一切旧的都是新的：人工智能驱动的开发，开源

　　弗雷德·巴尔斯

　　还记得开源软件从小众市场到普通市场有多快吗？黑鸭公司最新的“全球开发secops现状”报告认为，当前人工智能辅助开发的激增与开发人员对开源软件的历史性拥抱之间存在明显的相似之处。

　　正如报告所指出的那样，这两种运动都有助于彻底改变软件开发，但都引入了独特的安全挑战。该报告基于对1000多名软件安全利益相关者的调查，强调虽然开发团队几乎普遍采用人工智能，但保护人工智能生成的代码滞后，反映了早期无管理和不安全的开源使用。

　　人工智能编码的采用，安全问题

　　正如开源挑战了传统的软件开发模式一样，人工智能辅助编码正在改变代码的编写和使用方式。这两种运动都破坏了已建立的软件开发实践，承诺提高效率和开发速度。开源革命通过提供免费可用的代码和协作平台，使软件开发民主化。同样，人工智能编码助手正在普及编程知识，使各种技能水平的开发人员更容易处理复杂的编码任务。

　　然而，该报告强调了这样一个事实，即如果管理不当，使用人工智能编码助手会带来风险，就像早期采用开源一样。就像使用开源一样，将人工智能辅助编码工具引入软件开发会带来独特的知识产权（IP）、许可和安全挑战，如果没有开发团队的精心管理，可能会让毫无准备的组织陷入困境。

　　例如，非托管的开源代码和人工智能生成的代码都可能造成IP所有权和许可的模糊性——尤其是当人工智能模型使用的数据集可能包括开源或其他没有归属的第三方代码时。如果一个人工智能编码助手在没有说明许可义务的情况下建议一个代码片段，那么它可能会成为任何使用该代码的人的法律雷区。尽管它可能只是一个代码片段，软件的用户仍然必须遵守与代码片段相关的任何许可。

　　人工智能辅助编码工具也有可能在代码库中引入安全漏洞。斯坦福大学研究人员的一项研究发现，使用人工智能编码助手的开发人员更有可能在他们的代码中引入安全漏洞。这反映了长期以来与开源软件相关的担忧，在开源软件中，“多只眼睛”的安全方法并不总能防止漏洞的泄露。报告中引用的一位研究人员直截了当地得出结论：“自动生成的代码不能盲目信任，仍然需要进行安全审查，以避免引入软件漏洞。”

　　根据该报告，超过90%的组织现在正在以某种方式使用人工智能工具进行软件开发。然而，21%的受访者承认，他们的团队绕过公司政策，使用未经批准的人工智能工具，使得监管变得困难（如果不是不可能的话）。这与开放源代码使用的早期相呼应，当时很少有高管意识到他们的开发团队正在将开放源代码库合并到专有代码中，更不用说使用的范围了。

　　放大噪音

　　Black Duck报告还强调了应用程序安全测试中的一个重大挑战：工具泛滥。82%的受访者表示，他们的组织使用6到20种不同的安全测试工具。为了确保全面的安全覆盖，在开发工作流中引入的工具越多，工作流就会变得越复杂。

　　由工具扩散引起的一个主要问题是“噪音”的增加——不相关或重复的结果使开发团队陷入困境。报告显示，60%的受访者认为超过20%的安全测试结果是噪音。其结果是效率大幅下降，因为安全团队要努力筛选不相关的发现并区分真正的威胁。

　　平衡的行为

　　报告承认在健壮的安全性测试和保持开发速度之间存在持续的紧张关系。86%的受访者报告说，安全测试在某种程度上减缓了他们的开发过程。这一发现强调了组织在将安全实践集成到日益快节奏的开发周期中所面临的挑战，特别是随着人工智能生成代码的复杂性增加。

　　该报告强调，尽管安全测试的自动化程度正在提高，但管理安全测试队列的手动过程与安全测试减缓开发的感知直接相关。与使用自动化解决方案的组织相比，完全依赖于手工流程的测试队列的组织更有可能感知到对开发速度的严重影响。该发现表明，虽然安全性测试通常被视为瓶颈，但通过自动化优化流程可以显著缓解安全性与开发速度之间的摩擦。

　　DevSecOps的未来

　　《2024年全球开发安全运营状况》报告敦促读者不要将概述的挑战视为不可逾越的障碍，而应将其视为积极变革的机遇。为了有效地把握DevSecOps不断变化的格局，该报告建议采用以下几个关键策略：

　　-工具整合和集成。减少对大量不同的安全工具的依赖可以显著地缓解噪声问题并提高效率。组织应该优先集成他们的安全工具，以简化流程并集中结果，以便更好地进行分析。

　　-拥抱自动化。自动化安全测试过程，特别是测试队列的管理以及结果的解析和清理，可以显著减轻安全团队的负担，并将对开发速度的影响降到最低。

　　——建立人工智能治理。随着人工智能工具的广泛采用，组织必须为其在开发中的使用建立明确的政策和程序。这包括投资专门用于审查和保护人工智能生成代码的工具，解决对漏洞和潜在许可冲突的担忧。

　　随着人工智能与软件开发越来越紧密地联系在一起，对健壮且适应性强的安全实践的需求变得至关重要。该报告的发现及时提醒人们，尽管人工智能具有巨大的创新潜力，但它也带来了独特的安全挑战。通过采用自动化、简化工具集和建立清晰的人工智能治理策略，组织可以为安全和开发速度共存而不是冲突的未来铺平道路。

　　Fred Bals是黑鸭公司的高级安全研究员，黑鸭公司是一个针对开发、安全和运营进行优化的一体化应用安全平台（DevSecOps）。