Почему ChatGPT создает риски при разработке кода?

Использование кода, созданного искусственным интеллектом, без надлежащего тестирования может привести к ряду рисков и последствий для организаций.

Непроверенный код может содержать баги и ошибки, приводящие к сбоям и низкой производительности, не соответствовать стандартам качества или лучшим практикам, а также нормативным стандартам и требованиям к соответствию, что может привести к юридическим и финансовым последствиям.

Чтобы обеспечить высокое качество кода, ИТ-лидеры должны уделять первостепенное внимание контролю со стороны человека и постоянному мониторингу и сочетать эти меры с тщательным тестированием и проверкой кода, чтобы убедиться, что созданный ИИ код соответствует протоколам безопасности.

"Проводите тестирование, когда, где и как работают ваши разработчики", - говорит Скотт Герлах, соучредитель и CSO StackHawk, - "Заранее продумайте требования к тестированию и привлеките все ключевые заинтересованные стороны к разработке процесса, чтобы обеспечить поддержку". Он рекомендует сделать тестирование неотъемлемой частью жизненного цикла разработки ПО, автоматизируя тестирование в рамках непрерывной интеграции и непрерывной доставки (CI/CD), пока разработчики работают над кодом.

"Обучайте разработчиков с помощью целевых тренингов, основанных на паттернах в контексте их кода и важности для бизнеса", - добавляет он. "Вам также необходимо предоставить инструменты самообслуживания, которые помогут разработчикам понять, какие проблемы возникают, почему они важны и как воссоздать проблему, чтобы они могли ее исправить, принять и задокументировать решения".

Джим Шейбмайр, старший директор-аналитик Gartner, объяснил по электронной почте, что использование кода от помощников по кодированию с искусственным интеллектом сопряжено с тем же риском, что и копирование и вставка кода из Stack Overflow или других интернет-ресурсов.

"Нам нужно использовать помощников по кодированию с искусственным интеллектом для создания документации по коду, чтобы улучшить понимание и знание решения, а также ускорить процесс", - говорит Шейбмайр.

Процессы проверки кода, ориентированные на человека

Рэнди Уоткинс, технический директор компании Critical Start, советует организациям выстраивать собственную политику и методологию, когда речь идет о внедрении кода, созданного искусственным интеллектом, в практику разработки программного обеспечения.

"В дополнение к некоторым стандартным передовым методам и технологиям кодирования, таким как статический и динамический анализ кода и безопасные методы CI/CD, организациям следует продолжать следить за развитием сферы разработки ПО и безопасности", - сказал он InformationWeek по электронной почте.

По его словам, организациям следует использовать код, сгенерированный искусственным интеллектом, в качестве отправной точки, но при этом привлекать людей для проверки и доработки кода, чтобы он соответствовал стандартам.

Джон Бамбенек, главный охотник за угрозами из компании Netenrich, добавляет, что руководство должно "ценить безопасный код" и следить за тем, чтобы все коды, отправляемые в производство, проходили как минимум автоматизированное тестирование.

"В конечном счете, многие риски генеративного кода ИИ можно устранить с помощью эффективного и тщательного обязательного тестирования", - отметил он в своем электронном письме.

Он объясняет, что в рамках конвейера CI/CD необходимо обеспечить обязательное тестирование всех производственных коммитов и регулярную комплексную оценку всей кодовой базы.

"Ведите инвентаризацию используемых библиотек программного обеспечения, чтобы иметь возможность проверять обновления или включать пакеты с опечатками, а также управляйте секретами, чтобы ключи и учетные данные не попадали в хранилища кода", - говорит Бамбенек.

Прокладывая путь к ясности

Недавнее исследование Sauce Labs среди 500 американских разработчиков показало, что более двух третей (67 %) респондентов признались, что отправляют код в производство без тестирования, а шесть из 10 опрошенных разработчиков признались, что используют непроверенный код, созданный с помощью ChatGPT.

Джейсон Баум, директор по работе с сообществом Sauce Labs, говорит, что речь идет о том, чтобы лидеры могли действовать и прокладывать четкий путь среди суеты.

"С кодом, сгенерированным искусственным интеллектом, мы часто летим вслепую по контексту и функциональности, поэтому тщательное тестирование не просто разумно, а необходимо, чтобы избежать финансовых и репутационных потерь", - объясняет он. "Когда мы устанавливаем предельно ясные ожидания, мы не просто ускоряем вывод кода на рынок, мы поддерживаем культуру, в которой качество и безопасность ставятся во главу угла, а не ставятся под угрозу".

Баум говорит, что балансировать между эффективностью ИИ и качеством кода - все равно что ожидать, что свежий кофе будет подан прямо из кофейного зерна: пропустить процесс помола и заваривания - это не выход.

"Как журналисты не позволят ChatGPT опубликовать статью без рецензии, так и мы не можем позволить коду, сгенерированному искусственным интеллектом, попасть в производство без тщательной проверки", - объясняет он. "Речь идет о том, чтобы обучать наших разработчиков и иметь прочную сеть рецензирования, чтобы поймать невидимое, обеспечивая быстрый и безопасный выход нашего кода на финишную прямую".

Джош Торнгрен (Josh Thorngren), руководитель отдела по защите интересов разработчиков компании ForAllSecure, согласен с тем, что тестирование качества и безопасности должно быть максимально упрощено и не отвлекать разработчиков от рабочего процесса "код/сборка/отгрузка".

Например, если организация запускает инструмент тестирования безопасности в процессе CI, разработчики должны получать результаты работы этого инструмента через свой трекер проблем или инструмент CI - им не нужно входить в продукт безопасности, чтобы увидеть результаты.

"Мы также должны создать культуру, в которой баланс между качеством и скоростью не всегда будет склоняться в сторону скорости", - добавляет он. "Это не новые проблемы, но скорость генерации кода ИИ увеличивает их влияние на безопасность, стабильность и качество, повышая сложность каждой из них".