| 5 min de lectura
Cuando se utiliza IA generativa para escribir código, las buenas prácticas a seguir incluyen siempre revisar el resultado, realizarle pruebas de seguridad, no alimentar la herramienta con datos de clientes o datos corporativos sensibles, asegurarse de estar utilizando una herramienta aprobada por tu empresa y tratar de no infringir las licencias de código abierto. Dado que la IA generativa ha llegado para quedarse como un aliado poderoso para la eficiencia de los proyectos de desarrollo, es importante comprobar que se implemente de forma segura.
Cheat sheet: Cinco buenas prácticas para desarrollar con IA generativa de forma segura
Revisar la respuesta tú mismo
Al igual que ocurre con los componentes de software de terceros y de código abierto, la IA ofrece una forma de agilizar los proyectos de desarrollo de software. Por ejemplo, puedes utilizar GitHub Copilot para escribir código rápidamente gracias a que autocompleta las funciones de software que deseas basándose en tus indicaciones. Una investigación de GitHub sugiere que la IA puede aumentar tu eficiencia en un 55%.
La IA generativa también tiene la capacidad de permitir que personas con conocimientos técnicos escasos desarrollen software. Es más, se ha sugerido que la IA podría realizar las tareas de los desarrolladores júnior y, aun así, servirles como herramienta de aprendizaje. Además, se espera que un número significativo de compañías utilicen la IA generativa para aliviar la carga de trabajo de los desarrolladores y asignarles otros proyectos más importantes.
Ten por seguro que la IA generativa es una herramienta de apoyo a tu trabajo. En su estado actual, no va a sustituirte. De hecho, siempre debes esperar que haya errores en el código generado por IA. Siempre deben realizarse revisiones. Examina bien el código, teniendo en cuenta las prácticas de codificación seguras. En caso de duda, pide a compañeros expertos que revisen el código generado por la IA y te den su opinión antes de hacer commit.
Realizar pruebas de seguridad al código generado por IA
La seguridad es un gran problema del código generado por IA. Afortunadamente, existen herramientas que pueden ayudarte a identificar sus vulnerabilidades. Hemos enumerado algunas que son libres y de código abierto (FOSS) en nuestro artículo principal sobre pruebas de seguridad, incluida nuestra propia herramienta. Si la aplicación que estás codificando está lista para ejecutarse, puedes evaluarla con pruebas de seguridad de aplicaciones dinámicas (DAST) además de hacerlo con pruebas de seguridad de aplicaciones estáticas (SAST). Las primeras atacarán tu aplicación interactuando con ella "desde fuera".
Tambi�én ayuda mucho contar con hackers éticos que revisen el código y la aplicación en ejecución, ya que el escaneo de vulnerabilidades, un proceso completamente automatizado, es conocido por producir informes con altas tasas de falsos positivos y pasar por alto problemas de seguridad reales. Estos hackers, también conocidos como analistas de seguridad, pueden encontrar vulnerabilidades verdaderas que, de ser explotadas, tendrían un terrible impacto en la disponibilidad, confidencialidad e integridad de la información.
Una vez conocidas las vulnerabilidades, hay que remediarlas. De nuevo, puedes utilizar la IA generativa para arreglar el código. De hecho, recientemente hemos desplegado la función Autofix de nuestra extensión en VS Code. Puedes obtener una sugerencia de corrección de código con un solo clic. Pero incluso entonces tendrás que tener cuidado con el resultado, ya que esta función aprovecha la IA generativa y no puede escapar de sus limitaciones. Por lo tanto, debes revisar la sugerencia de corrección y someterla a pruebas de seguridad.
Si te interesa una prueba gratuita de pruebas de seguridad con nuestra herramienta automatizada, haz clic aquí para empezar.
Utilizar herramientas de IA aprobadas por tu compañía
Es importante que las organizaciones identifiquen y supervisen el uso de la IA generativa en caso de que la permitan. Tendrán que redactar políticas y directrices empresariales sobre el uso de la IA con la ayuda de sus equipos jurídicos y de propiedad intelectual. Dado que la IA puede cometer errores de la misma forma que lo han hecho los humanos al escribir código, la gobernanza existente puede servir de base. En un artículo específico del blog damos consejos sobre lo que se debe incluir en una política de IA generativa Estas son algunas medidas que las organizaciones deben adoptar:
-
Establecer las herramientas de IA que identifican como seguras, siendo conscientes de las limitaciones de esta tecnología.
-
Educar a sus empleados sobre el uso de las tecnologías de IA generativa y las políticas relacionadas con ella.
-
Establecer las soluciones de pruebas de seguridad que se utilizarán para mantener seguro el código generado por IA.
-
Monitorear para detectar cualquier infracción de la propiedad intelectual.
Deberás estar al tanto de los requisitos de tu supervisor o de otras personas de tu compañía (p. ej., líder, jefe de producto, CTO, gerencia) para informarles que estás utilizando herramientas de IA generativa. Si no estás seguro de si puedes utilizarlas o cuáles de ellas son adecuadas, pregunta.
No usar datos de clientes o propiedad intelectual en motores públicos de GPT
No envíes datos confidenciales de tu compañía o de sus clientes que puedan ser ingresados en una nube que está mucho más allá de tu control. Básicamente, el motor GPT se basaría en estos datos y acabaría sugiriéndolos a usuarios ajenos a tu compañía. Además, se recomienda a los desarrolladores de todo el mundo no introducir datos sensibles en los motores de GPT, ya que se han producido fugas de datos. (Contando algunas relacionadas con ChatGPT: Samsung expuso tres veces sus propios secretos; la explotación de una librería de código abierto defectuosa dio a los atacantes acceso al historial de chat de otros usuarios; más de 100.000 cuentas fueron robadas una vez.) Por lo tanto, ten en cuenta cualquier política de tu organización que detalle cómo utilizar las herramientas de IA generativa para el desarrollo.
Tener cuidado con el copyright del código abierto con que se entrenó la IA
¿Existe la posibilidad de que estés copiando el trabajo de otra persona al utilizar los resultados de la IA generativa? Los problemas de violación de derechos de autor (cuando el resultado copia textualmente elementos protegidos por derechos de autor de software existente) y las violaciones de licencias de código abierto (p. ej., no proporcionar los avisos y declaraciones de atribución requeridos) son nuevos y deben analizarse caso por caso (ya existe una compleja demanda contra Copilot).
Es cierto que Copilot, por ejemplo, se ha entrenado con tantos repositorios de GitHub que el código que sugiere puede no parecerse exactamente a ningún código concreto protegido por derechos de autor o que requiera créditos según su licencia de código abierto. Aun así, existe un riesgo de infracción, y no se mitiga fácilmente, ya que Copilot elimina en sus sugerencias la información sobre derechos de autor, gestión y licencia que exigen algunas licencias de código abierto.
Lo que te recomendamos es que pienses si podrías obtener las funciones que necesitas utilizando librerías de código abierto conscientemente. Puedes seguir nuestros consejos para elegir bien el software de código abierto. Por cierto, existen herramientas que te ayudarán a averiguar si hay algún problema con el código de terceros que introduzcas en tu proyecto. Al realizar análisis de composición de software (SCA), estas herramientas identifican los componentes que tienen vulnerabilidades conocidas y plantean posibles conflictos de licencia. Al probar nuestra herramienta de forma gratuita obtendrás estos análisis, así como SAST y DAST. Empieza ahora y no olvides descargar nuestro plugin en VS Code para localizar fácilmente el código vulnerable y obtener sugerencias de corrección de código a través de IA generativa.
Comparte
Blog posts recomendados
Quizá te interesen los siguientes posts similares.
Los robos de datos que dejaron su huella para siempre
