ИнфоТеКС и Samsung анонсировали релиз ViPNet Client для операционной системы Tizen

ИнфоТеКС и Samsung анонсировали релиз ViPNet Client для операционной системы Tizen

На приуроченной к выходу программного продукта пресс-конференции компании ИнфоТеКС и Samsung представили журналистам ViPNet Client for Tizen. 

Данное приложение обеспечивает защиту смартфонов и планшетов под управлением ОС Tizen  от сетевых атак и позволяет получать защищенный доступ к корпоративной сети.

ViPNet Client for Tizen знаменует очередной этап развития продукта. Версии приложения для Android и iOS, как и для Tizen, стали первыми VPN-клиентами для мобильных устройств на российском рынке. Необходимо отметить, что ViPNet Client for Tizen не требует прав суперпользователя для установки на смартфон или планшет. Разработка продукта сопровождалась не только разработкой самого СКЗИ, но и внесением существенных изменений в код Tizen VPN API, учитывающих российскую специфику требований регуляторов к СКЗИ. В настоящее время программный продукт подан на сертификацию в ФСБ России. Получение положительного заключения и сертификата будет анонсировано дополнительно.

Одна из ключевых особенностей, выгодно отличающая Tizen от других операционных платформ, имеющихся в данный момент на рынке – это максимальная открытость исходного кода. Этот фактор дает широкие возможности, как пользователям, так и разработчикам, позволяя по необходимости наращивать ее возможности под конкретные задачи организации.

Среди важнейших характеристик ОС Tizen – встроенные средства обеспечения безопасности данных и механизмы шифрования, средства контейнеризации приложений и данных, существенно сниженная требовательность к ресурсам, экономичность и уменьшенное энергопотребление. Благодаря таким характеристикам платформы значительно расширяются возможности российских компаний при построении комплексных современных цифровых систем организаций, обеспечивается высокий уровень информационной безопасности и эффективное взаимодействие устройств в рамках концепции «Интернет вещей». Платформа полностью обеспечивает совместимость с самыми современными стандартами web (W3C\HTML5\CSS3).

ОС Tizen успешно прошла государственную сертификацию по требованиям безопасности во ФСТЭК России, что подтверждает ее высокую степень защищенности, исключающую риск утечки конфиденциальной информации и доступ к ней третьих лиц.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИИ пишет коды, как талантливый джуниор, и это подрывает безопасность софта

Как выяснили израильские специалисты, сгенерированные ИИ коды по плотности уязвимостей сравнимы с рукописными творениями, однако содержат структурные изъяны, способные повысить риски для введенных в эксплуатацию систем.

В рамках исследования в OX Security изучили содержимое более 300 репозиториев софта, в том числе 50 проектов, созданных с помощью GitHub Copilot, Cursor или Claude.

Многие сгенерированные ИИ коды выглядели чистыми и функциональными: казалось, умный помощник повел себя как одаренный начинающий программист, к тому же обладающий феноменальным быстродействием.

К сожалению, его участие свело на нет аудит кода, отладку и командный надзор, с которыми современные безопасники и так плохо справляются из-за возросшей нагрузки. Такие корпоративные службы, по данным экспертов, в среднем одновременно обрабатывают по полмиллиона алертов, оценивая степень важности и принимая дополнительные меры защиты.

Применение ИИ ускорило темпы создания софта, однако такие разработчики зачастую развертывают свои программы, не имея представления о защите хранимых данных и доступа, в том числе через интернет. Справедливости ради стоит отметить, что в подобную ловушку может попасть и профессиональный кодер.

«Функциональные приложения теперь можно выкатывать быстрее, но их не успевают тщательно проверять, — комментирует Эяль Пац (Eyal Paz), вице-президент OX Security по исследовательской работе. — Уязвимые системы вводятся в эксплуатацию с беспрецедентной скоростью, однако надлежащий аудит кода невозможно масштабировать до такой степени, чтобы он соответствовал новым темпам».

Суммарно эксперты выявили десять потенциально опасных недостатков, которые часто встречаются в творениях ИИ-помощников программиста:

  • множественные, излишние комментарии в коде, затрудняющие проверку (в 90-100% случаев);
  • фиксация на общепринятых правилах программирования, препятствующая созданию более эффективных и новаторских решений (80–90%);
  • создание одноразовых кодов, без возможности перепрофилирования под иные задачи (80–90%);
  • исключение рефакторинга (80–90%);
  • повторяющиеся баги, которые потом приходится многократно фиксить, из-за невозможности многократного использования кода (70-80%);
  • отсутствие осведомленности о специфике среды развертывания, приводящее к отказу кода, исправно функционирующего на стадии разработки (60-70%);
  • возврат к монолитным, сильно связанным архитектурам вместо уже привычных, удобных в сопровождении микросервисов (40-50%);
  • фейковое покрытие тестами всех интересующих значений — вместо оценки реальной логики ИИ выдает бессмысленные метрики, создающие ложное чувство уверенности в результатах (40-50%);
  • создание кодов с нуля вместо добавления обкатанных библиотек и SDK, что повышает риски привнесения ошибок (40-50%);
  • добавление логики для порожденных галлюцинациями сценариев, повышающее расход ресурсов и снижающее производительность (20-30%).

Поскольку традиционные методы обеспечения безопасности кодов не работают при использовании ИИ, авторы исследования (доступ к полнотекстовому отчету требует регистрации) рекомендуют в таких случаях принять следующие меры:

  • отказаться от аудита кодов и вместо этого привнести аспект безопасности в процесс разработки (подход Secure by Design);
  • перераспределить роли и зоны ответственности — ИИ работает над реализацией, профессионалы концентрируют внимание на архитектуре, контролируют соблюдение требований безопасности, принимают решения по вопросам, требующим опыта и знания контекста;
  • заставить ИИ блюсти интересы безопасности — вставлять соответствующие инструкции в промпты, вводить архитектурные ограничения, интегрировать автоматически выполняемые правила в рабочие процессы, чтобы не пришлось устранять огрехи пост фактум;
  • применять ИИ-средства обеспечения безопасности, сравнимые по быстродействию с такими же помощниками по разработке.

По прогнозу «Монк Дидижтал Лаб», расширение использования генеративного ИИ в российских разработках к концу текущего года приведет к увеличению количества сбоев ИТ-инфраструктуры на 15-20% по сравнению с уровнем 2023-го.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru