Vulnerabilidades de Software
La integración de herramientas de generación automática de código, como GitHub Copilot, en los flujos de trabajo de los desarrolladores conlleva un riesgo inherente: la potencial introducción inadvertida de vulnerabilidades de seguridad que quedan ocultas en el programa final.
ENTIDAD
1 - Humano
INTENCIÓN
2 - Involuntario
TIEMPO
2 - Post-despliegue
ID del riesgo
mit18
Linea de dominio
2. Privacidad y Seguridad
2.2 > Vulnerabilidades y ataques a la seguridad del sistema de IA
Estrategia de mitigacion
1. Implementar la validación dinámica y en tiempo de ejecución del código generado por IA, tratándolo como entrada no confiable. Se requiere someter el código a pruebas rigurosas de comportamiento (DAST) para asegurar la correcta aplicación de la autorización, el control de acceso y las reglas de negocio, superando las limitaciones del análisis estático de patrones. 2. Integrar escaneo de seguridad automatizado y continuo (SAST/DAST) directamente en el flujo de trabajo de desarrollo (IDE y revisiones de código) para identificar y remediar proactivamente vulnerabilidades específicas del código asistido por IA. Este proceso debe incluir la verificación automática de correcciones para prevenir la reintroducción de fallos (regresión). 3. Desarrollar un marco de gobernanza de seguridad de la IA y un programa de formación obligatoria para desarrolladores, enfatizando la "propiedad del código" y la concienciación sobre riesgos. Esto incluye la capacitación en higiene de *prompts* y la validación manual de todas las sugerencias de código que afecten a la seguridad, antes de su aceptación e implementación.