовищі.
Завжди буде потреба у захисті виробничого середовища, оскільки завжди існує ймовірність помилок. Однак, враховуючи несувору практику, яку багато організацій використовували для створення та розгортання програм, кількість вразливостей, які існують у виробничих середовищах сьогодні, важко підрахувати. У багатьох випадках може допомогти повна заміна багатьох із цих програм застосунками, створеними з використанням найкращих практик DevSecOps.
Незалежно від шляху до покращення безпеки застосунків будьте впевнені: кіберзлочинці стануть ще більш вправними у виявленні цих вразливостей.
Раніше ProIT повідомляв, що OX Security оптимізує DevSecOps для покращення безпеки програм.
Читайте також на ProIT, кому вдалося розпочати ІТ-карʼєру у 2023 році. Аналітика Mate academy по junior-айтівцях.
Також ми розповідали, яким був 2023 рік для DevOps: огляд стану ринку.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
