A IA entra na pipeline de build
A segurança da cadeia de suprimentos de software já era difícil o suficiente. Agora, a IA se juntou ao pipeline de build. Por cinco anos, "segurança da cadeia de suprimentos de software" significava uma pergunta: o que há no seu código? Quais pacotes de código aberto, quais versões, quais dependências transitivas três camadas profundas que ninguém escolheu de propósito.
Lição de incidentes passados
SolarWinds, Log4Shell e XZ Utils ensinaram a mesma lição: o risco vive menos no código que foi escrito e mais na cadeia de suprimentos que o entregou. Com a IA gerando código, a superfície de ataque se expande, introduzindo novos vetores de comprometimento que podem ser difíceis de detectar com ferramentas tradicionais.
Riscos de segurança com IA generativa
A introdução de IA na geração de código traz riscos específicos. Modelos de linguagem podem alucinar dependências maliciosas, introduzir vulnerabilidades não intencionais ou, em casos piores, ser manipulados para injetar backdoors diretamente no código-fonte. A verificação de integridade do código gerado por IA torna-se um desafio crítico para equipes de segurança.
Impacto na governança de segurança
Para os CISOs, isso significa que as políticas de segurança de software devem evoluir para incluir a governança de ferramentas de IA. Isso envolve a validação de modelos, o monitoramento de prompts e a auditoria de código gerado por IA antes da integração em ambientes de produção.
O que os CISOs devem fazer
- Estabelecer políticas claras para o uso de IA na geração de código.
- Implementar verificações de segurança específicas para código gerado por IA.
- Monitorar a cadeia de suprimentos de ferramentas de IA utilizadas pelos desenvolvedores.