Vijest da OpenAI rotira certifikate za macOS nakon napada koji je zahvatio code-signing workflow otvara važnu temu sigurnosti razvojnih procesa. U eri ubrzanog razvoja i automatizacije upravo su CI/CD, build i potpisivanje koda među najosjetljivijim točkama cijelog softverskog lanca.
Depositphotos
Prema BleepingComputeru, OpenAI je rotirao macOS certifikate nakon što je takozvani Axios napad pogodio njegov workflow za potpisivanje koda. Sama činjenica da je pogođen dio procesa koji služi za dokazivanje autentičnosti softvera čini ovu priču važnijom od tipičnog incidenta s korisničkim podacima. Ovdje je riječ o sloju povjerenja između proizvođača i krajnjeg uređaja.
Ako je kompromitiran proces potpisivanja, posljedice mogu biti dalekosežne jer korisnici i administratori upravo na temelju tog potpisa vjeruju da je softver došao od legitimnog proizvođača. Zbog toga je code-signing jedan od ključnih elemenata obrane u modernom razvojnom lancu. Napad na taj sloj zapravo je napad na mehanizam kojim se vjerodostojnost proizvoda prenosi prema korisniku i poslovnom okruženju.
Ovaj slučaj uklapa se u širi obrazac sve češćih napada na razvojni lanac, od repozitorija i ovisnosti do build sustava i distribucijskih kanala. Kako AI ubrzava razvoj i povećava broj iteracija, raste i potreba da se sigurnost izgradi duboko u sam proces proizvodnje softvera. Organizacije koje i dalje razdvajaju razvojnu brzinu od sigurnosne discipline sve će teže zadržavati povjerenje korisnika i partnera.
Za domaće i europske softverske tvrtke poruka je vrlo praktična. Sigurnost proizvoda više se ne može svesti na testiranje aplikacije nakon razvoja. Potrebni su zaštićeni pipelineovi, stroga kontrola pristupa, rotacija tajni, nadzor nad certifikatima i jasna procedura odgovora kada je povjerenje u build ili distribucijski sustav dovedeno u pitanje.
Dok se tehnologija razvija eksponencijalnom brzinom, sposobnost ljudskog kapitala i obrazovnih sustava da prate taj ritam proživljava duboku krizu. Podaci prikupljeni u proteklih 48 sati ukazuju na to da je jaz u digitalnim vještinama u Europi dosegnuo povijesni maksimum. Kompanije diljem kontinenta užurbano traže profile stručnjaka koji prije tri godine de facto nisu ni postojali: AI Ethicists, Prompt Engineers, AI Governance Officers i stručnjaci za usklađivanje s EU AI Actom. Tradicionalni softverski inženjeri, iako i dalje traženi, više nisu dovoljni za uspješno vođenje AI-native organizacija.
Prema opsežnom izvještaju koji je objavio Gartner, preko 60% organizacija koje su tijekom prošle godine provodile pilot-projekte s AI asistentima sada prebacuje fokus i proračune na takozvani Agentic AI. Riječ je o naprednoj arhitekturi u kojoj softverski agenti posjeduju visok stupanj autonomije, sposobnost dugoročnog planiranja, upravljanja radnom memorijom te neovisnog korištenja vanjskih digitalnih alata i API-jeva kako bi postigli zadani poslovni cilj.
Prijave na natjecanje trajale su tijekom svibnja i lipnja, a za sudjelovanje su se prijavili natjecatelji različitih profila koji su raspoređeni u pet multidisciplinarnih timova.
