Segala yang Lama Menjadi Baru Lagi: Pengembangan Berbasis AI dan Open Source

Ingat seberapa cepat perangkat lunak sumber terbuka berubah dari hal yang khusus menjadi hal yang biasa? Laporan terbaru “Global State of DevSecOps” dari Black Duck menyatakan bahwa ada persamaan yang jelas antara lonjakan pengembangan yang dibantu AI saat ini dan penerimaan historis perangkat lunak sumber terbuka oleh para pengembang.

Seperti yang dicatat dalam laporan, kedua gerakan tersebut telah membantu merevolusi pengembangan perangkat lunak, tetapi keduanya telah memperkenalkan tantangan keamanan yang unik. Laporan tersebut, yang didasarkan pada survei terhadap lebih dari 1.000 pemangku kepentingan keamanan perangkat lunak, menyoroti bahwa meskipun adopsi AI oleh tim pengembangan hampir universal, mengamankan kelambatan kode yang dihasilkan AI, mencerminkan hari-hari awal penggunaan sumber terbuka yang tidak terkelola—dan tidak aman.

Penerapan Pengodean AI dan Masalah Keamanan

Sama seperti sumber terbuka yang menantang model pengembangan perangkat lunak tradisional, pengodean berbantuan AI mengubah cara penulisan dan penggunaan kode. Kedua gerakan tersebut telah mengubah praktik pengembangan perangkat lunak yang sudah mapan, menjanjikan peningkatan efisiensi dan kecepatan pengembangan. 

Revolusi sumber terbuka mendemokratisasi pengembangan perangkat lunak dengan menyediakan kode yang tersedia secara bebas dan platform kolaboratif. Demikian pula, asisten pengodean AI mendemokratisasi pengetahuan pemrograman, sehingga memudahkan pengembang dari semua tingkat keterampilan untuk menangani tugas pengodean yang rumit.

Namun, laporan tersebut menggarisbawahi fakta bahwa penggunaan asisten pengkodean AI menimbulkan risiko jika tidak dikelola dengan baik, seperti pada masa-masa awal adopsi sumber terbuka. Sama halnya dengan penggunaan sumber terbuka, penggunaan alat pengkodean berbantuan AI dalam pengembangan perangkat lunak menghadirkan tantangan unik terkait kekayaan intelektual (IP), lisensi, dan keamanan yang jika tidak dikelola dengan cermat oleh tim pengembangan dapat benar-benar menjegal organisasi yang tidak siap.

Misalnya, kode sumber terbuka yang tidak dikelola dan kode yang dihasilkan AI dapat menimbulkan ambiguitas tentang kepemilikan dan pemberian lisensi IP—terutama ketika model AI menggunakan kumpulan data yang mungkin menyertakan kode sumber terbuka atau kode pihak ketiga lainnya tanpa atribusi. 

Baca juga:Realme C51s Review, Hape Sejutaan yang layak Diperhitungkan

Jika asisten pengodean AI menyarankan cuplikan kode tanpa mencatat kewajiban lisensinya, hal itu dapat menjadi ladang ranjau hukum bagi siapa pun yang menggunakan kode tersebut. Meskipun mungkin hanya berupa cuplikan, pengguna perangkat lunak tersebut tetap harus mematuhi lisensi apa pun yang terkait dengan cuplikan tersebut.

Alat pengodean berbantuan AI juga memiliki potensi pasti untuk memperkenalkan kerentanan keamanan ke dalam basis kode. Sebuah studi oleh para peneliti di Universitas Stanford menemukan bahwa pengembang yang menggunakan asisten pengodean AI lebih mungkin memperkenalkan kerentanan keamanan ke dalam kode mereka.

Hal ini mencerminkan kekhawatiran yang telah lama dikaitkan dengan perangkat lunak sumber terbuka, di mana pendekatan "banyak mata" terhadap keamanan tidak selalu mencegah kerentanan menyelinap masuk. Seorang peneliti yang dikutip dalam laporan tersebut dengan tegas menyimpulkan bahwa "kode yang dibuat secara otomatis tidak dapat dipercaya begitu saja, dan masih memerlukan tinjauan keamanan untuk menghindari pengenalan kerentanan perangkat lunak."

Menurut laporan tersebut, lebih dari 90% organisasi kini menggunakan perangkat AI dalam beberapa kapasitas untuk pengembangan perangkat lunak. Namun, 21% responden mengakui bahwa tim mereka mengabaikan kebijakan perusahaan untuk menggunakan perangkat AI yang tidak sah, sehingga pengawasan menjadi sulit (bahkan mustahil). Hal ini mengingatkan kita pada masa-masa awal penggunaan sumber terbuka, ketika hanya sedikit eksekutif yang menyadari bahwa tim pengembangan mereka menggabungkan pustaka sumber terbuka ke dalam kode berpemilik, apalagi sejauh mana penggunaan tersebut.

Proliferasi Alat: Memperkuat Kebisingan

Laporan Black Duck juga menyoroti tantangan signifikan dalam pengujian keamanan aplikasi: penyebaran alat. 82% responden menyatakan bahwa organisasi mereka menggunakan antara 6 dan 20 alat pengujian keamanan yang berbeda. Meskipun dimaksudkan untuk memastikan cakupan keamanan yang komprehensif, semakin banyak alat yang diperkenalkan ke dalam alur kerja pengembangan, semakin rumit alur kerja tersebut. 

Salah satu masalah utama yang disebabkan oleh penyebaran alat adalah peningkatan "noise"—hasil yang tidak relevan atau duplikasi yang membebani tim pengembangan. Laporan tersebut mengungkapkan bahwa 60% responden menganggap lebih dari 20% hasil pengujian keamanan mereka sebagai noise. Hasilnya adalah pengurasan efisiensi yang signifikan, karena tim keamanan berjuang untuk menyaring temuan yang tidak relevan dan membedakan ancaman yang sebenarnya.

Baca juga:Menjajal Realme 13 5G Bertenaga Dimensity 6300 5G, Apakah Menarik?

Pengujian Keamanan dan Kecepatan Pengembangan: Sebuah Tindakan Penyeimbangan

Laporan tersebut mengakui adanya ketegangan yang terus-menerus antara pengujian keamanan yang kuat dan mempertahankan kecepatan pengembangan. Sebanyak 86% responden melaporkan bahwa pengujian keamanan memperlambat proses pengembangan mereka hingga taraf tertentu. Temuan ini menggarisbawahi tantangan yang dihadapi organisasi dalam mengintegrasikan praktik keamanan ke dalam siklus pengembangan yang semakin cepat, terutama dengan kompleksitas tambahan dari kode yang dihasilkan AI.

Laporan tersebut menyoroti bahwa meskipun otomatisasi dalam pengujian keamanan meningkat, proses manual dalam mengelola antrean pengujian keamanan berkorelasi langsung dengan persepsi bahwa pengujian keamanan memperlambat pengembangan. Organisasi yang sepenuhnya mengandalkan proses manual untuk antrean pengujian mereka secara signifikan lebih mungkin merasakan dampak yang parah pada kecepatan pengembangan dibandingkan dengan mereka yang menggunakan solusi otomatis. 

Temuan tersebut menunjukkan bahwa meskipun pengujian keamanan sering dianggap sebagai hambatan, mengoptimalkan proses melalui otomatisasi dapat secara signifikan mengurangi gesekan antara keamanan dan kecepatan pengembangan.

Menavigasi Masa Depan DevSecOps di Era AI

Laporan Keadaan Global DevSecOps 2024 mendorong para pembacanya untuk melihat tantangan yang diuraikan bukan sebagai hambatan yang tidak dapat diatasi, tetapi sebagai peluang untuk perubahan positif. Untuk menavigasi lanskap DevSecOps yang terus berkembang secara efektif, laporan tersebut merekomendasikan beberapa strategi utama:

Konsolidasi dan Integrasi Alat: Mengurangi ketergantungan pada berbagai alat keamanan yang berbeda dapat mengurangi masalah gangguan dan meningkatkan efisiensi secara signifikan. Organisasi harus memprioritaskan pengintegrasian alat keamanan mereka untuk menyederhanakan proses dan memusatkan hasil untuk analisis yang lebih baik.

Merangkul Otomatisasi: Mengotomatiskan proses pengujian keamanan, khususnya pengelolaan antrean pengujian dan penguraian serta pembersihan hasil, dapat secara signifikan mengurangi beban pada tim keamanan dan meminimalkan dampak pada kecepatan pengembangan.

Menetapkan Tata Kelola AI: Dengan meluasnya adopsi perangkat AI, organisasi harus menetapkan kebijakan dan prosedur yang jelas untuk penggunaannya dalam pengembangan. Ini termasuk berinvestasi dalam perangkat yang secara khusus dirancang untuk memeriksa dan mengamankan kode yang dihasilkan AI, mengatasi masalah tentang kerentanan dan potensi konflik lisensi.

Seiring dengan semakin terjalinnya AI dengan pengembangan perangkat lunak, kebutuhan akan praktik keamanan yang tangguh dan adaptif menjadi sangat penting. Temuan laporan ini menjadi pengingat tepat waktu bahwa meskipun AI memiliki potensi besar untuk inovasi, AI juga menghadirkan tantangan keamanan yang unik. Dengan merangkul otomatisasi, menyederhanakan perangkat, dan menetapkan kebijakan tata kelola AI yang jelas, organisasi dapat membuka jalan bagi masa depan di mana keamanan dan kecepatan pengembangan dapat hidup berdampingan, alih-alih bertabrakan.

Artikel oleh: Fred Bals, Peneliti Keamanan Senior, Black Duck

Anda mungkin suka:Review Kamera Infinix Hot 40i, Sejutaan Bisa Diandalkan