AI イノベーションのメリットを享受できるかどうかは、安全なコードから始めることにかかっています
ソフトウェア開発者は、ジェネレーティブ人工知能 (AI) を利用してコードを書く準備ができており、進んで利用する意志があることを示しており、概ね好調な結果が得られています。しかし、危険なゲームをしている可能性があるという兆候もたくさんあります。
最近によると GitHub による調査、米国の開発者の90%以上がAIコーディングツールを使用しており、完了時間の短縮、インシデントの迅速な解決、より協調的な環境などの利点を挙げています。これは重要だと感じています。AI ツールを使うことで、開発者はルーチンタスクを引き継ぐことができるため、会社に利益をもたらす、よりクリエイティブな仕事に取り組むことができるようになり、偶然ではなく、仕事中の燃え尽き症候群の可能性が減ります。
ただし、研究により、AIツールには次のような傾向があることも示されています 欠陥を導入する コードを書くとき。A スナイクによる調査 回答者の 75.8% がAIコードは人間のコードよりも安全だと答えたものの、56.4%がAIがコーディングの問題を引き起こすことがあると認めていることがわかりました。驚くべきことに、回答者の 80% が開発中に AI コードのセキュリティポリシーを迂回していると答えています。
オープンAI以来 GPT チャット 2022年11月に登場したジェネレーティブAIモデルの使用は、他の多くの分野と同様に、金融サービスのコード開発プロセス全体に急速に普及しています。他にも次のようなモデルが急速に登場しています。 GitHub コパイロット、 オープンAIコーデックス、および 増え続けるリスト 他の人の中には、ジェネレーティブAIができることとそれがもたらす影響のほんの一部しかないという意見もあります。しかし、その影響がプラスになるためには、生成されるコードが安全であることを確認する必要があります。
コーディングのバグはすぐに広がる可能性があります
人間の開発者によって作成されたものであれ、AIモデルによって作成されたものであれ、コードは いくつかのエラーを含む。高度に分散されたクラウドベースのコンピューティング環境における増え続ける要求を満たすために、AI がコード開発を加速するのに役立っているため、不良コードが発見される前に広く伝播する可能性が高まる可能性があります。
コードを書くように訓練されたAIモデルは、さまざまなタスクを実行する何千ものコード例を取り込み、それらの例を利用して独自のコードを作成できます。しかし、処理対象のサンプルに欠陥や脆弱性が含まれている場合、それがもともと人間によって作成されたものであれ、別の人工知能によって作成されたものであれ、モデルはそれらの欠陥を新しい環境に移す可能性があります。
検討中 研究によるとわかっています AIモデルは、使用しているコードの欠陥を確実に認識できないため、欠陥や脆弱性の拡散に対する組み込みの防御策はほとんどありません。AIはコーディングのミスを犯すだけでなく、将来どこかで脆弱性が特定されるまで、おそらく自社が開発したソフトウェアを使用している企業への侵害が成功するという形で、自身や他のソースのミスを繰り返します。
コーディングの欠陥が蔓延するのを防ぐ真の防御策は、人間とAIモデルが連携することです。人間の開発者は AI コードの記述を監督し、安全でないコーディング手法や脆弱なコードに対するチェックの役割を果たすべきです。しかし、そのためには、開発者がAIが犯す可能性のあるコーディングミスを特定して迅速に修正できるように、安全なコード作成のベストプラクティスについて徹底したトレーニングを受ける必要があります。
AI コードの作成と修正の課題
ChatGPTのような大規模言語モデル (LLM) が突然爆発的に増加したことは、諸刃の剣のようなものでした。一方では、時間と手間がかかる、または困難な雑用を AI を使って処理することで、企業や日常ユーザーの生産性が大幅に向上しました。一方で、AIに仕事を任せようとやみくもに信頼した場合に、何がうまくいかないかの例はたくさんあります。
AIモデルが作った 明白な間違い、バイアスを示して制作した 完全な幻覚。多くの場合、問題の根源は不十分または無責任なトレーニングデータでした。どのAIモデルも、そのトレーニングに使用したデータによって品質が決まるため、トレーニングデータは包括的で慎重に吟味されていることが不可欠です。ただし、それでもいくつかの間違いは犯されます。
コーディングにAIを使用することは、同じハードルの多くに直面します。AI によって生成されたコードには、クロスサイトスクリプティングやコードインジェクションに対する脆弱性や、AI や機械学習 (ML) に特有の次のような攻撃など、さまざまな欠陥が含まれていることが明らかになっています。 プロンプト注入。また、AI モデルはプロセスが透明でないためにブラックボックス内で動作し、セキュリティチームや開発チームが AI がどのように結論に達したかを見ることができません。その結果、モデルは同じミスを何度も繰り返す可能性があります。コード作成に影響する可能性があるのと同じ欠点が、AI の使用にも引き継がれます。 コード修復 そしてコンプライアンス要件を満たしています。
AIモデルによって欠陥が生み出されたり繰り返されたりする可能性が高まり、LLMが独自のオープンWebアプリケーションセキュリティプロジェクト(OWASP)リストを持つようになりました。 上位 10 件の脆弱性。
開発者とAIが協力して安全なコードを作成できます
AI で生成されたコードに潜在的な欠陥があるという懸念から、一部の組織は、一時的ではあるが、テクノロジーの導入を断念するかもしれない。しかし、特にAI開発者がモデルの革新と改善を続けている中で、その潜在的なメリットは無視できないほど大きいです。たとえば、金融サービス業界は、この魔力を取り戻す可能性は低いでしょう。銀行や金融サービス企業はすでにテクノロジー主導型になっており、常に競争上の優位性を求めている分野で事業を展開しています。
重要なのは、リスクを最小限に抑える方法でAIモデルを実装することです。つまり、セキュリティを意識し、安全なコーディングのベストプラクティスについて十分なトレーニングを受けた開発者がいるということです。そうすれば、開発者は安全なコードを自分で作成し、AI モデルが生成するコードを綿密に監視できます。AIエンジンと人間の開発者が緊密なパートナーシップのもとで協力し、開発者が最終決定権を持つことで、企業は生産性と効率性の向上のメリットを享受できると同時に、セキュリティの向上、リスクの軽減、コンプライアンスの確保も実現できます。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされたSecure Code Warriorガイドをご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
Veuillez vérifier Secure Code Warrior Sur notre blog, vous pourrez approfondir vos connaissances sur la cybersécurité et les menaces de plus en plus dangereuses, et découvrir comment mieux protéger votre organisation et vos clients grâce à des technologies et des formations innovantes.
ジェネレーティブAIは、金融サービス企業に多くの利点をもたらすだけでなく、多くの潜在的なリスクももたらします。セキュリティのベストプラクティスを開発者に教え、それを AI モデルと組み合わせることで、最初から安全なコードを作成できます。
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Cet article a été rédigé par l'équipe d'experts industriels de Secure Code Warrior. Il vise à aider les développeurs à acquérir les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. Il s'appuie sur une expertise approfondie en matière de pratiques de codage sécurisé, sur les tendances du secteur et sur des observations tirées du monde réel.
ソフトウェア開発者は、ジェネレーティブ人工知能 (AI) を利用してコードを書く準備ができており、進んで利用する意志があることを示しており、概ね好調な結果が得られています。しかし、危険なゲームをしている可能性があるという兆候もたくさんあります。
最近によると GitHub による調査、米国の開発者の90%以上がAIコーディングツールを使用しており、完了時間の短縮、インシデントの迅速な解決、より協調的な環境などの利点を挙げています。これは重要だと感じています。AI ツールを使うことで、開発者はルーチンタスクを引き継ぐことができるため、会社に利益をもたらす、よりクリエイティブな仕事に取り組むことができるようになり、偶然ではなく、仕事中の燃え尽き症候群の可能性が減ります。
ただし、研究により、AIツールには次のような傾向があることも示されています 欠陥を導入する コードを書くとき。A スナイクによる調査 回答者の 75.8% がAIコードは人間のコードよりも安全だと答えたものの、56.4%がAIがコーディングの問題を引き起こすことがあると認めていることがわかりました。驚くべきことに、回答者の 80% が開発中に AI コードのセキュリティポリシーを迂回していると答えています。
オープンAI以来 GPT チャット 2022年11月に登場したジェネレーティブAIモデルの使用は、他の多くの分野と同様に、金融サービスのコード開発プロセス全体に急速に普及しています。他にも次のようなモデルが急速に登場しています。 GitHub コパイロット、 オープンAIコーデックス、および 増え続けるリスト 他の人の中には、ジェネレーティブAIができることとそれがもたらす影響のほんの一部しかないという意見もあります。しかし、その影響がプラスになるためには、生成されるコードが安全であることを確認する必要があります。
コーディングのバグはすぐに広がる可能性があります
人間の開発者によって作成されたものであれ、AIモデルによって作成されたものであれ、コードは いくつかのエラーを含む。高度に分散されたクラウドベースのコンピューティング環境における増え続ける要求を満たすために、AI がコード開発を加速するのに役立っているため、不良コードが発見される前に広く伝播する可能性が高まる可能性があります。
コードを書くように訓練されたAIモデルは、さまざまなタスクを実行する何千ものコード例を取り込み、それらの例を利用して独自のコードを作成できます。しかし、処理対象のサンプルに欠陥や脆弱性が含まれている場合、それがもともと人間によって作成されたものであれ、別の人工知能によって作成されたものであれ、モデルはそれらの欠陥を新しい環境に移す可能性があります。
検討中 研究によるとわかっています AIモデルは、使用しているコードの欠陥を確実に認識できないため、欠陥や脆弱性の拡散に対する組み込みの防御策はほとんどありません。AIはコーディングのミスを犯すだけでなく、将来どこかで脆弱性が特定されるまで、おそらく自社が開発したソフトウェアを使用している企業への侵害が成功するという形で、自身や他のソースのミスを繰り返します。
コーディングの欠陥が蔓延するのを防ぐ真の防御策は、人間とAIモデルが連携することです。人間の開発者は AI コードの記述を監督し、安全でないコーディング手法や脆弱なコードに対するチェックの役割を果たすべきです。しかし、そのためには、開発者がAIが犯す可能性のあるコーディングミスを特定して迅速に修正できるように、安全なコード作成のベストプラクティスについて徹底したトレーニングを受ける必要があります。
AI コードの作成と修正の課題
ChatGPTのような大規模言語モデル (LLM) が突然爆発的に増加したことは、諸刃の剣のようなものでした。一方では、時間と手間がかかる、または困難な雑用を AI を使って処理することで、企業や日常ユーザーの生産性が大幅に向上しました。一方で、AIに仕事を任せようとやみくもに信頼した場合に、何がうまくいかないかの例はたくさんあります。
AIモデルが作った 明白な間違い、バイアスを示して制作した 完全な幻覚。多くの場合、問題の根源は不十分または無責任なトレーニングデータでした。どのAIモデルも、そのトレーニングに使用したデータによって品質が決まるため、トレーニングデータは包括的で慎重に吟味されていることが不可欠です。ただし、それでもいくつかの間違いは犯されます。
コーディングにAIを使用することは、同じハードルの多くに直面します。AI によって生成されたコードには、クロスサイトスクリプティングやコードインジェクションに対する脆弱性や、AI や機械学習 (ML) に特有の次のような攻撃など、さまざまな欠陥が含まれていることが明らかになっています。 プロンプト注入。また、AI モデルはプロセスが透明でないためにブラックボックス内で動作し、セキュリティチームや開発チームが AI がどのように結論に達したかを見ることができません。その結果、モデルは同じミスを何度も繰り返す可能性があります。コード作成に影響する可能性があるのと同じ欠点が、AI の使用にも引き継がれます。 コード修復 そしてコンプライアンス要件を満たしています。
AIモデルによって欠陥が生み出されたり繰り返されたりする可能性が高まり、LLMが独自のオープンWebアプリケーションセキュリティプロジェクト(OWASP)リストを持つようになりました。 上位 10 件の脆弱性。
開発者とAIが協力して安全なコードを作成できます
AI で生成されたコードに潜在的な欠陥があるという懸念から、一部の組織は、一時的ではあるが、テクノロジーの導入を断念するかもしれない。しかし、特にAI開発者がモデルの革新と改善を続けている中で、その潜在的なメリットは無視できないほど大きいです。たとえば、金融サービス業界は、この魔力を取り戻す可能性は低いでしょう。銀行や金融サービス企業はすでにテクノロジー主導型になっており、常に競争上の優位性を求めている分野で事業を展開しています。
重要なのは、リスクを最小限に抑える方法でAIモデルを実装することです。つまり、セキュリティを意識し、安全なコーディングのベストプラクティスについて十分なトレーニングを受けた開発者がいるということです。そうすれば、開発者は安全なコードを自分で作成し、AI モデルが生成するコードを綿密に監視できます。AIエンジンと人間の開発者が緊密なパートナーシップのもとで協力し、開発者が最終決定権を持つことで、企業は生産性と効率性の向上のメリットを享受できると同時に、セキュリティの向上、リスクの軽減、コンプライアンスの確保も実現できます。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされたSecure Code Warriorガイドをご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
Veuillez vérifier Secure Code Warrior Sur notre blog, vous pourrez approfondir vos connaissances sur la cybersécurité et les menaces de plus en plus dangereuses, et découvrir comment mieux protéger votre organisation et vos clients grâce à des technologies et des formations innovantes.
ソフトウェア開発者は、ジェネレーティブ人工知能 (AI) を利用してコードを書く準備ができており、進んで利用する意志があることを示しており、概ね好調な結果が得られています。しかし、危険なゲームをしている可能性があるという兆候もたくさんあります。
最近によると GitHub による調査、米国の開発者の90%以上がAIコーディングツールを使用しており、完了時間の短縮、インシデントの迅速な解決、より協調的な環境などの利点を挙げています。これは重要だと感じています。AI ツールを使うことで、開発者はルーチンタスクを引き継ぐことができるため、会社に利益をもたらす、よりクリエイティブな仕事に取り組むことができるようになり、偶然ではなく、仕事中の燃え尽き症候群の可能性が減ります。
ただし、研究により、AIツールには次のような傾向があることも示されています 欠陥を導入する コードを書くとき。A スナイクによる調査 回答者の 75.8% がAIコードは人間のコードよりも安全だと答えたものの、56.4%がAIがコーディングの問題を引き起こすことがあると認めていることがわかりました。驚くべきことに、回答者の 80% が開発中に AI コードのセキュリティポリシーを迂回していると答えています。
オープンAI以来 GPT チャット 2022年11月に登場したジェネレーティブAIモデルの使用は、他の多くの分野と同様に、金融サービスのコード開発プロセス全体に急速に普及しています。他にも次のようなモデルが急速に登場しています。 GitHub コパイロット、 オープンAIコーデックス、および 増え続けるリスト 他の人の中には、ジェネレーティブAIができることとそれがもたらす影響のほんの一部しかないという意見もあります。しかし、その影響がプラスになるためには、生成されるコードが安全であることを確認する必要があります。
コーディングのバグはすぐに広がる可能性があります
人間の開発者によって作成されたものであれ、AIモデルによって作成されたものであれ、コードは いくつかのエラーを含む。高度に分散されたクラウドベースのコンピューティング環境における増え続ける要求を満たすために、AI がコード開発を加速するのに役立っているため、不良コードが発見される前に広く伝播する可能性が高まる可能性があります。
コードを書くように訓練されたAIモデルは、さまざまなタスクを実行する何千ものコード例を取り込み、それらの例を利用して独自のコードを作成できます。しかし、処理対象のサンプルに欠陥や脆弱性が含まれている場合、それがもともと人間によって作成されたものであれ、別の人工知能によって作成されたものであれ、モデルはそれらの欠陥を新しい環境に移す可能性があります。
検討中 研究によるとわかっています AIモデルは、使用しているコードの欠陥を確実に認識できないため、欠陥や脆弱性の拡散に対する組み込みの防御策はほとんどありません。AIはコーディングのミスを犯すだけでなく、将来どこかで脆弱性が特定されるまで、おそらく自社が開発したソフトウェアを使用している企業への侵害が成功するという形で、自身や他のソースのミスを繰り返します。
コーディングの欠陥が蔓延するのを防ぐ真の防御策は、人間とAIモデルが連携することです。人間の開発者は AI コードの記述を監督し、安全でないコーディング手法や脆弱なコードに対するチェックの役割を果たすべきです。しかし、そのためには、開発者がAIが犯す可能性のあるコーディングミスを特定して迅速に修正できるように、安全なコード作成のベストプラクティスについて徹底したトレーニングを受ける必要があります。
AI コードの作成と修正の課題
ChatGPTのような大規模言語モデル (LLM) が突然爆発的に増加したことは、諸刃の剣のようなものでした。一方では、時間と手間がかかる、または困難な雑用を AI を使って処理することで、企業や日常ユーザーの生産性が大幅に向上しました。一方で、AIに仕事を任せようとやみくもに信頼した場合に、何がうまくいかないかの例はたくさんあります。
AIモデルが作った 明白な間違い、バイアスを示して制作した 完全な幻覚。多くの場合、問題の根源は不十分または無責任なトレーニングデータでした。どのAIモデルも、そのトレーニングに使用したデータによって品質が決まるため、トレーニングデータは包括的で慎重に吟味されていることが不可欠です。ただし、それでもいくつかの間違いは犯されます。
コーディングにAIを使用することは、同じハードルの多くに直面します。AI によって生成されたコードには、クロスサイトスクリプティングやコードインジェクションに対する脆弱性や、AI や機械学習 (ML) に特有の次のような攻撃など、さまざまな欠陥が含まれていることが明らかになっています。 プロンプト注入。また、AI モデルはプロセスが透明でないためにブラックボックス内で動作し、セキュリティチームや開発チームが AI がどのように結論に達したかを見ることができません。その結果、モデルは同じミスを何度も繰り返す可能性があります。コード作成に影響する可能性があるのと同じ欠点が、AI の使用にも引き継がれます。 コード修復 そしてコンプライアンス要件を満たしています。
AIモデルによって欠陥が生み出されたり繰り返されたりする可能性が高まり、LLMが独自のオープンWebアプリケーションセキュリティプロジェクト(OWASP)リストを持つようになりました。 上位 10 件の脆弱性。
開発者とAIが協力して安全なコードを作成できます
AI で生成されたコードに潜在的な欠陥があるという懸念から、一部の組織は、一時的ではあるが、テクノロジーの導入を断念するかもしれない。しかし、特にAI開発者がモデルの革新と改善を続けている中で、その潜在的なメリットは無視できないほど大きいです。たとえば、金融サービス業界は、この魔力を取り戻す可能性は低いでしょう。銀行や金融サービス企業はすでにテクノロジー主導型になっており、常に競争上の優位性を求めている分野で事業を展開しています。
重要なのは、リスクを最小限に抑える方法でAIモデルを実装することです。つまり、セキュリティを意識し、安全なコーディングのベストプラクティスについて十分なトレーニングを受けた開発者がいるということです。そうすれば、開発者は安全なコードを自分で作成し、AI モデルが生成するコードを綿密に監視できます。AIエンジンと人間の開発者が緊密なパートナーシップのもとで協力し、開発者が最終決定権を持つことで、企業は生産性と効率性の向上のメリットを享受できると同時に、セキュリティの向上、リスクの軽減、コンプライアンスの確保も実現できます。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされたSecure Code Warriorガイドをご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
Veuillez vérifier Secure Code Warrior Sur notre blog, vous pourrez approfondir vos connaissances sur la cybersécurité et les menaces de plus en plus dangereuses, et découvrir comment mieux protéger votre organisation et vos clients grâce à des technologies et des formations innovantes.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Cet article a été rédigé par l'équipe d'experts industriels de Secure Code Warrior. Il vise à aider les développeurs à acquérir les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. Il s'appuie sur une expertise approfondie en matière de pratiques de codage sécurisé, sur les tendances du secteur et sur des observations tirées du monde réel.
ソフトウェア開発者は、ジェネレーティブ人工知能 (AI) を利用してコードを書く準備ができており、進んで利用する意志があることを示しており、概ね好調な結果が得られています。しかし、危険なゲームをしている可能性があるという兆候もたくさんあります。
最近によると GitHub による調査、米国の開発者の90%以上がAIコーディングツールを使用しており、完了時間の短縮、インシデントの迅速な解決、より協調的な環境などの利点を挙げています。これは重要だと感じています。AI ツールを使うことで、開発者はルーチンタスクを引き継ぐことができるため、会社に利益をもたらす、よりクリエイティブな仕事に取り組むことができるようになり、偶然ではなく、仕事中の燃え尽き症候群の可能性が減ります。
ただし、研究により、AIツールには次のような傾向があることも示されています 欠陥を導入する コードを書くとき。A スナイクによる調査 回答者の 75.8% がAIコードは人間のコードよりも安全だと答えたものの、56.4%がAIがコーディングの問題を引き起こすことがあると認めていることがわかりました。驚くべきことに、回答者の 80% が開発中に AI コードのセキュリティポリシーを迂回していると答えています。
オープンAI以来 GPT チャット 2022年11月に登場したジェネレーティブAIモデルの使用は、他の多くの分野と同様に、金融サービスのコード開発プロセス全体に急速に普及しています。他にも次のようなモデルが急速に登場しています。 GitHub コパイロット、 オープンAIコーデックス、および 増え続けるリスト 他の人の中には、ジェネレーティブAIができることとそれがもたらす影響のほんの一部しかないという意見もあります。しかし、その影響がプラスになるためには、生成されるコードが安全であることを確認する必要があります。
コーディングのバグはすぐに広がる可能性があります
人間の開発者によって作成されたものであれ、AIモデルによって作成されたものであれ、コードは いくつかのエラーを含む。高度に分散されたクラウドベースのコンピューティング環境における増え続ける要求を満たすために、AI がコード開発を加速するのに役立っているため、不良コードが発見される前に広く伝播する可能性が高まる可能性があります。
コードを書くように訓練されたAIモデルは、さまざまなタスクを実行する何千ものコード例を取り込み、それらの例を利用して独自のコードを作成できます。しかし、処理対象のサンプルに欠陥や脆弱性が含まれている場合、それがもともと人間によって作成されたものであれ、別の人工知能によって作成されたものであれ、モデルはそれらの欠陥を新しい環境に移す可能性があります。
検討中 研究によるとわかっています AIモデルは、使用しているコードの欠陥を確実に認識できないため、欠陥や脆弱性の拡散に対する組み込みの防御策はほとんどありません。AIはコーディングのミスを犯すだけでなく、将来どこかで脆弱性が特定されるまで、おそらく自社が開発したソフトウェアを使用している企業への侵害が成功するという形で、自身や他のソースのミスを繰り返します。
コーディングの欠陥が蔓延するのを防ぐ真の防御策は、人間とAIモデルが連携することです。人間の開発者は AI コードの記述を監督し、安全でないコーディング手法や脆弱なコードに対するチェックの役割を果たすべきです。しかし、そのためには、開発者がAIが犯す可能性のあるコーディングミスを特定して迅速に修正できるように、安全なコード作成のベストプラクティスについて徹底したトレーニングを受ける必要があります。
AI コードの作成と修正の課題
ChatGPTのような大規模言語モデル (LLM) が突然爆発的に増加したことは、諸刃の剣のようなものでした。一方では、時間と手間がかかる、または困難な雑用を AI を使って処理することで、企業や日常ユーザーの生産性が大幅に向上しました。一方で、AIに仕事を任せようとやみくもに信頼した場合に、何がうまくいかないかの例はたくさんあります。
AIモデルが作った 明白な間違い、バイアスを示して制作した 完全な幻覚。多くの場合、問題の根源は不十分または無責任なトレーニングデータでした。どのAIモデルも、そのトレーニングに使用したデータによって品質が決まるため、トレーニングデータは包括的で慎重に吟味されていることが不可欠です。ただし、それでもいくつかの間違いは犯されます。
コーディングにAIを使用することは、同じハードルの多くに直面します。AI によって生成されたコードには、クロスサイトスクリプティングやコードインジェクションに対する脆弱性や、AI や機械学習 (ML) に特有の次のような攻撃など、さまざまな欠陥が含まれていることが明らかになっています。 プロンプト注入。また、AI モデルはプロセスが透明でないためにブラックボックス内で動作し、セキュリティチームや開発チームが AI がどのように結論に達したかを見ることができません。その結果、モデルは同じミスを何度も繰り返す可能性があります。コード作成に影響する可能性があるのと同じ欠点が、AI の使用にも引き継がれます。 コード修復 そしてコンプライアンス要件を満たしています。
AIモデルによって欠陥が生み出されたり繰り返されたりする可能性が高まり、LLMが独自のオープンWebアプリケーションセキュリティプロジェクト(OWASP)リストを持つようになりました。 上位 10 件の脆弱性。
開発者とAIが協力して安全なコードを作成できます
AI で生成されたコードに潜在的な欠陥があるという懸念から、一部の組織は、一時的ではあるが、テクノロジーの導入を断念するかもしれない。しかし、特にAI開発者がモデルの革新と改善を続けている中で、その潜在的なメリットは無視できないほど大きいです。たとえば、金融サービス業界は、この魔力を取り戻す可能性は低いでしょう。銀行や金融サービス企業はすでにテクノロジー主導型になっており、常に競争上の優位性を求めている分野で事業を展開しています。
重要なのは、リスクを最小限に抑える方法でAIモデルを実装することです。つまり、セキュリティを意識し、安全なコーディングのベストプラクティスについて十分なトレーニングを受けた開発者がいるということです。そうすれば、開発者は安全なコードを自分で作成し、AI モデルが生成するコードを綿密に監視できます。AIエンジンと人間の開発者が緊密なパートナーシップのもとで協力し、開発者が最終決定権を持つことで、企業は生産性と効率性の向上のメリットを享受できると同時に、セキュリティの向上、リスクの軽減、コンプライアンスの確保も実現できます。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされたSecure Code Warriorガイドをご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
Veuillez vérifier Secure Code Warrior Sur notre blog, vous pourrez approfondir vos connaissances sur la cybersécurité et les menaces de plus en plus dangereuses, et découvrir comment mieux protéger votre organisation et vos clients grâce à des technologies et des formations innovantes.
Table des matières
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
