- Problemas de seguridad
- La empresa estadounidense de ciberseguridad Snyk encuestó a 537 integrantes y líderes de equipos de ingeniería de software y seguridad
- El 91.6% de los encuestados dijo: “las herramientas de codificación con IA a veces generaron sugerencias de código inseguro”
- El 80% de los encuestados dijo: “los desarrolladores dentro de la organización eluden las políticas de seguridad de IA”
- El 25% de los encuestados dijo: “usa herramientas automatizadas de escaneo para verificar la seguridad de los componentes de código abierto incluidos en las sugerencias de codificación con IA”
- Son pocos quienes intentan tomar medidas adecuadas para garantizar que las bibliotecas de código abierto sean seguras
- Según Snyk, Copilot de GitHub genera fragmentos de código aprendiendo patrones y estructuras de repositorios de código existentes
- En ese proceso, el código puede replicar vulnerabilidades de seguridad existentes o malas prácticas presentes en archivos adyacentes
- Es necesario identificar código con riesgos de seguridad mediante inspecciones de seguridad automatizadas y auditorías de código, y revisar la seguridad de las herramientas de IA para generación de código
- Problemas de calidad del código
- Lo señaló Bernd Greifeneder, fundador y CTO de la empresa estadounidense de observabilidad Dynatrace
- Hasta ahora, la IA ha sido entrenada con buenas fuentes curadas por personas, como sitios tipo Stack Overflow
- En adelante, si los desarrolladores usan más código generado por IA, podría debilitarse la motivación para actualizar esos sitios
- Que los desarrolladores copien y peguen fragmentos de código para acelerar el despliegue se considera una mala práctica
- Esto reduce la mantenibilidad y aumenta el riesgo de que errores o vulnerabilidades se dupliquen o pasen desapercibidos
- Las herramientas de IA para generación de código automatizan a gran velocidad ese proceso de copiar y pegar
- Las organizaciones necesitan analizar a fondo y probar el código generado por IA, y reforzar prácticas de desarrollo que cumplan con estándares de calidad y seguridad
- Aplicar principios de ‘código limpio’ al código generado por IA
- Es necesario asegurar la calidad del código mediante pruebas y análisis para que el ‘código limpio’ quede reflejado en la implementación final del código generado con IA
- Problemas de derechos de autor
- Herramientas como Copilot crean código refactorizando el código de entrada
- Estas herramientas pueden enfrentar problemas de derechos de autor y licencias de código abierto derivados tanto de los datos usados para entrenar el modelo de IA como del código de salida generado por el modelo entrenado
- Análisis del bufete global Finnegan:
- Las herramientas de IA para generación de código recomiendan copias del código usado para entrenar el modelo base de IA
- GitHub también reconoció que “a veces el código generado por Copilot cita código abierto entrenado y disponible públicamente”
- Según una investigación interna de GitHub, la probabilidad es extremadamente baja, del 1%, pero Copilot puede generar código que incluya algunos bloques idénticos al código de entrenamiento
- La licencia del código abierto también podría aplicarse al código desarrollado usando Copilot
- Si se reutiliza repetidamente código sujeto a licencias de código abierto en código creado con herramientas de IA para generación de código, ese uso podría constituir una infracción de derechos de autor cuando no se cumplan condiciones de la licencia de código abierto, como la atribución o la distribución
- Debido a la falta de trazabilidad del código sugerido por herramientas de IA para generación de código, no hay una forma inmediata de saber si el “código generado incluye código repetido que podría infringir las condiciones originales de la licencia de código abierto”
- Es necesario revisar manualmente el código generado con IA para verificar código popular ya conocido
- Es necesario usar herramientas de escaneo de código para revisar código sujeto a licencias de código abierto
Aún no hay comentarios.