През юни миналата година GitHub, дъщерно дружество на Microsoft, което предоставя инструменти за хостинг и сътрудничество по отношение на кода, пусна бета версия на програма, която използва изкуствен интелект в помощ на програмистите. Започнете ли да въвеждате команда, заявка за база данни или заявка към API програмата, наречена Copilot, ще отгатне намеренията ви и ще напише останалото.

Алекс Нака, специалист по данни в биотехнологична фирма, който се е регистрирал за тестване на Copilot, казва, че програмата може да бъде много полезна и е променила начина му на работа.

“Позволява ми да прекарвам по-малко време в прескачане до браузъра, за да търся документи за API или примери в Stack Overflow. Чувствам се така, сякаш работата ми се е изместила от това да генерирам код към това да го разграничавам.”,

казва той

Но Нака е установил, че грешките могат да се промъкнат в кода му по различни начини.

“Имало е случаи, в които съм пропускал някаква финна грешка, когато съм приемал някое от предложенията му. И може да е наистина трудно да се проследи, може би защото изглежда, че той прави грешки, които имат различен привкус от тези, които аз бих направил.”,

разказва още Нака по темата

Рисковете от генериране на грешен код от изкуствен интелект могат да бъдат изненадващо високи. Изследователи от Нюйоркския университет наскоро анализираха кода, генериран от Copilot, и установиха, че за определени задачи, при които сигурността е от решаващо значение, кодът съдържа грешки в сигурността в около 40 % от случаите.

Професор в Нюйоркския университет, участвал в анализа казва, че процента на грешки е много висок. Въпреки тези недостатъци, Copilot и други подобни инструменти с изкуствен интелект могат да предвещаят коренна промяна в начина, по който разработчиците на софтуер пишат код. Нараства интересът към използването на изкуствен интелект за автоматизиране на по- обикновена работа. Но Copilot също така подчертава някои от капаните на днешните техники на ИИ.

Една от тях е да се премахнат лошите примери, от които се учи основният модел на ИИ. Друг начин може да бъде използването на обучение с подсилване – техника на ИИ, която е дала впечатляващи резултати в игри и други области – за автоматично откриване на лоши резултати, включително на невиждани досега примери. Но Copilot също така подчертава някои от капаните на днешните техники на ИИ.

“Настъпват огромни подобрения”, казва той. “Почти не можем да си представим как ще изглеждаме след една година.”

Средите за разработчици ще се преместят в облака. Локалните среди за разработка вече са до голяма степен единствената част от жизнения цикъл на разработката на софтуер, която се извършва локално на компютъра на разработчика. Автоматизираните компилации, сценичните среди и работещите производствени приложения се преместиха от локални компютри към облака.

Разработката ще стане по-научна. Екипът на Google DORA (DevOps Research and Assessment) проведе проучване, което установи, че компаниите с елитни инженерни организации са два пъти по-склонни да постигнат своите организационни цели и да постигнат 50% по-висок темп на растеж за три години.

За предоставяне на нова функционалност бързо и надеждно, без разработчиците да прегарят, екипите за разработка на софтуер трябва да гарантират, че техните процеси и инструменти са най-доброто си състояние.

Дистанционната работа ще бъде остане като тенденция. Докладът на GitHub за 2021 г. установи, че докато 41% от респондентите са били съвместно разположени в офис преди пандемията, само 10,7% очакват да останат в офиса след пандемията. Това представлява 74% намаление в процента на работа в офис.

Докладът също така установи, че разработчиците очакват 41% увеличение на процента на хибридна работа, при която някои служители работят напълно дистанционно, а други идват в офиса. Очаква се компаниите, работещи изцяло от разстояние, да се увеличат с 46% в сравнение с преди пандемията.

macOS Monterey 

Apple представи предварителен преглед на най-новата версия на macOS – macOS Monterey. От компанията заявяват, че тя пристига с нови начини потребителите да се свързват, както и да са по-продуктивни в своята работа с операционната система. За пример, SharePlay е нова функция във FaceTime, която позволява на потребителите да споделят своите изживявания заедно, а Share with You пък, улеснява откриването и наслаждаването на съдържание, споделено чрез Messages, директно във Photos, Safati, Apple Podcasts, Apple News и Apple TV. Основната актуализация на Safari включва нов Tab Bar и по-голяма организация с Tab Groups. Освен това, нова функция е и Shortcuts, чрез която могат да се автоматизират ежедневните задачи, а Focus помага на потребителите да останат концентрирани и да редуцират разсейването при изпълнение на задачите.  Освен това, Universal Control и AirPlay to Mac са нови функции, които предлагат по-лесна и безпроблемна свързаност и работа между различните Apple устройства.

„MacOS Monterey е пълен с функции, които помагат на потребителите на Mac да свършат повече работа, да се свързват с приятели и семейството си по невероятни нови начини и да работят в Mac и iPad по-безпроблемно от всякога“, казва Крейг Федери, senior vice president of Software Engineering. „Смятаме, че нашите клиенти ще обикнат сърфирането в мрежата с новия таб дизайн на Safari, ще се наслаждават на споделеното изживяване с SharePlay във FaceTime и ще използват своите Mac и други устройства на Apple заедно по нови начини с Universal Control и AirPlay to Mac.“

Apple обяви ъпдейти и в цялата си екосистема – iOS 15, iPadOS 15, watchOS 8, както и вече споменатата версия macOS Monterey. Повече информация за ъпдейтите и новите функции можете да разгледате на официалния блог на компанията.

Снимка: Apple

Чани Юн, Principal Developer Advocate в AWS написа, че AWS Application Migration Service ще съдейства за свеждане до минимум на “интензивните manual процеси, склонни към грешки, като автоматично репликира цели сървъри и конвертира source сървърите на клиентите от физическа, виртуална или облачна инфраструктура, която да работи на AWS.”

Той добавя, че услугата улеснява процеса, като автоматизира миграцията за различни приложения на AWS.

Досега клиентите са използвали CloudEndure Migration или AWS SMS за процеса, като от AWS вече призовават клиентите да преминат към Application Migration Service, защото позволява преместване на приложения в AWS, без да се налага да се правят промени в тях, тяхната архитектура или мигриралите сървъри, споделя Юн.

Той също пише, че използването на AMS може да намали разходите, свързани с миграцията, тъй като потребителите не е необходимо да плащат за „множество решения за миграция, специализирано разработване на облак или специфични за приложението умения“.

Преди мигрирането, могат да бъдат направени non-disruptive тестове, чрез които да се осигури увереността, че критични приложения като SAP, Oracle и SQL Server също ще работят на AWS.

Услугата вече е достъпна за клиенти в части от САЩ, Азиатско-Тихоокеанския регион и Европа. Извън тези региони все още ще трябва да използва CloudEndure Migration.

Amazon отбеляза, че услугата е безплатна само за 90 дни, след което клиентите ще бъдат таксувани за всяка инфраструктура на AWS, която е предоставена по време на миграция и след прекъсване.

Вие работите като Staff Security Researcher в GitHub Security Lab. Можете ли да опишете каква е работата ви Ви там?

GitHub Security Lab беше създадена преди 1 година като част от инициатива в Github за подпомагане на сигурността на софтуера с отворен код. Ние сме екип от около 10 души, които търсят предимно уязвимости във високопрофилни open source проекти, като използваме различни методи. Например аз прилагам повече static analysis, докато други хора в екипа са ориентирани към други техники.
Също така искаме да помогнем на разработчиците да разберат сигурността. Част от нашата мисия е не само да намираме бъгове и да ги докладваме, но също така и да популяризираме и пишем публикации и съдържание около това как да изградим сигурен софтуер и как да помогнем за идентифицирането на уязвимостите в своите проекти. Основно, работата ни е свързана с open source в GitHub, която е платформата където са хоствани около 80% от open source софтуерите.

Какво ви доведе до конференцията Java2Days и CodeMonsters и какво мислите за събитието, което за пръв път е виртуално?

Всъщност за втори път съм част от тези конференции, като първият път беше преди две или три години. Работех в друга компания тогава, Fortify, която е доставчик на статични анализи. Бях поканен да представя някои изследвания направени от мен, представени на една от най-важните конференции за сигурност, DEF CON и Black Hat. Бях поканен да представя същото съдържание и тук, на Java2Days и CodeMonsters конференциите. За мен бе удоволствие да взема участие и затова поддържам връзка с организаторите. Казах им, че ако имат нужда или искат да представя нещо и да им помогна с организацията или презентациите, ще го направя. Те се свързаха с мен, за да видят дали искам да говоря и тази година в това виртуално издание на Java2Days и аз разбира се приех.
Липсват ми всички дейности, които са организирани за говорителите, както и реалното пътуване. Когато презентирах преди няколко години имаше около сто души в залата, а сега по време виртуалното издание забелязах разговори с около 300-1300 зрители. Това е и чудесна възможност да разширим посланието си, защото на физическите конференции нямаме толкова богата публика. Впечатлен съм от броя на хората.

Вашата лекция “How variant analysis helped the fight against COVID-19?” звучи много интересно. Можете ли да обясните какво представляват тези анализи ?

Анализът на вариантите е процесът на използване на известна уязвимост за намиране на подобни проблеми във вашия код. Откривате грешка или някои уязвимости в сигурността, което обикновено е manual процес, който отнема часове, дни или дори седмици, в които изследователят по сигурността разглежда source кода, за да го разбере и да намери уязвимост или модел. След като откриете уязвимост, тези грешки обикновено не се появяват изолирано.
Рядкост е да намерите грешка, която е специфична само за вашата кодова база.
Идеята с анализа на вариантите е да можете да моделирате знанията, които сте получили чрез намирането на тази уязвимост, и да можете да изразите това в заявка, така че да възпроизведете същия процес на намиране на уязвимостта, но да го автоматизирате по начин, по който можете да го направете в стотици или хиляди проекти едновременно.
Вие намирате уязвимостта и след това искате да намерите всички нейни екземпляри. Като вендор или като част от поддръжката на продукти с отворен код, получавате отчети за уязвимости в сигурността във вашия софтуер и след това ги поправяте. Възможно е да има подобни случаи на същата уязвимост, която да е все още в source кода и да оставите приложението отворено за подобни, които не са открити. Идеята с анализа на вариантите е да вземете това, което е вече известно от изследователя на сигурността, да го поставите в някаква заявка и след това да я изпълните във вашия source код, за да намерите всички подобни случаи.
Преглеждах една уязвимост, която открих в Nexus, от хранилището от Sonatype, и когато извърших анализа на основната причина, разбрах какъв е проблемът. Успях да използвам този модел в нашата заявка с CodeQL и да я изпълня в множество проекти с отворен код в GitHub. Открих, че много от тях са уязвими, така че ние oт екипа бяхме отговорни за разкриването на всички тези бъгове.
Една такава уязвимост беше в приложението Corona-warn, което се използва в Германия за проследяване на вируса.
Това бе същата уязвимост, която засягаше Nexus преди две години, от която успяхме да научим много. Още със самото стартирането на Corona приложението успяхме да открием уязвимости от същия модел. По този начин получихме достъп до сървърите, които хостваха структурата на COVID-19 app-а в Германия.