隨著生成式人工智能（Gen-AI）的發(fā)展，網(wǎng)絡(luò)安全領(lǐng)域也一直在尋求如何將Gen-AI應(yīng)用到DevSecOps之上。很多安全研究人員已經(jīng)在廣泛使用Gen-AI技術(shù)，而且也能夠體驗(yàn)到顯著的生產(chǎn)力提升和工作滿意度增長(zhǎng)。但隨著Gen-AI已經(jīng)成為安全研究人員獲取快速解決方案的新一代技術(shù)棧，風(fēng)險(xiǎn)也在逐漸提升。

毫無(wú)疑問的是，Gen-AI并不會(huì)完全取代DevSecOps，Gen-AI確實(shí)可能成為DevSecOps的福音，但這把雙刃劍一旦使用不當(dāng)，也有可能會(huì)成為DevSecOps的噩夢(mèng)。

在這篇文章中，我們將深入討論生成式人工智能（Gen-AI）與DevSecOps可能擦出哪些“火花”，并從多個(gè)方面分析Gen-AI會(huì)給DevSecOps帶來哪些影響。

Gen-AI概況

Gen-AI有望幫助編寫安全代碼、改進(jìn)代碼分析、創(chuàng)建測(cè)試、編寫文檔并協(xié)助完成許多其他DevSecOps功能。但該技術(shù)仍處于起步階段，早期結(jié)果好壞參半。

樂觀的看法是，通過在干凈安全的代碼庫(kù)上訓(xùn)練人工智能模型，告訴它最佳的實(shí)踐方式，并讓它了解組織的內(nèi)部政策和框架，那么它的所有代碼初始起點(diǎn)從一開始就是安全的。除此之外，Gen-AI還可用于查找現(xiàn)有代碼中的安全問題、進(jìn)行調(diào)試、生成測(cè)試、編寫文檔以及與DevSecOps相關(guān)的許多其他任務(wù)。但令人沮喪的是，Gen-AI可能會(huì)生成不安全的代碼，從而帶來更多的安全問題。

根據(jù)調(diào)查，大多數(shù)開發(fā)人員目前都已經(jīng)在日常工作中使用Gen-AI了。CoderPad于1月份發(fā)布的一項(xiàng)針對(duì)13000多名開發(fā)人員的調(diào)查發(fā)現(xiàn)，67%的技術(shù)專業(yè)人士表示他們已經(jīng)將人工智能作為工作的一部分，其中ChatGPT是首選工具，其次是GitHubCopilot（一種生成式人工智能開發(fā)工具）和Bard。近59%的人表示他們會(huì)將其用于代碼輔助，超過一半的人表示他們會(huì)將其用于學(xué)習(xí)和參考，約45%的人表示他們會(huì)將其直接用于代碼生成。

在Shutterstock公司（一家提供高分辨率免版稅圖像、圖片、矢量、音樂和視頻剪輯的公司）中，GitHub Copilot的使用對(duì)公司軟件工程師的日常工作產(chǎn)生了積極影響，該公司的首席技術(shù)官Sejal Amin說道：“經(jīng)過僅僅八小時(shí)的學(xué)習(xí)，90%的開發(fā)人員表示開發(fā)人員體驗(yàn)有所改善，我們收到的一些早期反饋是，大多數(shù)開發(fā)人員的工作效率都有所提高。”

但還他補(bǔ)充說到：“Gen-AI的功能是有限的。也許有一天，生成式人工智能可以從開發(fā)過程的初始階段就被用來構(gòu)建安全性，但根據(jù)我們的經(jīng)驗(yàn)，目前沒有任何工具能夠生成具有安全性、性能、穩(wěn)定性和一定規(guī)模的生產(chǎn)級(jí)代碼，所有這些都是我們需要考慮的與我們業(yè)務(wù)相關(guān)的因素?！?/p>

Gen-AI可以提高代碼生產(chǎn)率

SlashData在對(duì)17000名開發(fā)人員進(jìn)行調(diào)查后發(fā)現(xiàn)，80%的程序員認(rèn)為Gen-AI將提高他們的工作效率和生產(chǎn)力，這個(gè)數(shù)字對(duì)于一項(xiàng)新技術(shù)來說，是一個(gè)了不起的成就，這也表明Gen-AI有望為剛?cè)胄械拈_發(fā)人員提供非常有效的幫助。對(duì)于編程經(jīng)驗(yàn)不足一年的開發(fā)人員，有80%的人表示Gen-AI將幫助他們使用以前無(wú)法使用的工具，而擁有超過16年經(jīng)驗(yàn)的開發(fā)人員中只有60%的人認(rèn)同這一點(diǎn)。

Forrester分析師Janet Worthington也表示，Gen-AI將對(duì)計(jì)算機(jī)從業(yè)人員的生產(chǎn)力產(chǎn)生巨大影響。她表示：“借助Gen-AI和軟件開發(fā)技術(shù)，我們預(yù)計(jì)自動(dòng)化測(cè)試用例的生產(chǎn)力將提高15%到20%。在編碼方面，我們預(yù)計(jì)生產(chǎn)力將提高50%。同時(shí)，人們能夠生成的代碼量還在飆升，而我們才剛剛開始?！?/p>

需要注意的是，相關(guān)的工具還在不斷改進(jìn)。最初，很多人可能只是在Chat GPT上發(fā)送一些的簡(jiǎn)單問題，現(xiàn)在已經(jīng)演變成可以集成到軟件開發(fā)流程中的編程“助手”。根據(jù)LinearB今年1月發(fā)布的一項(xiàng)針對(duì)首席技術(shù)官和技術(shù)工程師的調(diào)查，87%的組織計(jì)劃今年投資基于 Gen-AI的編碼工具。

但是，這些代碼真的有用嗎？那可不一定！

根據(jù)GitClear在今年1月份發(fā)布的一份對(duì)1.53億行代碼的評(píng)估，代碼流失率（即推送到倉(cāng)庫(kù)但在兩周內(nèi)被恢復(fù)、刪除或更新的代碼百分比）隨著Gen-AI編碼助手的興起而不斷增加。該公司預(yù)計(jì)今年的代碼流失率將達(dá)到7%，是Gen-AI出現(xiàn)之前的兩倍。

這并不是Gen-AI在生產(chǎn)力方面的唯一問題。每年，Google Cloud都會(huì)調(diào)查數(shù)萬(wàn)名開發(fā)人員，以發(fā)布年度DevOps報(bào)告，而今年的人工智能則是一個(gè)主要的話題。受訪者表示，人工智能在編寫和優(yōu)化代碼以及分析安全性方面已經(jīng)顯示出價(jià)值，可以幫助他們學(xué)習(xí)新技能、識(shí)別錯(cuò)誤、編寫測(cè)試和創(chuàng)建文檔等。但還有調(diào)查數(shù)據(jù)顯示，人工智能對(duì)團(tuán)隊(duì)績(jī)效和軟件交付績(jī)效的影響是中性甚至是負(fù)面的。

利用Gen-AI實(shí)現(xiàn)代碼安全

在編寫安全代碼方面，Gen-AI更是喜憂參半。許多人希望通過從公共代碼庫(kù)中吸收最佳編碼實(shí)踐（可能通過組織自己的政策和框架進(jìn)行增強(qiáng)），這樣一來人工智能生成的代碼從一開始就更加安全，從而避免人類開發(fā)人員常犯的錯(cuò)誤。

比如說，當(dāng)開發(fā)人員開始編寫一段新代碼時(shí)，Gen-AI可以提供智能化建議，或直接生成代碼，這不僅簡(jiǎn)化了編碼過程，而且還最大限度地減少了DevSecOps團(tuán)隊(duì)主動(dòng)監(jiān)控和解決安全問題的需求。

Gen-AI掌握上下文信息的能力可以開啟軟件開發(fā)的新時(shí)代，并提高代碼質(zhì)量和效率。Netskope首席信息安全官James Robinson認(rèn)為：“盡管存在潛在的缺陷，但利用Copilots等生成式人工智能工具最終將使開發(fā)人員能夠編寫出缺陷和漏洞更少的代碼。讓Gen-AI自動(dòng)使用安全實(shí)踐和機(jī)制有助于打造更安全的編碼環(huán)境。其好處包括改進(jìn)代碼結(jié)構(gòu)、增強(qiáng)代碼解釋和簡(jiǎn)化測(cè)試流程，最終減輕DevSecOps團(tuán)隊(duì)的測(cè)試負(fù)擔(dān)?！?/p>

很多開發(fā)人員認(rèn)為，我們現(xiàn)在已經(jīng)可以邁出這一步了。根據(jù)代碼安全平臺(tái)Snyk在去年11月發(fā)布的一份報(bào)告，76%的技術(shù)和安全專家認(rèn)為人工智能代碼比人類代碼更安全。

但至少在今天，這種安全感可能只是一種錯(cuò)覺，而且是一種危險(xiǎn)的錯(cuò)覺。根據(jù)斯坦福大學(xué)去年12月最新更新的一份研究論文，使用人工智能編碼助手的開發(fā)人員編寫的代碼“安全性明顯較低”，但他們也更有可能認(rèn)為自己編寫的代碼比不使用人工智能寫代碼的開發(fā)人員更安全。此外，研究人員表示，人工智能編碼工具有時(shí)會(huì)建議使用某些不安全的庫(kù)，而開發(fā)人員會(huì)在沒有閱讀組件文檔的情況下接受這些建議。

同樣的，在Snyk自己的調(diào)查中，92%的受訪者也認(rèn)同人工智能可能有時(shí)會(huì)產(chǎn)生不安全的代碼建議，五分之一的受訪者表示它“經(jīng)?！睍?huì)產(chǎn)生安全問題。然而，盡管Gen-AI的使用加快了代碼生產(chǎn)速度，但只有10%的受訪者表示他們已經(jīng)實(shí)現(xiàn)了大部分安全檢查和掃描的自動(dòng)化，80%的受訪者表示他們組織中的開發(fā)人員甚至?xí)x擇完全繞過人工智能提供的安全策略。

實(shí)際上，盡管采用了Gen-AI編碼工具，但超過一半的組織并未改變其軟件安全流程。在那些做出改變的組織中，最常見的變化是更頻繁地進(jìn)行代碼審核，其次是實(shí)施安全自動(dòng)化。

Forrester的Worthington表示：“所有這些人工智能生成的代碼仍需接受安全測(cè)試。更重要的是，組織需要確保他們擁有適當(dāng)?shù)墓ぞ卟⒓蛇@些工具來檢查所有新代碼以及檢查庫(kù)和容器映像。正是由于Gen-AI的出現(xiàn)，才導(dǎo)致我們對(duì)DevSecOps工具的需求越來越大?！?/p>

Worthington補(bǔ)充道：“Gen-AI可以幫助DevSecOps團(tuán)隊(duì)編寫文檔，而且Gen-AI特別擅長(zhǎng)創(chuàng)建文檔和總結(jié)信息。

別忘了，生成文本可是 ChatGPT最早的使用場(chǎng)景。

Google的DevOps現(xiàn)狀報(bào)告顯示，由于技術(shù)文檔的改進(jìn)，人工智能對(duì)組織績(jī)效的影響提高了1.5倍。除此之外，根據(jù)CoderPad 的調(diào)查，文檔和API支持是Gen-AI的第四大最受歡迎用例，超過四分之一的技術(shù)專業(yè)人士選擇將其用于此目的。

反過來，它同樣也能幫助開發(fā)人員更快地梳理文檔?？突仿〈髮W(xué)運(yùn)籌學(xué)教授Ben Moseley表示：“當(dāng)我編寫大量代碼時(shí)，我花了很多時(shí)間在查閱文檔上，如果我能快速找到這些信息，那真的會(huì)幫到我?！?/p>

利用Gen-AI實(shí)現(xiàn)產(chǎn)品測(cè)試和質(zhì)量保證

Gen-AI有潛力幫助DevSecOps團(tuán)隊(duì)發(fā)現(xiàn)傳統(tǒng)測(cè)試工具遺漏的漏洞和安全問題，而且Gen-AI還可以解釋問題并提出修復(fù)建議，它甚至還可以幫助開發(fā)人員生成測(cè)試用例。

Moseley認(rèn)為：“有些安全漏洞可能會(huì)隱藏的很深，傳統(tǒng)工具無(wú)法發(fā)現(xiàn)和識(shí)別這些漏洞。對(duì)于那些具有挑戰(zhàn)性的事情，你仍然需要人工去尋找它們，而且還得是專家才找得到。但Gen-AI卻能夠輕松幫我們完成這個(gè)任務(wù)。”

根據(jù)CoderPad的調(diào)查，大約13%的技術(shù)專業(yè)人士已經(jīng)開始使用Gen-AI進(jìn)行安全測(cè)試和質(zhì)量保證。Insight首席數(shù)據(jù)官兼數(shù)據(jù)和AI產(chǎn)品組合總監(jiān)Carm Taglienti認(rèn)為：“我們很快就會(huì)看到采用在漏洞數(shù)據(jù)庫(kù)上定制訓(xùn)練的Gen-AI系統(tǒng)?！?/p>

對(duì)于企業(yè)來說，一個(gè)更大的問題是如何實(shí)現(xiàn)Gen-AI功能的自動(dòng)化，以及在多大程度上讓人類參與其中。比如說，如果人工智能用于在流程早期階段檢測(cè)代碼漏洞。第一階段是讓Gen-AI生成一份關(guān)于它所看到內(nèi)容的報(bào)告，然后我們可以回過頭來進(jìn)行更改和修復(fù)。然后，通過監(jiān)控工具的數(shù)據(jù)，組織可以開始對(duì)某些類別的更正建立信任，并開始轉(zhuǎn)向完全自動(dòng)化。

同樣，對(duì)于編寫測(cè)試用例，人工智能也需要人類來指導(dǎo)這一過程。Taglienti表示，Gen-AI還有可能用于審查整個(gè)生產(chǎn)環(huán)境的安全。

內(nèi)部Gen-AI策略迫在眉睫

Omdia的企業(yè)安全管理首席分析師Curtis Franklin表示，很多大型企業(yè)的專業(yè)開發(fā)人員正在積極使用Gen-AI，而獨(dú)立開發(fā)人員、安全顧問和小型團(tuán)隊(duì)也是如此。Franklin認(rèn)為：“大公司已經(jīng)制定了如何使用Gen-AI的正式政策。對(duì)于任何經(jīng)過Gen-AI的代碼在投入生產(chǎn)之前必須如何檢查、修改和測(cè)試，都有真正的內(nèi)部指導(dǎo)方針。但小公司沒有這種正式的質(zhì)量保證框架，因?yàn)樗麄冐?fù)擔(dān)不起這種開銷?！?/p>

DevSecOps從業(yè)人員該如何應(yīng)對(duì)

盡管Gen-AI帶來了前所未有的開發(fā)速度提升，但DevSecOps專家仍需要積極應(yīng)對(duì)由此產(chǎn)生的安全威脅，并在保證速度的同時(shí)，構(gòu)建一套既高效又安全的開發(fā)運(yùn)維體系：

• 建立適應(yīng)性策略：確保安全流程能迅速適應(yīng)并融入基于AI驅(qū)動(dòng)的開發(fā)環(huán)境，同時(shí)保持對(duì)生成代碼的質(zhì)量控制和安全性審核。
• 強(qiáng)化培訓(xùn)與意識(shí)：教育開發(fā)者關(guān)于正確使用生成式AI工具的重要性，包括避免泄露敏感信息、理解輸出結(jié)果可能存在的潛在錯(cuò)誤，并提倡審慎審查AI生成的代碼。
• 集成自動(dòng)化驗(yàn)證：在CI/CD流程中增加針對(duì)AI生成代碼的自動(dòng)化測(cè)試、靜態(tài)分析和動(dòng)態(tài)掃描，以減少誤報(bào)和漏報(bào)的可能性。
• 制定相關(guān)規(guī)范與政策：更新組織的安全標(biāo)準(zhǔn)和指導(dǎo)方針，明確規(guī)定AI輔助編程的實(shí)踐要求，以及何時(shí)何地可以安全地應(yīng)用這些技術(shù)。
• 跨團(tuán)隊(duì)協(xié)作與溝通：加強(qiáng)DevOps、安全團(tuán)隊(duì)及AI團(tuán)隊(duì)之間的溝通協(xié)作，共同解決因快速生成代碼帶來的新安全隱患，并設(shè)計(jì)出更穩(wěn)健的安全防護(hù)機(jī)制。
• 持續(xù)監(jiān)控與改進(jìn)：隨著生成式AI技術(shù)的發(fā)展，不斷評(píng)估其對(duì)軟件質(zhì)量和安全的影響，并據(jù)此調(diào)整DevSecOps的最佳實(shí)踐。

總結(jié)

從長(zhǎng)遠(yuǎn)來看，隨著Gen-AI代碼生成器的改進(jìn)，它們確實(shí)有可能提高整體軟件安全性。問題是，我們將到達(dá)一個(gè)危險(xiǎn)的拐點(diǎn)，當(dāng)Gen-AI引擎和模型達(dá)到能夠持續(xù)生成相當(dāng)不錯(cuò)的代碼的程度時(shí)，開發(fā)團(tuán)隊(duì)將面臨壓力，因?yàn)橛行┤藭?huì)認(rèn)為“相當(dāng)不錯(cuò)”就就足夠了。而正是因?yàn)槿绱?，漏洞才更有可能在未被發(fā)現(xiàn)和修復(fù)的情況下影響產(chǎn)品安全。這就是危險(xiǎn)區(qū)域。

只要開發(fā)人員和管理人員保持適當(dāng)?shù)膽岩珊椭?jǐn)慎，那么Gen-AI就會(huì)成為一種有效工具。當(dāng)謹(jǐn)慎程度下降時(shí)，就會(huì)變得危險(xiǎn)。