La più grande crisi del mondo del software!

Soner Acar ha richiamato l'attenzione sulla critica vulnerabilità di sicurezza nel mondo del software, prendendo spunto dalla recente fuga di dati su GitHub. Acar ha sottolineato che i computer degli sviluppatori sono da anni l'area più autorizzata ma meno controllata, affermando che gli assistenti di codice basati sull'intelligenza artificiale e le estensioni di VS Code stanno amplificando i rischi di sicurezza di nuova generazione.

12punto

Soner Acar ha rilasciato dichiarazioni significative in merito alla violazione della sicurezza causata da GitHub, che ha dominato l'agenda del mondo tecnologico negli ultimi giorni. Dopo che GitHub ha annunciato di aver subito una fuga di dati a causa di un'estensione malevola di VS Code sul computer di un dipendente, Acar ha affermato che il rischio reale sta crescendo all'interno degli ambienti di sviluppo.

“L'AREA PIÙ AUTORIZZATA MA MENO CONTROLLATA”

Soner Acar ha sottolineato che, per anni, l'approccio alla sicurezza è stato guidato dalla filosofia "fidati dello sviluppatore, proteggi la piattaforma", ma che oggi questo approccio comporta gravi rischi.

Secondo Acar, i computer locali utilizzati dagli sviluppatori non sono più solo spazi in cui si scrive codice; sono diventati centri in cui vengono conservate chiavi SSH, token di servizi cloud e credenziali critiche che garantiscono l'accesso agli ambienti di produzione.

Acar ha evidenziato che in questi sistemi operano con pieni poteri numerosi software di terze parti che non sono sottoposti al controllo dei team di sicurezza.

ESTENSIONI DI VS CODE E STRUMENTI DI INTELLIGENZA ARTIFICIALE A RISCHIO

Affermando che l'incidente avvenuto su GitHub ha rivelato ancora una volta la fragilità della catena di approvvigionamento del software, Soner Acar ha richiamato l'attenzione in particolare sulle estensioni di VS Code e sugli assistenti di codice basati sull'intelligenza artificiale.

Acar ha dichiarato: "La prossima tappa della crisi che oggi colpisce le estensioni di VS Code saranno gli assistenti di codice basati sull'intelligenza artificiale e i server MCP".

Sottolineando che gli strumenti di intelligenza artificiale che operano localmente e hanno pieno accesso al file system possono anche accedere a Internet, Acar ha affermato che la catena di approvvigionamento di queste strutture è in gran parte priva di controlli.

HA SOSTENUTO CHE L'AVVERTIMENTO DI "FARE ATTENZIONE" È INSUFFICIENTE

Soner Acar ha affermato che avvertire semplicemente i dipendenti non è più sufficiente e che i meccanismi di sicurezza automatizzati sono diventati obbligatori.

Tra le misure di sicurezza evidenziate da Acar, spiccano i sistemi di "pre-commit hook". Acar ha sottolineato che queste strutture dovrebbero scansionare automaticamente informazioni sensibili come file .env, chiavi API e certificati prima di ogni operazione eseguita dagli sviluppatori di software, indicando l'importanza di interrompere immediatamente l'operazione qualora venga rilevato un rischio.

APPELLO A LIMITAZIONI PER GLI AGENTI DI INTELLIGENZA ARTIFICIALE

Soner Acar ha affermato che devono essere istituiti meccanismi di sicurezza speciali anche per gli assistenti di codice supportati dall'intelligenza artificiale.

Affermando che i comandi di sistema e le operazioni di scrittura di strumenti simili a Claude Code e Codex dovrebbero essere monitorati tramite meccanismi di "Agent Hook", Acar ha precisato che i dati sensibili dovrebbero essere completamente esclusi dall'accesso tramite configurazioni simili a .claudeignore.

“LE CREDENZIALI NON DEVONO ESSERE CONSERVATE IN FILE LOCALI”

Un altro punto sollevato da Acar riguarda la gestione centralizzata delle password.

Affermando che conservare le credenziali in file locali costituisce un rischio enorme, Soner Acar ha suggerito l'uso di caveau centralizzati simili ad AWS Secrets Manager.

Acar ha dichiarato che le informazioni sensibili dovrebbero essere richiamate solo al momento dell'esecuzione.

“GLI AMBIENTI DI SVILUPPO DEVONO ORA ESSERE PROTETTI COME SISTEMI LIVE”

Concludendo la sua dichiarazione, Soner Acar ha sottolineato che gli ambienti di sviluppo non possono più essere protetti con metodi classici e ha affermato che le aziende dovrebbero gestire la struttura del "Dev Environment" esattamente come un sistema live.