В непрерывном потоке новостей об очередных чудо-помощниках или подборках GPT-агентов можно не заметить самой важной проблемы, связанной с AI. Изначально проблематика DevSecOps и современного AppSec, встроенного в CI/CD, возникла из условий рыночной гонки компаний за клиентами.
Когда перед организациями встала необходимость быстрее адаптировать приложения к потребностям пользователей и бороться за их внимание и деньги. Ускорять изменения. Обеспечивать сверхбыстрое масштабирование проектов без потери надёжности. Это, в свою очередь, породило потребности в новых инструментах и подходах к работе. Распространились контейнеры и их оркестраторы, набрали популярность low-cod-платформы и облачные сервисы. И вот теперь в этой среде возникает всё более острая потребность в информационной безопасности – об этом свидетельствует огромное количество продуктов, решений и направлений услуг, связанных с тематикой безопасности приложений.
ПОПУЛИЗМ ИЛИ ОБЪЕКТИВНАЯ НЕОБХОДИМОСТЬ?
Но почему это происходит и о чём свидетельствует? По мнению автора, главный фактор связан со стремительностью «прогресса», когда скорость «инноваций» достигает такого предела, за которым не успевают ни специалисты, ни технологии, ни консервативно выстроенные процессы. Всё более сложная экосистема сервисов, инструментов, утилит, фреймворков, стеков технологий порождает всё большее количество сбоев, инцидентов, ошибок, необходимости интеграций, настроек и… дефицит кадров, способных разбираться в этом хаосе.
В итоге дисциплина безопасности приложений и разработки превращается в разновидность «алхимии». Когда дефицитные «жрецы безопасного кода» ценятся так сильно, что джуниор с полугодовым опытом работы вполне может претендовать на вакансию 150 тысяч рублей на руки, иметь удалёнку из региона и считаться «выгодной корпоративной инвестицией». А грамотные инженеры со стажем 5+ лет годятся в «прожжённые ветераны» и ценятся как «крыло от самолёта».
И это не досужие домыслы, а суровые факты действительности, подтверждаемые статистикой. Например, созданный в 2010 году Consortiumfor Information & Software Quality (CISQ) оценивает ущерб от некачественного кода и недостатков процессов разработки в 2022 году в 2,41 триллиона долларов, а дефицит ИТ-кадров в 300 тысяч человек, и это только в США. Подробнее о результатах исследования можно почитать на сайте организации. Но очевидно, что если в развитых с точки зрения ИТ-разработки США существуют такие проблемы, то аналогичная ситуация (или хуже) характерна для всего мира, особенно для развивающихся регионов вроде Африки.
Казалось бы, отличные новости для профильных специалистов, у которых впереди много работы! Но тут на сцену выходит ИИ, который может оказаться фактором существенных и достаточно быстрых изменений в индустрии (буквально на горизонте 3–5 лет). Что-то похожее происходило с классическими веб-дизайнерами, очень востребованными в конце нулевых, но существенно утратившими позиции после появления различных веб-конструкторов а-ля Figma. Аналогичный процесс наблюдался на примере консервативных сисадминов, оттесняемых на периферию облачными технологиями и виртуализацией. Конечно, это не означает, что веб-дизайнеры или сисадмины «вымерли». Среди них существуют и будут существовать отдельные супервостребованные гуру, у которых всё хорошо. Но важно понимать, что эти супергуру — разновидность «органических фермерских продуктов» — уникальных, нишевых товаров, которые не закрывают массовые потребности и существуют в своих трудно повторимых нишах. Конечно, остаются и середняки. Но меняется степень их востребованности и падают заработные платы.
И если мы спроецируем тренды ИИ на отрасль безопасной разработки, то точно должны задуматься: а что будет дальше? Каким инструментарием необходимо овладеть, чтобы оставаться востребованными и соответствовать актуальному уровню компетенций?
НЕКОТОРЫЕ ПРИМЕРЫ И ВОЗМОЖНЫЙ ПЛАН ДЕЙСТВИЙ
Уже сейчас нейронные сети с различными специализациями, интегрированные в единое целое с помощью специальных оболочек, позволяющих использовать предустановленные промпты, кажется, являются следующей вехой развития индустрии. Они не только помогают автоматизировать типовые задачи и встраиваются крупными корпорациями в свои сервисы и инструменты «из коробки». Но и снимают существенную часть аналитической нагрузки и рутины с опытных специалистов. Заменяя как отдельные роли и направления работы, так и толковых джунов, быстрее и точнее собирая необходимую информацию и чётко выполняя поставленные задачи.
Здесь очень характерно поведение Microsoft, которая после покупки GitHub начала интегрировать с ним всё больше интересных инструментов, связанных с безопасностью разработки. Например, уже в декабре на базе GitHub должен открыться (если ещё не открылся) чат со знаменитым Copilot, который позволит в числе прочего следить за безопасностью создаваемого кода в режиме онлайн. А на недавней презентации CEO Microsoft продемонстрировал возможные интеграции этого инструмента с различными приложениями и внешними источниками данных, в рамках Office 365. Показал на примерах, как это позволит автоматизировать самые разные задачи, в том числе связанные с обработкой информации об инцидентах и уязвимостях кибербезопасности.
И это один продуктодной корпорации, не специализированной на информационной безопасности! Понятное дело, что любое новое решение может содержать какие-то недостатки, что адаптация к новым возможностям займёт какое-то время. Но кажется, для всех, кто хочет оставаться на плаву, наступает время готовиться к адаптации прямо сейчас. А для тех, кто любит неопределённость и риски, открываются возможности по развитию собственных стартапов в новых нишах. Например, почти наверняка потребуются консультанты по обучению команд AppSec и DevSecOps использованию и внедрению нового инструментария, возникнет потребность в защите API агентов GPT, встанут вопросы дообучения и тюнинга моделей, появятся истории про доверие и конфиденциальность вводимых данных, станет накапливаться ещё больше чисто юридических кейсов относительно прав собственности на «выделяемый AI продукт», потребуются стандарты и фреймворки безопасности ИИ и т. д. и т. п.
То есть, по существу, у нас на глазах возникает очередной фронтир, и те, кто «поверит в него», получат шанс заскочить туда, если не в статусе крупнейших корпораций, создающих собственные модели и базовые инструменты, то по крайней мере в рамках разработчиков вспомогательных сервисов и нишевых инструментов или пользователей и инженеров, способных грамотно использовать новые возможности, повышающие продуктивность и результативность труда.
ЗАКЛЮЧЕНИЕ
Достаточно ли приведённых выше аргументов, чтобы запланировать изучение и внедрение новых инструментов или хотя бы сходить на курсы повышения квалификации? Ещё пару лет назад сам автор был скептичен к подобным инновациям, вспоминая то популярность блокчейн-технологий и децентрализации вычислений, то радостный ажиотаж скорой колонизации Луны и Марса из более далёких времён. Но последние факты и то, что уже сейчас можно делать с помощью всё ещё несовершенного инструментария, убедили его в обратном.
Убедит ли это вас? Насколько у нас достаточно свидетельств для того, чтобы делать глобальные выводы? Автор не знает, но советует прочесть «ИИ-2041. Десять образов нашего будущего» Кай-Фу Ли и Чэнь Цюфань — достаточно взвешенную и многомерную аналитику профильного специалиста, переплетённую со сборником фантастических рассказов. И хотя футурология и прогнозы — дело неблагодарное, во многом потому, что технологии не существуют в вакууме и многое зависит от сил, занимающихся их внедрением, от заинтересованности субъектов, которые используют эти технологии, кажется, что ИИ не будет технологией-пустышкой и в ближайшую декаду мы увидим существенную трансформацию профессии, к которой можно и нужно готовиться прямо сейчас…
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных