Последние достижения в области no-code, искусственного интеллекта, беспарольного входа по ключам (passkey) и шифрования способствуют повышению производительности разработчиков в нынешнем экстраординарном году, пишет на портале The New Stack Бхавна Сингх, старший вице-президент по инженерии компании Okta.
Я считаю, что именно мы, разработчики, являемся ключом к инновациям. Разработчики — это те, кто постоянно перестраивают и переосмысливают то, как создаются приложения. Но в
Готовя эту статью, я задала своим коллегам-инженерам несколько вопросов. Какие тенденции и технологии позволят разработчикам сосредоточиться на инновациях в более жестких экономических условиях? О чем нужно думать компаниям, чтобы помочь разработчикам делать свою работу лучше в этом экстраординарном году? Вот к чему мы пришли.
Компании инвестируют (больше) в эффективность разработчиков
Просьба к разработчикам «делать больше с меньшими затратами» не нова. Эффективность разработчиков была ключевой областью инвестиций в течение многих лет из-за нехватки специалистов и постоянного давления с целью опередить конкурентов с помощью инноваций. Но, с учетом нынешних экономических тенденций, мы увидим вливание еще больше денег в ПО и инструментарий для разработчиков.
Цель будет заключаться в том, чтобы помочь разработчикам максимально эффективно использовать свое время при написании безопасного и масштабируемого кода. Технологические инвестиции должны будут легко интегрироваться в существующие рабочие процессы разработчиков и помогать им быстрее выпускать функции без ущерба для безопасности, соответствия требованиям и надежности.
Языковая независимость, low-code и быстрое развертывание — все это подходы, которые помогают повысить эффективность работы разработчиков, а также позволяют им работать на своем языке. ПО и инструменты в этой области будут продолжать набирать обороты, однако победителями станут только те, которые обеспечат
Часто используемые компоненты, которые в той или иной степени связаны с безопасностью, такие как проверка личности и управление согласием, уже представлены в виде перетаскиваемых объектов. Эти инструменты обеспечивают продуктивную работу существующих разработчиков, а также помогают новым разработчикам быстрее включиться в работу и внести значимый вклад.
И дело не только в инструментах. Противоречие между инновациями и безопасностью существовало с момента появления кода, но подход «shift left» (перенос тестирования на ранние этапы разработки) только сейчас становится основным. Я ожидаю увеличения инвестиций в инструменты, которые помогут проактивно управлять безопасностью. Мы также увидим, как компании сближают команды инженеров и специалистов по безопасности, чтобы выявлять риски до того, как они попадут в производство, стремясь применять принципы «secure by design».
Генеративный ИИ выходит на первый план
Генеративный ИИ привлек внимание разработчиков по всему миру, что подтверждается вирусным запуском и ростом ChatGPT. ИИ уже давно является ключевым направлением инвестиций для компаний, но
Это означает, что необходимы инструменты и платформы для создания и развертывания моделей на основе GPT-3, а также приложения для интеграции с этими ИИ-моделями. В условиях жесткой конкуренции в этом пространстве важно будет более глубоко изучить повышение производительности платформ MLOps и инструментов развертывания для обеспечения скорости и масштабирования.
Если не объединить ИИ-фреймворки с технологиями генеративного ИИ, чтобы обеспечить доверие и сделать ответ модели объяснимым, внедрение моделей GPT в инфраструктуру, SecOps и других приложений для принятия решений будет затруднено.
Хотя генеративные системы используются для создания инструментов генерации пробного кода, я по-прежнему скептически отношусь к тому, как далеко мы можем зайти в автоматической генерации полезного кода. Но если генеративный ИИ даст дорогу большему количеству возможностей для работы с low-code, это будет значимой победой.
ИИ используют не только разработчики. Следует ожидать, что злоумышленники также творчески подойдут к использованию генеративных ИИ -решений — с их помощью они смогут создавать более совершенные и правдоподобные фишинговые письма и диалоги с чатботами. В связи с этим функция DevSecOps получит значительное развитие, и лучшие практики должны будут включать двойную проверку любого генерируемого кода на известные уязвимости.
А поскольку эти технологии спешат использовать практически в каждом приложении, становится еще более важным, чтобы мы применяли такие устойчивые к фишингу факторы, как passkey.
Passkey дебютирует как «убийца паролей»
Как технологи, мы уже давно знаем, что нам нужно отказаться от паролей. С многочисленными подключенными устройствами и цифровым взрывом пароли стали неудобными. И они также небезопасны. На нашей платформе мы ежедневно обнаруживаем 50 000 взломанных паролей, в то время как в прошлом году этот показатель составлял 26 000.
В этой области было много инноваций, но ничто не получило достаточно широкой поддержки, чтобы добиться широкого распространения. Многолетнее стремление сделать пароли «более безопасными» только усложнило жизнь пользователям, разработчикам и службам поддержки. Даже в самом лучшем случае пароли все еще недостаточны для защиты личности пользователя.
Passkey — это новый подход к аутентификации FIDO2, который позволяет использовать биометрическую аутентификацию (сканирование лица или отпечатка пальца) на всех устройствах. Многие пользователи знакомы с этой процедурой при разблокировке своих телефонов. Поскольку passkeys сохраняются в облаке, их легко переносить с одного устройства на другое. Кроме того, они более устойчивы к фишинговым атакам и атакам с использованием украденных учетных данных, чем пароли.
Так заменят ли ключи пароли? Я думаю, что в этом году мы добьемся значительного прогресса, но только если мы сосредоточимся на опыте разработчиков. Passkey — это восхитительный потребительский опыт, но этот опыт никогда не станет достоянием потребителей, если мы не облегчим разработчикам интеграцию аутентификации с помощью passkey в их приложения. Внедрение ключей должно занимать минуты, а не дни.
Криптографические достижения в борьбе с утечками данных
Перед разработчиками также стоит задача внедрения безопасных криптографических протоколов для защиты конфиденциальных данных. В процессе шифрования создается то, что эксперты называют «неразборчивым блоком данных» — чтобы обеспечить их конфиденциальность. Однако зашифрованные данные создают дополнительные трудности для разработчиков, которым необходимо расшифровать данные, прежде чем можно будет их искать или использовать в других приложениях.
Нередко команды разработчиков ИИ, да и все, кто работают с данными, чувствуют себя скованными усилиями по обеспечению конфиденциальности и безопасности данных (и снова о противоречиях между инновациями и безопасностью). Тут на помощь приходит шифрование с возможностью запросов (queryable encryption) — криптографическое усовершенствование, позволяющее выполнять поисковые запросы к зашифрованным данным. Оно позволяет командам анализировать и обрабатывать зашифрованные данные безопасным способом. Ученые годами размышляли о возможности реализации подобного решения. И с появлением таких функций, как Queryable Encryption в MongoDB, этот инструмент начинает внедряться в реальные среды разработки.
Мы увидим больше инноваций в этой области по мере ужесточения законов о конфиденциальности пользовательских данных. Одним из наиболее интересных сценариев может стать предоставление пользователям возможности просматривать свои собственные данные, не позволяя поставщику услуг или его сотрудникам получать доступ к этим данным в открытом виде.
В этом год компании предпочтут «затаиться». Для разработчиков это означает усиление внимания к основным продуктам при одновременном стремлении к правильному выбору «строить или покупать» в отношении всего остального.
