- Masalah keamanan
- Perusahaan keamanan siber AS Snyk melakukan survei terhadap 537 anggota tim dan pemimpin di bidang rekayasa perangkat lunak serta keamanan
- 91,6% responden: “alat coding AI terkadang menghasilkan saran kode yang tidak aman”
- 80% responden: “para pengembang di dalam organisasi mengakali kebijakan keamanan AI”
- 25% responden: “menggunakan alat pemindaian otomatis untuk memeriksa keamanan komponen open source yang disertakan dalam saran coding AI”
- Hanya sedikit yang berupaya mengambil langkah yang tepat untuk memastikan library open source aman
- Menurut Snyk, Copilot milik GitHub menghasilkan snippet kode dengan mempelajari pola dan struktur dari repositori kode yang sudah ada
- Dalam proses ini, kode dapat menyalin kerentanan keamanan yang sudah ada atau praktik yang keliru dari file yang berdekatan
- Diperlukan pemeriksaan keamanan otomatis dan audit kode untuk menemukan kode yang memiliki risiko keamanan, serta meninjau keamanan alat AI pembuat kode
- Masalah kualitas kode
- Disoroti oleh Bernd Greifeneder, pendiri sekaligus CTO perusahaan observability AS Dynatrace
- Selama ini AI dilatih menggunakan sumber berkualitas yang dikurasi manusia dari situs seperti Stack Overflow
- Ke depan, jika pengembang makin banyak memakai kode yang dihasilkan AI, motivasi untuk memperbarui situs-situs seperti ini bisa melemah
- Praktik pengembang menyalin dan menempel snippet kode untuk mempercepat deployment dipandang sebagai kebiasaan yang tidak baik
- Hal ini menurunkan maintainability dan meningkatkan risiko error atau kerentanan ikut tersalin atau terlewat
- Alat AI pembuat kode mengotomatiskan proses salin/tempel ini dengan kecepatan tinggi
- Organisasi perlu menganalisis secara cermat kode yang dihasilkan AI, mengujinya, dan memperkuat praktik pengembangan yang mematuhi standar kualitas dan keamanan
- Menerapkan prinsip ‘clean code’ pada kode yang dihasilkan AI
- Untuk menjamin kualitas kode, perlu dilakukan pengujian dan analisis agar clean code benar-benar terwujud pada implementasi akhir dari kode yang dibuat AI
- Masalah hak cipta
- Alat seperti Copilot membuat kode dengan melakukan refactoring pada kode masukan
- Alat seperti ini dapat menghadapi persoalan hak cipta dan lisensi open source yang berasal dari data pelatihan yang dipakai untuk melatih model AI maupun dari kode keluaran yang dihasilkan model terlatih
- Analisis firma hukum global Finnegan:
- Alat AI pembuat kode merekomendasikan salinan dari kode yang digunakan untuk melatih model AI dasarnya
- GitHub juga mengakui bahwa ‘terkadang kode yang dihasilkan Copilot mengutip kode open source publik yang menjadi bahan latihnya’
- Menurut investigasi internal GitHub, peluangnya sangat rendah yaitu 1%, tetapi Copilot dapat menghasilkan kode yang mencakup beberapa blok kode yang persis sama dengan kode pelatihan
- Lisensi kode open source juga bisa berlaku pada kode yang dikembangkan dengan menggunakan Copilot
- Jika kode berlisensi open source dipakai berulang dalam kode yang dibuat dengan alat AI pembuat kode, penggunaan kode tersebut dapat menjadi pelanggaran hak cipta apabila tidak mengikuti syarat lisensi open source seperti atribusi dan distribusi
- Karena kurangnya traceability pada kode yang disarankan alat AI pembuat kode, tidak ada cara langsung untuk mengetahui apakah ‘kode yang dihasilkan mengandung kode berulang yang mungkin melanggar syarat lisensi open source asli’
- Perlu meninjau secara manual kode yang dihasilkan AI untuk memeriksa kode populer yang sudah dikenal
- Perlu menggunakan alat pemindaian kode untuk memeriksa kode yang tunduk pada lisensi open source
Belum ada komentar.