איך משתמשים ב-AI לפיתוח קוד בצורה מאובטחת?

"כשמפתח בא לכתוב קוד עם AI, עליו להתמודד עם הרבה אתגרים – מאיך הוא דואג שהקוד יהיה מאובטח ועד לשאלה באילו תלויות (קודים מוכנים, למשל שמגיעים מספריות – י"ה) הוא בוחר להשתמש, האם הם מעודכנים והאם יש בהם סיכוני אבטחה, וגם איך עוברים על כל זה בצורה מסודרת. הפתרון לכך הוא בסוכן AI שמתמודד עם כל האתגרים האלה, בומערכת שמלווה אותו", כך אמר גלעד שוהם, מוביל עולמות ה-Dev והקוד הפתוח ב-ביט קלאוד.

שוהם שוחח בכנס AI Security Summit של Lynx מבית אנשים ומחשבים, שנערך באחרונה, עם אורון שוורץ, מוביל צוות פרונט אנד בצ'ק פוינט. הוא הציג את הסוכן של החברה לתחום – OpAI. "הסוכן הזה עובד בצורה שונה מהותית מהסוכנים האחרים: הוא מקבל הקשר עם גרפים של הקומפוננטות בארגון ואת כל הקשרים ביניהן, והמשימה שלו היא להעשיר את הגרפים לטובת פיתוח ומימוש צרכים עסקיים. OpAI עושה את זה תוך כדי שימוש בקודים הקיימים. המטרה של הפתרון היא לאפשר למפתח כמה שיותר להשתמש בקודים קיימים וכמה שפחות לייצר קוד חדש, משום שכשכותבים פחות קוד – יש פחות חשיפות לסיכוני אבטחה, פחות שימוש בתלויות ופחות קוד שצריך לעבור עליו. זה אומר בדיקה איכותית יותר, כי לא צריך לבור על 3,000 שורות קוד", אמר.

לדברי שוהם, "OpAI מייצר קומפוננטות חדשות, באמצעות מערכת CI לקומפוננטות שבנינו. הוא רץ על כל קומפוננטה בצורה מבודדת, בפני עצמה, עם משימות שחלקן קשורות לאבטחה. ברגע שהוא מייצר קוד חדש, הוא אוטומטית סורק אותו, כחלק מהפייפליין".

"סריקת הקוד היא סופר חשובה, משום שצריך CI לכל קוד שנכנס לפרודקשן. OpAI עושה את זה כבר במהלך היצירה, או המחזור, של הקוד. המערכת מחוברת ל-CI שלנו ומקבלת את הפידבקים הקשורים לבדיקות ולאבטחה בזמן אמת. היא עושה את הסריקה בעצמה, כדי לקצר את מעגל הפידבק של פיתוח הקוד", הוסיף.

איך המערכת מתמודדת עם התקפות על שרשראות אספקה?

בתשובה לשאלת שוורץ כיצד המערכת מתמודדת עם התקפות על שרשראות אספקה, ענה שוהם כי "היא עושה את זה בצורה טובה, משום שהיא עובדת על גרף ובודקת את עצמה בזמן אמת. המערכת גם נותנת תיקון בזמן אמת ואם אין – היא מבודדת את הקומפוננטות, כדי למנוע חשיפה לאיום. אנחנו מציעים נראות ואת התיקון, כדי לפרוס את הסוכנים מהר, על מנת שייתנו מענה לכל הצרכנים בארגון".

"OpAI לא דוחפת קוד ישירות לפרודקשן. התעשייה עדיין לא נמצאת בנקודה שבה היא רוצה שהבינה המלאכותית תכתוב קוד לפרודקשן", הבהיר. עוד הוא ציין בנוגע לאפשרות הסריקה בפתרון כי "היא רב ממדית. פיתחנו יכולת לראות את השינויים בקוד באספקטים שונים, בין אם זה בדוקומנטציה, בהגדרות, באבטחה ועוד. המפתח יכול באמצעותנו לראות את הכול בצורה מרוכזת, כולל את כל סוגי ההבדלים, לפני שהקוד נכנס לפרודקשן".