生成式AI可能成为DevSecOps的圣杯?
生成式AI可能成为DevSecOps的圣杯,从编写安全代码和文档到创建测试。但如果使用不当,它也可能成为主要的失败点
生成式AI预计将有助于编写安全代码,改进代码分析,创建测试,编写文档,以及协助许多其他DevSecOps功能。但该技术仍处于起步阶段,目前效果喜忧参半。
乐观的看法是,通过在干净、安全的代码库中训练AI,向其灌输最佳实践,并让其接触公司的内部政策和框架,AI产生的所有代码建议从一开始就将是安全的。此外,生成式AI还可用于发现现有代码中的安全问题、调试、生成测试、撰写文档以及与DevSecOps相关的许多其他任务。
然而,危险在于,生成式AI也可能生成不安全的代码,并且生成速度很快且权威,这将为公司带来更多问题。
那么,有多少开发者已经在使用生成式AI?根据行业调查,大多数开发者都在使用。今年1月发布的一项对超过13,000名开发者的CoderPad调查显示,67%的技术专业人员表示他们已经在工作中使用AI,其中ChatGPT是最好的工具,其次是GitHub Copilot(一种生成式AI开发工具)和Bard。近59%的人表示他们使用它进行代码辅助,超过一半的人表示他们使用它进行学习和教程,约45%的人表示他们使用它进行代码生成。
图库摄影公司Shutterstock的CTO Sejal Amin表示,GitHub Copilot的使用对公司软件工程师的日常工作产生了积极影响。“在8个小时的学习后,90%的开发者报告了他们的体验。” Amin告诉CSO。“我们得到的反馈是,我们大多数开发者提高了生产力。”
但他补充说,生成式AI能做什么是有局限性的。也许有一天,生成式AI可以从一开始就建立安全性。但基于我们的经验,今天没有任何工具可以生成具有安全性、性能、稳定性和规模的生产级代码 - 所有这些对我们业务都至关重要的东西。”
相反,生成的代码仍然需要深入的审查。“它需要高级工程师与它创建的输出进行互动,” Amin补充说。
生成式人工智能可以提高代码生产力
SlashData调查了超过17,000名开发者,发现80%的程序员认为生成式AI将提高他们的潜力和生产力 - 对于一个全新的技术来说,这是一个惊人的共识。生成式AI预计将对新手帮助最大。对于开发经验不足一年的开发者来说,80%的人表示生成式AI将帮助他们使用他们以前无法使用的工具,而对于开发经验超过16年的开发者来说,这一比例是60%。
Forrester分析师Janet Worthington确认,生成式AI将对生产力产生巨大影响。“在生成式AI和软件开发中,我们预计在自动化测试用例方面将有15%至20%的生产力提升,” 她告诉CSO。“在编码方面,我们预计生产力的提升会更大,高达50%。人们能够生成的代码数量正在激增,这是我们有很长一段时间没有看到过的软件开发的生产力水平,而我们只是刚刚开始。”
工具还在不断改进。最初对ChatGPT的简单问题,已经演变成集成到软件开发流程中的编程“Copilot”。根据LinearB今年1月发布的一项针对CTOs和工程副总裁的调查,87%的组织计划今年投资一个生成式AI编码工具。
但生成的代码是否真的可以工作?不一定。根据GitClear1月公布的对1.53亿行代码的审查,代码更改率(提交到回购但在两周内被回滚、删除或更新的代码百分比)一直在与生成式AI编码助手的兴起同步增长。该公司预计今年代码更改率将达到7%,是生成式AI之前的两倍。
生产力并不是生成式AI唯一的话题。谷歌云每年都会对数以万计的开发者进行其年度DevOps报告调查,今年AI是热门关键词。受访者表示,在编写和优化代码、分析安全性、学习新技能、识别错误、编写测试、创建文档等方面,人工智能已经显示出价值。
但是,根据该报告的作者的说法,调查数据显示,人工智能对团队绩效和软件交付绩效有中性甚至负面的影响。“我们推测,企业采用人工智能工具的早期阶段可能是会存在这些问题,”作者说。“人们对人工智能开发工具的潜力充满热情......但我们预计,人工智能驱动的工具需要一些时间才能在行业中得到广泛的使用。
生成式 AI 的代码安全性
生成式AI在编写安全代码方面甚至更加喜忧参半。许多人希望,通过从公共代码仓库中摄取最佳编码实践,并可能通过公司自己的政策和框架来补充,AI生成的代码从一开始就更加安全,避免人类开发人员常犯的错误。
例如,当开发者开始编写新代码时,AI可以智能地建议甚至应用诸如知识产权头等元素,Netskope副CISO James Robinson告诉CSO。“这不仅简化了编码过程,而且最小化了DevSecOps团队监控和解决这些问题的需求。”
生成式AI理解上下文信息的能力可以引领软件开发的新时代,提高代码质量和效率。Robinson说:“尽管存在潜在的风险,但利用生成式AI工具如copilot最终使开发者能够以更少的缺陷和漏洞生产代码。”
他认为,生成式AI自动使用安全实践和机制为更安全的编码环境做出了贡献。“这些好处延伸到改进代码结构,增强解释以及简化测试过程,最终减轻了DevSecOps团队的测试负担。”
然而,一些开发者认为当前已经做到了这一点了。根据去年11月由代码安全平台Snyk发布的一份报告,76%的技术和安全专业人士认为AI代码比人类代码更安全。
然而,至少在今天,这种安全感可能是一种错觉,一种危险的错觉。正如去年12月更新的斯坦福大学研究论文所示,使用AI编码助手的开发者编写了“明显不够安全的代码”,但他们也更有可能认为自己编写的代码是安全的。此外,AI编码工具有时会建议不安全的库,而开发者则在没有阅读组件文档的情况下接受了这些建议。
类似地,在Snyk自己的调查中,92%的受访者同意AI至少有时会生成不安全的代码建议,五分之一的人表示它“经常”生成安全问题。
然而,尽管生成式AI加快了代码的生产,但只有10%的受访者表示他们已经自动化了大部分安全检查和扫描,80%的人表示他们组织中的开发者完全绕过了AI安全政策。
实际上,在采用生成式AI编码工具后,超过一半的组织并没有改变他们的软件安全流程。那些改变的组织中,最常见的变化是更频繁的代码审计,其次是实施安全自动化。
Forrester的Worthington说,所有这些AI生成的代码仍然需要经过安全测试。特别是,企业需要确保他们有工具可以检查所有的新代码,仓库和容器镜像。“我们正在看到更多需要DevSecOps工具,因为生成式AI。”
Worthington补充说,生成式AI可以帮助DevSecOps团队编写文档。事实上,生成文本是ChatGPT的第一个用例。生成式AI特别擅长创建文档的第一稿和总结信息。
因此,Google的DevOps报告显示,AI在改进技术文档方面对组织绩效的影响提高了1.5倍。根据CoderPad的调查,文档和API支持是生成式AI的第四大最受欢迎的功能,超过四分之一的专业技术人员使用它。
它也可以反过来帮助开发者更快地浏览文档。“当我编码时,我花了大量的时间阅读文档,” 卡内基梅隆大学的运营研究教授Ben Moseley说。“如果我能够快速获取这些信息,那将对我有很大帮助。”
生成式AI用于测试和质量保证
生成式AI有望帮助DevSecOps团队找到传统测试工具遗漏的漏洞和安全问题,解释问题,并提出修复建议。它还可以帮助生成测试用例。
卡内基梅隆的Moseley说,一些安全漏洞仍然太微妙,这些工具无法捕捉。“对于那些具有挑战性的事情,你仍然需要人类去寻找它们,你需要专家去找到它们。” 然而,生成式AI可以挑出标准的错误。
根据CoderPad的调查,大约13%的专业技术人员已经在使用生成式AI进行测试和质量保证。Insight的首席数据官和数据与AI组合总监Carm Taglienti预计,我们很快就会看到基于漏洞数据库进行自定义训练的生成式AI系统的采用。“简单方法是拥有一个知识库或向量数据库,其中包含这些漏洞,以增强我的特定查询。”
对于企业来说,一个更大的问题将是全自动化生成式AI功能的,以及人类在流程中应该扮演多少角色。例如,如果AI用于在早期阶段检测代码漏洞。“我在多大程度上允许工具自动更正代码?” Taglienti问。第一阶段是让生成式AI生成关于它所看到内容的报告,然后人类可以回过头来进行更改和修复。通过监控工具的准确性,公司可以开始为某些类别的修改建立信任,并开始走向全面自动化。“这就是需要人参与的流程,” Taglienti告诉CSO。同样,在编写测试用例时,AI需要人类的指导。
生成式AI还具有用于审查整个生产环境的潜力。他说:“生产环境是否符合这些已知的与基础设施相关的基线?” 已经有自动化的工具来检查环境或配置的意外变化,但生成式AI可以以不同的视角看待它。“NIST是否更改了他们的规范?一个新的漏洞是否被确定?”
对内部生成式 AI 策略的需求
Omdia的企业安全管理高级分析师Curtis Franklin说,他与企业的大型开发专业人员交谈,他们正在使用生成式AI。独立开发者和顾问以及小团队也在使用它。“区别在于,大公司已经出台了正式的政策,说明将如何使用它,” 他告诉CSO。“具有真正的指导方针,说明如何检查、修改和测试任何通过生成式AI的代码,然后才能在生产中使用。我的感觉是,这种正式的质量保证框架在小公司中并不存在,因为他们承担不起这种开销。”
从长远来看,随着生成式AI代码生成器的改进,它们确实有潜力提高整体软件安全性。问题是,我们将遇到一个危险的转折点。Franklin说:“当生成式AI引擎和模型达到可以始终生成相当好的代码的点时,开发团队将面临更大的压力,假设相当好就足够了。而正是在这一点上,漏洞更有可能未经检测和纠正而被忽略。这就很危险了。”
只要开发者和经理们保持适当的怀疑和谨慎,那么生成式AI将是一个有用的工具,他说。“当谨慎程度降低时,它会变得危险 -,就像我们在其他领域看到的那样,比如那些提交由AI生成的文件但包含对不存在的案例的引用的律师。”
总结:生成式AI有潜力彻底改变DevSecOps,提高编码效率,改进代码质量和安全性。然而,由于这项技术仍处于早期阶段,存在一些风险,包括生成不安全的代码和过度依赖AI。为了最大限度地发挥其潜力并降低风险,组织需要制定正式的政策和流程,以确保AI生成的代码经过适当的审查、修改和测试。随着生成式AI工具的成熟,它们有望提高软件开发的整体安全性,但组织需要保持警惕,避免陷入过度依赖AI的危险。
来源:csoonline