AO464

sicurezza AUTOMAZIONE OGGI 464 SOLUZIONI SOFTWARE PER L’INDUSTRIA 101 quasi tre volte superiore a quello del co- dice scritto dall’uomo, a seconda dei casi. Inoltre, dal report State of Software Secu- rity 2025 di Veracode, sono emerse ulte- riori evidenze. Dal 2020, il tempo medio per risolvere le falle di sicurezza è aumen- tato del 47%, perché i team non riescono a tenere il passo con l’enorme quantità di vulnerabilità create. Lametà delle organiz- zazioni ha un debito di sicurezza critico, costituito da falle irrisolte e ad alta sfrut- tabilità che si protraggono da anni e con- tinuano ad accumularsi. Il 70% di questo debito critico di sicurezza deriva dal co- dice di terze parti e dalla supply chain del software. Anche se tanti sviluppatori non utilizzano l’intelligenza artificiale per generare codice, è probabile che lo facciano le libre- rie che vengono impiegate. Tutte queste vulnerabilità oscillano tra punti deboli comuni, come le iniezioni SQL, ed errori funzionali complessi che possono esporre le applicazioni al rischio di viola- zione. La velocità con cui il codice viene generato dall’intelligenza artificiale fa sì che queste falle possano diffondersi rapidamente se la sicurezza non viene messa al primo posto. Strategie per proteggere il codice generato dall’AI Le organizzazioni che si affidano allo sviluppo di codice basato su AI dovrebbero adottare misure proattive al fine di garantirne la sicurezza, tra cui: • Scansione di sicurezza automatica: eseguire scansioni au- tomatizzate (come l’analisi statica) su tutti i codici, generati o meno dall’AI, prima della distribuzione. • Revisione manuale del codice: il codice generato dall’AI deve sempre essere esaminato da tecnici esperti. • Audit di librerie di terze parti: assicurarsi che il codice generato dall’intelligenza artificiale non introduca vulnera- bilità da componenti di terze parti non verificati, utilizzando Software Composition Analysis (SCA). • Integrazione della sicurezza nei flussi di lavoro agen- tici: automazione delle politiche di sicurezza per garantire che gli agenti AI applichino standard di crittografia sicuri. • Adozione di strumenti di sicurezza basati sull’AI: im- plementare strumenti quali ad esempio Veracode Fix per correggere automaticamente i rischi di sicurezza in tempo reale. Ad esempio, una società globale di servizi finanziari ha imple- mentato la codifica assistita da AI su una piattaforma di pa- gamento critica. In poche settimane, le scansioni di sicurezza interne hanno rivelato che oltre il 60% dei suggerimenti di co- dice generati dall’intelligenza artificiale conteneva vulnerabilità ad alta gravità, tra cui iniezione SQL e difetti di bypass dell’auten- ticazione. Se non trattate, queste falle avrebbero potuto esporre milioni di dati dei clienti. Di conseguenza, l’organizzazione si è rivolta a un’azienda specializzata del settore che, attraverso le proprie soluzioni, ha automatizzato la correzione dei difetti e ridotto il rischio di sicurezza del 75% in meno di tre mesi. L’approccio al codice In un’epoca in cui l’AI contribuisce sempre più alla scrittura del codice su cui facciamo affidamento, è necessario integrare in- trinsecamente la sicurezza in ogni fase del ciclo di vita dello svi- luppo software. Lo scenario ideale per garantire la sicurezza del codice generato dall’AI deve includere: • Remediation delle vulnerabilità assistito dall’AI: l’intel- ligenza artificiale supporta la correzione delle falle nel co- dice generato dall’AI, suggerendo soluzioni sicure in tempo reale. Integrandosi direttamente nei flussi di lavoro degli sviluppatori, si assicura che tutto il codice, specialmente quello generato dall’intelligenza artificiale, rispetti i più ele- vati standard di sicurezza prima del deployment. • Governance e conformità basate sull’AI: con la cre- scente presenza di codice generato dall’intelligenza artifi- ciale, le organizzazioni devono implementare framework normativi per conformarsi alle normative di sicurezza. Stru- menti e compliance aiutano a gestire lo sviluppo guidato dall’AI in linea con gli standard di settore. Garantire la sicurezza del codice generato dall’AI fin da subito Gli assistenti di codifica basati sull’intelligenza artificiale e i flussi di lavoro autonomi sono qui per restare e continueranno a evolvere rapidamente. Le aziende devono riconoscere che la sicurezza non può essere rimandata in questa trasformazione, sennò sarà più complicato tenere sotto controllo il rischio e il de- bito di sicurezza. Integrando la sicurezza nei loro flussi di lavoro di sviluppo, i team possono sfruttare con fiducia il potere dell’AI, assicurando che la sicurezza rimanga una priorità assoluta. Veracode - www.veracode.com Gli agenti guidati dall’AI spesso non considerano le migliori pratiche di sicurezza, con conseguenze potenzialmente rischiose come un processo decisionale automatizzato Foto Shutterstock Report State of Software Security 2025 di Veracode