book_icon

IA aumenta produtividade de softwares em 55%, mas, expõe novas vulnerabilidades

Se a IA amplia a velocidade de desenvolvimento e também a superfície de ataque, a resposta do mercado tem sido empregar a própria tecnologia para identificar riscos e automatizar correções

IA aumenta produtividade de softwares em 55%, mas, expõe novas vulnerabilidades

A Inteligência Artificial entrou no desenvolvimento de software para reduzir tempo. Linhas de código que antes levavam horas passaram a ser geradas em minutos. Funções inteiras são sugeridas automaticamente e testes são escritos junto com a aplicação. O ciclo encurtou, e isso já aparece na forma como empresas estruturam seus times e entregas.

Dados de mercado indicam esse deslocamento. Levantamento da GitHub aponta que desenvolvedores conseguem concluir tarefas até 55% mais rápido com apoio de IA. Já a McKinsey & Company estima que a Automação pode reduzir em até 30% o tempo de desenvolvimento em projetos de software. E, assim, a produtividade deixou de ser limitada pela escrita manual.

A avaliação da empresa parte de um cenário em que a IA Generativa se tornou parte do fluxo de desenvolvimento, mas ainda não está integrada de forma consistente às práticas de Seguran 

Mas a aceleração trouxe o risco embutido no próprio código gerado. Como a IA aprende a partir de padrões existentes, ela pode incorporar práticas inseguras e gerar código com vulnerabilidades, especialmente quando esses padrões não são contextualizados. E, quando isso acontece em alta velocidade, o problema, antes pontual, passa a se multiplicar dentro das aplicações.

E assim, a discussão sai do campo da produtividade e entra no campo da Segurança, mais especificamente, no campo de Application Security (AppSec), que trata da proteção do software desde a sua concepção. Em Application Security (AppSec), a própria IA é usada para analisar o código em tempo real, identificar padrões de vulnerabilidades, simular ataques e priorizar correções. Assim, a Segurança acompanha o software desde a primeira linha gerada, atuando de forma preventiva ao longo de todo o ciclo de desenvolvimento.

Wagner Elias, CEO da Conviso

“A IA resolveu uma parte importante do problema, que é a velocidade de desenvolvimento. Mas ela também ampliou o volume de código sendo produzido sem necessariamente aumentar o nível de controle sobre esse código”, afirma Wagner Elias, CEO da Conviso, empresa que desenvolve soluções para Segurança de aplicações. “Se não houver validação e uma estratégia estruturada de Segurança, você acelera também a criação de vulnerabilidades”, complementa.

A avaliação da empresa parte de um cenário em que a IA Generativa se tornou parte do fluxo de desenvolvimento, mas ainda não está integrada de forma consistente às práticas de Segurança.

Isso significa que o ganho de eficiência pode vir acompanhado de exposição. “Brechas em aplicações podem gerar interrupções operacionais, vazamento de Dados e custos elevados de correção”, explica Elias. Relatórios globais, como o “Cost of a Data Breach”, da IBM, apontam que o custo médio de um incidente ultrapassa US$ 4 milhões, um valor que tende a crescer em ambientes com maior dependência digital.

Para a Conviso, o ponto central não está em limitar o uso da IA, mas em reorganizar a forma como ela é utilizada dentro do ciclo de desenvolvimento.

“Não é usar ou não usar IA para escrever código, isso já aconteceu. O que muda o jogo é como você controla o que está sendo gerado”, diz. “Sem uma camada de segurança integrada, o risco passa a ser parte do processo”.

O executivo ainda reforça que o risco está em usar IA sem controle. “Quando você automatiza a geração de código, precisa automatizar também a Segurança. Caso contrário, você só troca um gargalo por outro”, diz.

A empresa estrutura operações de segurança baseadas em Inteligência Artificial que atuam diretamente sobre o código e as aplicações. O objetivo é reduzir o tempo entre a criação de uma vulnerabilidade e sua correção, uma variável crítica para o risco.

“Criamos uma abordagem baseada em análise contínua de código e aplicações, utilizando IA para identificar e priorizar riscos e automatizar processos de correção. A proposta é deslocar a Segurança para dentro do fluxo de desenvolvimento, reduzindo o intervalo entre a criação do problema e sua resolução”, explica o CEO.

Resumindo, a IA acelera o desenvolvimento, permite produzir mais com o mesmo time, reduz o custo por entrega e viabiliza escalar sem ampliar a estrutura na mesma proporção. Por outro lado, aumenta a superfície de ataque, pode espalhar as mesmas falhas de Segurança em vários pontos do código ao repetir padrões inseguros, exige validação posterior, geralmente mais cara, e eleva o risco acumulado dentro do próprio software.

Segundo o especialista da Conviso, com isso, o mercado passa a usar IA para gerenciar e controlar o uso da própria IA. Os efeitos já aparecem nos indicadores operacionais. Um dos principais indicadores é o MTTR, que mede o tempo médio de correção de vulnerabilidades. Em ambientes onde a operação de IA foi ativada, a Conviso observou reduções relevantes, com queda de aproximadamente 26% no MTTR geral, com destaque para vulnerabilidades médias, que recuam 44%, e altas, com redução de 30%.

Em outro cenário, após seis meses de operação, falhas críticas passam a ser corrigidas em mais da metade do tempo anterior. Já em ambientes mais maduros, o indicador tende a se manter estável, refletindo processos contínuos, previsíveis e com maior controle sobre o ciclo de correção.

“O que a gente vê é que a IA muda a dinâmica do tempo. Vulnerabilidades que antes ficavam semanas ou meses expostas passam a ser tratadas em ciclos muito mais curtos”, afirma Wagner Elias.

Além da velocidade, há impacto direto na capacidade operacional. A análise manual de brechas, tradicionalmente baseada em triagem de alertas, passa a ser substituída por processos automatizados de priorização. “Ou seja: um analista dedicado, por exemplo, consegue tratar cerca de 2 mil vulnerabilidades por mês. Com o apoio de IA, essa capacidade pode crescer mais de dez vezes, permitindo que as equipes atuem sobre volumes maiores de código sem expansão proporcional do time”, diz Elias.

Para ele, o ganho não está só em fazer mais rápido, mas em fazer melhor. “A equipe que antes gastava tempo tentando descobrir onde está o problema passa a atuar diretamente na correção do que realmente importa”, completa.

O impacto também aparece no backlog (listas de prioridades da equipe de devs). Em muitos casos, ele cresce no início, até 55% em alguns cenários. Não porque o ambiente piorou, mas porque a visibilidade aumentou.

“O aumento do backlog não é um problema, é um diagnóstico. Você passa a enxergar vulnerabilidades que antes estavam ocultas. Isso melhora a tomada de decisão”, afirma. “A primeira reação pode ser achar que o ambiente piorou, porque aparecem mais vulnerabilidades. Na prática, o que aconteceu foi um aumento de cobertura. Você começa a enxergar o que antes estava invisível”, afirma o CEO.

Com a evolução da operação, esse backlog tende a se estabilizar, indicando equilíbrio entre identificação e correção. “Em ambientes mais maduros, o volume permanece praticamente constante, refletindo um fluxo contínuo de tratamento”, afirma.

Esse avanço sinaliza uma mudança mais ampla no desenvolvimento de software e, assim, a IA passa a gerar uma necessidade de uma estrutura equivalente de governança.

“A velocidade virou padrão, o diferencial agora é controle. Quem conseguir acelerar mantendo segurança vai operar melhor. Quem não conseguir, vai carregar risco dentro do próprio código”, resume o CEO da Conviso.

Wagner Elias finaliza: “No fim, o impacto da Inteligência Artificial no desenvolvimento não está apenas na quantidade de código produzido, mas na forma como esse código é gerido. A eficiência aumenta, mas só se sustenta quando acompanhada por mecanismos capazes de garantir que o ganho de velocidade não se transforme em custo futuro”.

Serviço
www.convisoappsec.com

Wagner Elias, CEO da Conviso

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital