Künstliche Intelligenz ist auch beim Erstellen von Anwendungs-Code beliebt wie nie und mittlerweile allgegenwärtig. Doch wo liegen die Gefahren für die Application Security beim unbedachten Einsatz als Coding-Hilfe? Wo die Chancen für den AppSec-Bereich? Die Spezialisten für “Application Security Posture Management” von Cycode präsentieren eine Analyse des Status Quo.
“Generative künstliche Intelligenz verbreitet sich rasant und erleichtert den Arbeitsalltag in vielen Branchen. Teils stößt GenAI für Mitarbeitende sogar Türen in Geschäftsbereiche auf, die zuvor komplett verschlossen geblieben sind. Dazu zählen seit geraumer Zeit auch Low-Code- und No-Code-Plattformen, die zum Auftreten von sogenannten “Citizen Developers” führten, also Entwicklern mit Prozesswissen, aber ohne Software-technischen Background. Doch generative KI abstrahiert selbst die letzten Hürden: Heute kann jeder Anwendungen entwickeln und Code erstellen (lassen). Ein einfacher Prompt in natürlicher Sprache genügt – etwa so: „Erstelle mir eine Taschenrechner-Anwendung in Java, die ein Umrechnen von Werten in verschiedene Währungen ermöglicht“. Schon spuckt der GenAI-Bot den Quellcode aus.
Vibe-Hype versus Sicherheit
Was dieses sogenannte Vibe Coding allerdings nicht adressiert, ist der Umstand, dass die KI zwar angewiesen werden kann, sicheren Code zu schreiben. Aber wer soll das überprüfen? Die Citizen Developers können es definitiv nicht und da auch keine regulierende No-Code- oder Low-Code-Plattform ihrer Programmier-Kreativität sicherheitstechnische Grenzen setzt, erstellen Laien mehr und mehr Code, der teilweise ohne Sicherheits-Check in Produktivumgebungen übernommen wird. Der KI vertrauen, dass sie diesen Code sicher erstellt, ist keine Option, denn das ist weder sinnvoll noch tragbar, auch wenn es möglicherweise der Wunschtraum für die Zukunft sein mag.
Die aktuelle Realität sieht jedoch anders aus: Mit jeder der vielen Milliarden Zeilen Code, die GenAI heute im Auftrag der User generiert, vergrößert sich potenziell die Angriffsfläche – und die Notwendigkeit, eine sinnvolle Strategie für Anwendungssicherheit zu besitzen. Dazu gehört unter anderem, Cyber- und Anwendungssicherheit per “Shift Left” zu implementieren, also bereits zum Zeitpunkt der Code-Erstellung und nicht erst im Nachhinein beim Prüfen der fertigen Anwendung. Denn ab einer bestimmten Größe der Code-Basis, die in der Regel durch APIs mit weiteren Microservices erweitert wird, genügt ein reiner Perimeterschutz nicht mehr. Daher ist es wichtig, das Fundament zu schützen und die Anwendung intrinsisch sicher zu gestalten – von Grund auf. Dafür bedarf es einiger Tools, unter anderem:
• SAST (Static Application Security Testing)-Tools scannen den Quellcode auf Schwachstellen, ohne ihn auszuführen.
• SCA (Software Composition Analysis)-Tools analysieren Open-Source-Komponenten in Anwendungen und Dependencies.
• Tools für die Secrets Detection suchen und finden sogenannte Secrets wie API-Keys, Tokens oder Passwörter, die möglicherweise im Anwendungs-Code enthalten sind.
• CI/CD Security-Tools (Continuous Integration/Continuous Delivery und Continous Deplyment) überprüfen Pipelines auf potenzielle Risiken und schützen Build- sowie Deployment-Prozesse.
All diese Werkzeuge sind in ASPM (Application Security Posture Management)-Plattformen enthalten. Eine noch bessere Alternative dazu ist eine KI-native Application Security Platform, die KI-generierten Quellcode nicht nur überprüft, absichert und überwacht, sondern künstliche Intelligenz auch proaktiv zum Schutz und zur Generierung sicheren Quellcodes einsetzt. Denn richtig eingesetzt ist KI durchaus ein wertvoller Verbündeter, um die Cybersicherheit zu gewährleisten.
Für die sichere KI-basierte Code-Generierung ist die GenAI-Funktionalität in diesem Fall fest in die Application Security Platform beziehungsweise über sie in die Entwicklungsumgebung der User integriert und unterliegt den dort festgelegten Sicherheitsregularien. Das KI-Modell lernt zudem von Verbesserungen, die menschliche Entwickler implementieren. Auf diese Weise gelingt es, die Code-Generierung zu jeder Zeit nach aktuellsten Cybersecurity-Standards durchzuführen. Gleichzeitig prüft die KI jede Änderung am Code durch die User und gibt Feedback dazu, ob die Änderungen noch den Sicherheitsstandards entsprechen.”