La mejor forma de asegurar un producto es tratar de romperlo. Uno de los principales problemas era automatizar pruebas y procesos.
Estado de la seguridad del software 2024
-> en la medida que el software evoluciona, el volumen de vulnerabilidades tambien va en aumento. -> 70% tienen deudas de seguridad -> 45% tiene deudas GRAVES de seguridad -> 2 de 10 empresas solamente pueden mantener un ritmo de FIX constante.
-> crece la complejidad -> microservicios -> avance de features -> el ecosistema de amenazas tambien es mayor
El problema con los LLM son los datos de entrenamiento, que tambien pueden tener vulnerabilidades (descubiertas y sin describir)
PAra que se puede usar ahora:
- Generación de código, test, documentación.
- uno de los usos más interesantes: Remediar vulnerabilidades de seguridad.
- 41% del código generado con COPILOT tiene vulnerabilidades de seguridad.
- Code reuse goes down
- code velocitity goes up
- Vulnerability density es SIMILAR!!
Entonces, usar LLM en el estado actual puede llevar a aumentar las vulnerabilidades.
Necesitamos wokflows (y pipelines) para remediar las vulnerabilidades más rápido y luego, usando LLM, reentrenar los modelos para entender como generar FIX. Por ejemplo, para agregar sanitizacion en el imput de los form de una web.
Antes de aplicar LLM, revisar que modelo se usa, con que datos ha sido entrenado, licencias, revisar los fix de seguridad para ver si realmente son correctos.
Automatizar!! test, pipelines, etc.