Seperti yang dicatat dalam laporan, kedua gerakan tersebut telah membantu merevolusi pengembangan perangkat lunak, tetapi keduanya telah memperkenalkan tantangan keamanan yang unik. Berdasarkan survei terhadap lebih dari 1.000 pemangku kepentingan keamanan perangkat lunak, menyoroti bahwa meskipun adopsi AI oleh tim pengembangan hampir universal, mengamankan kode yang dihasilkan AI tertinggal, mencerminkan hari-hari awal penggunaan open source yang tidak dikelola—dan tidak aman—.
Adopsi Pengkodean AI dan Masalah Keamanan
Sama seperti open source menantang model pengembangan perangkat lunak tradisional, pengkodean berbantuan AI mengubah cara kode ditulis dan digunakan. Kedua gerakan tersebut telah mengganggu praktik pengembangan perangkat lunak yang sudah mapan, menjanjikan peningkatan efisiensi dan kecepatan pengembangan.
Revolusi open source mendemokratisasi pengembangan perangkat lunak dengan menyediakan kode yang tersedia secara gratis dan platform kolaboratif. Demikian pula, asisten pengkodean AI mendemokratisasi pengetahuan pemrograman, sehingga memudahkan pengembang dari semua tingkat keahlian untuk menangani tugas pengkodean yang kompleks.
Namun, laporan tersebut menggarisbawahi fakta bahwa menggunakan asisten pengkodean AI menimbulkan risiko jika tidak dikelola dengan benar, seperti hari-hari awal adopsi open source. Sama seperti penggunaan open source, membawa alat pengkodean berbantuan AI ke dalam pengembangan perangkat lunak menghadirkan tantangan kekayaan intelektual (IP), lisensi, dan keamanan yang unik yang tanpa manajemen yang cermat oleh tim pengembangan benar-benar dapat membuat organisasi yang tidak siap.
Misalnya, sumber terbuka yang tidak dikelola dan kode yang dihasilkan AI dapat menciptakan ambiguitas tentang kepemilikan dan lisensi IP—terutama ketika model AI menggunakan kumpulan data yang mungkin menyertakan sumber terbuka atau kode pihak ketiga lainnya tanpa atribusi.
Jika asisten pengkodean AI menyarankan cuplikan kode tanpa mencatat kewajiban lisensinya, itu dapat menjadi ladang ranjau legal bagi siapa saja yang menggunakan kode itu. Meskipun mungkin hanya cuplikan, pengguna perangkat lunak tetap harus mematuhi lisensi apa pun yang terkait dengan cuplikan tersebut.
Alat pengkodean yang dibantu AI juga memiliki potensi yang pasti untuk memperkenalkan kerentanan keamanan ke dalam basis kode. Sebuah studi oleh para peneliti di Universitas Stanford menemukan bahwa pengembang yang menggunakan asisten pengkodean AI lebih mungkin untuk memperkenalkan kerentanan keamanan ke dalam kode mereka.
Ini mencerminkan kekhawatiran yang telah lama terkait dengan perangkat lunak open source, di mana pendekatan "banyak mata" terhadap keamanan tidak selalu mencegah kerentanan menyelinap masuk.
Seorang peneliti yang dikutip dalam laporan tersebut dengan tegas menyimpulkan bahwa "kode yang dihasilkan secara otomatis tidak dapat dipercaya secara membabi buta, dan masih memerlukan tinjauan keamanan untuk menghindari masuknya kerentanan perangkat lunak."
Menurut laporan tersebut, lebih dari 90% organisasi sekarang menggunakan alat AI dalam beberapa kapasitas untuk pengembangan perangkat lunak. Namun 21% responden mengakui bahwa tim mereka melewati kebijakan perusahaan untuk menggunakan alat AI yang tidak disetujui, membuat pengawasan menjadi sulit (jika bukan tidak mungkin). Ini menggemakan hari-hari awal penggunaan open source, ketika beberapa eksekutif menyadari bahwa tim pengembangan mereka memasukkan pustaka open source ke dalam kode berpemilik, apalagi sejauh mana penggunaan itu.
Laporan Black Duck juga menyoroti tantangan signifikan dalam pengujian keamanan aplikasi: proliferasi alat. 82% responden menyatakan bahwa organisasi mereka menggunakan antara 6 dan 20 alat pengujian keamanan yang berbeda. Meskipun dimaksudkan untuk memastikan cakupan keamanan yang komprehensif, semakin banyak alat yang diperkenalkan ke dalam alur kerja pengembangan, semakin kompleks alur kerja tersebut. Salah satu masalah utama yang disebabkan oleh proliferasi alat adalah peningkatan "kebisingan"—hasil yang tidak relevan atau duplikasi yang menghambat tim pengembangan.
Laporan tersebut mengungkapkan bahwa 60% responden menganggap lebih dari 20% hasil tes keamanan mereka sebagai kebisingan. Hasilnya adalah menguras efisiensi yang signifikan, karena tim keamanan berjuang untuk menyaring temuan yang tidak relevan dan membedakan ancaman asli.
Laporan tersebut mengakui ketegangan yang terus-menerus antara pengujian keamanan yang kuat dan mempertahankan kecepatan pengembangan. 86% responden melaporkan bahwa pengujian keamanan memperlambat proses pengembangan mereka sampai tingkat tertentu. Temuan ini menggarisbawahi tantangan yang dihadapi organisasi dalam mengintegrasikan praktik keamanan ke dalam siklus pengembangan yang semakin cepat, terutama dengan kompleksitas tambahan dari kode yang dihasilkan AI.
Laporan tersebut menyoroti bahwa meskipun otomatisasi dalam pengujian keamanan meningkat, proses manual dalam mengelola antrian pengujian keamanan secara langsung berkorelasi dengan persepsi pengujian keamanan yang memperlambat pengembangan.
Organisasi yang mengandalkan sepenuhnya pada proses manual untuk antrean pengujian mereka secara signifikan lebih mungkin untuk merasakan dampak parah pada kecepatan pengembangan dibandingkan dengan mereka yang menggunakan solusi otomatis. Temuan ini menunjukkan bahwa meskipun pengujian keamanan sering dilihat sebagai hambatan, mengoptimalkan proses melalui otomatisasi dapat secara signifikan mengurangi gesekan antara keamanan dan kecepatan pengembangan.
Menavigasi Masa Depan DevSecOps di Era AI
Laporan Global State of DevSecOps 2024 mendesak pembacanya untuk melihat tantangan yang digariskan bukan sebagai hambatan yang tidak dapat diatasi, tetapi sebagai peluang untuk perubahan positif. Untuk secara efektif menavigasi lanskap DevSecOps yang berkembang, laporan tersebut merekomendasikan beberapa strategi utama:
Konsolidasi dan Integrasi Alat: Mengurangi ketergantungan pada banyak alat keamanan yang berbeda dapat secara signifikan mengurangi masalah kebisingan dan meningkatkan efisiensi. Organisasi harus memprioritaskan mengintegrasikan alat keamanan mereka untuk merampingkan proses dan memusatkan hasil untuk analisis yang lebih baik.
Merangkul Otomasi: Mengotomatiskan proses pengujian keamanan, terutama pengelolaan antrean pengujian dan penguraian dan pembersihan hasil, dapat secara signifikan mengurangi beban tim keamanan dan meminimalkan dampak pada kecepatan pengembangan.
Membangun Tata Kelola AI: Dengan adopsi alat AI secara luas, organisasi harus menetapkan kebijakan dan prosedur yang jelas untuk penggunaannya dalam pengembangan. Ini termasuk berinvestasi dalam alat yang dirancang khusus untuk memeriksa dan mengamankan kode yang dihasilkan AI, mengatasi kekhawatiran tentang kerentanan dan potensi konflik lisensi.
Karena AI menjadi semakin terkait dengan pengembangan perangkat lunak, kebutuhan akan praktik keamanan yang kuat dan dapat disesuaikan menjadi yang terpenting. Temuan laporan tersebut berfungsi sebagai pengingat tepat waktu bahwa meskipun AI memiliki potensi besar untuk inovasi, AI juga menghadirkan tantangan keamanan yang unik.
Dengan merangkul otomatisasi, merampingkan perangkat alat, dan menetapkan kebijakan tata kelola AI yang jelas, organisasi dapat membuka jalan bagi masa depan di mana keamanan dan kecepatan pengembangan hidup berdampingan, bukan bertabrakan.
(Fred Bals, Peneliti Keamanan Senior, Black Duck)
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
