對于為了滿足日益增長的需求和責(zé)任而飛速工作的軟件開發(fā)人員來說，幾年前人工智能 (AI) 編程助手的出現(xiàn)無疑是一大福音。開發(fā)人員很快就成為了生成式 AI 模型的狂熱用戶，這些模型加速了代碼創(chuàng)建過程和交付速度。然而，在帶來不可否認(rèn)的初始優(yōu)勢之后，另一只鞋子也隨之落下，給日益復(fù)雜的環(huán)境增添了更多復(fù)雜性。保護(hù)攻擊面本來就是一項永無止境的任務(wù)；而 AI 編程則讓這項任務(wù)變得更加難以克服。

除了進(jìn)一步增加代碼庫的復(fù)雜性之外，人工智能模型還缺乏創(chuàng)建高質(zhì)量、安全代碼所必需的上下文細(xì)微差別，尤其是在由缺乏安全知識的開發(fā)人員使用時。因此，漏洞和其他缺陷正以前所未有的速度涌現(xiàn)。

當(dāng)前的軟件環(huán)境在安全方面已經(jīng)失控，而且沒有絲毫減緩的跡象。但斬殺復(fù)雜性和不安全性這兩頭“雙龍”仍有希望。企業(yè)必須挺身而出，建立強(qiáng)大的開發(fā)人員風(fēng)險管理體系，并通過教育和技能提升，為開發(fā)人員提供掌控軟件所需的工具。

人工智能助手增加了復(fù)雜性和代碼可維護(hù)性問題

2022年11月，生成式人工智能（Generative AI）作為OpenAI的ChatGPT首次亮相，開發(fā)者們迅速抓住了這一機(jī)遇，很快便使用GenAI模型來加速代碼創(chuàng)建和軟件開發(fā)。根據(jù)GitHub的一項調(diào)查，截至2023年6月，92%的美國開發(fā)者將人工智能工具用于工作或個人用途。開發(fā)者們大多認(rèn)為加速代碼創(chuàng)建是有益的，使用人工智能工具也迅速成為一種常態(tài)。

然而，盡管后續(xù)調(diào)查（例如Synk的一項調(diào)查）發(fā)現(xiàn)，約四分之三的開發(fā)人員認(rèn)為 AI 生成的代碼比人類編寫的代碼更安全，但他們也發(fā)現(xiàn)，超過一半的 AI 代碼中仍然存在錯誤。此外，80% 的開發(fā)人員忽視了安全的 AI 編碼策略，錯失了及時發(fā)現(xiàn)錯誤的機(jī)會。

隨著人工智能助手加速這一進(jìn)程，大量易受攻擊的軟件被發(fā)布到一個環(huán)境中，無論代碼是如何創(chuàng)建的，這個環(huán)境中已經(jīng)充滿了安全漏洞。

GitClear最近的一項研究揭示了 AI 生成的代碼如何增加復(fù)雜性，并加劇了軟件開發(fā)生命周期 (SDLC) 后期維護(hù)和保護(hù)軟件的挑戰(zhàn)。GitClear 分析了 2020 年 1 月至 2023 年 12 月期間創(chuàng)建的四年間更改的代碼（約 1.53 億行），發(fā)現(xiàn)了有關(guān)代碼流失率和復(fù)制粘貼代碼率的驚人結(jié)果。

“代碼流失”（Code Churn）指的是編寫后兩周內(nèi)被更改或更新的代碼，預(yù)計在2021年至2024年間將翻一番，而這還不包括人工智能工具的沖擊。在同一時期，復(fù)制/粘貼代碼的數(shù)量增長速度快于更新、刪除或移動的代碼數(shù)量，這表明人們正在逐漸遠(yuǎn)離“DRY”（不要重復(fù)自己）的實踐，而這種趨勢必然會導(dǎo)致軟件缺陷的增加。

這兩種不良做法都會增加應(yīng)用程序的復(fù)雜性，從而推高支持成本，并增加軟件安全的難度。人工智能加速的軟件生產(chǎn)速度，使得更多漏洞在修復(fù)之前就被放入流水線，這也大大延長了安全措施跟進(jìn)所需的時間。美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 的一項研究發(fā)現(xiàn)，與在軟件開發(fā)生命周期 (SDLC) 初期修復(fù)缺陷相比，在測試階段修復(fù)缺陷所需的時間要長 15 倍。而在部署/維護(hù)階段修復(fù)缺陷所需的時間則可能長達(dá) 30 到 100 倍。

AI工具提高了代碼交付速度，提升了原始生產(chǎn)效率，但這些早期的生產(chǎn)力提升卻被軟件開發(fā)生命周期（SDLC）后期的代碼可維護(hù)性問題所抵消。解決方案是從一開始就解決這些問題，以免它們危及應(yīng)用程序和數(shù)據(jù)安全。

借助升級技能的武器庫

參與軟件開發(fā)的組織需要轉(zhuǎn)變其文化，樹立“安全第一”的理念，將軟件安全視為一項業(yè)務(wù)優(yōu)先事項，而非僅僅將其視為技術(shù)問題。持續(xù)不斷的攻擊和引人注目的數(shù)據(jù)泄露事件已變得屢見不鮮，董事會和首席執(zhí)行官們都無法忽視。安全的軟件是企業(yè)生產(chǎn)力、聲譽和生存能力的基石，因此，構(gòu)建強(qiáng)大的安全文化至關(guān)重要。而安全文化的基礎(chǔ)正是開發(fā)人員風(fēng)險管理。

實施教育計劃以提高開發(fā)人員編寫安全代碼和糾正人工智能生成或第三方代碼中的錯誤的技能，可以防止那些日益常見的缺陷進(jìn)入管道，從而降低復(fù)雜性（第一條龍），同時提高安全性（第二條龍）和軟件質(zhì)量。

公司需要投資一個能夠提供敏捷、實踐和持續(xù)學(xué)習(xí)的項目，并將安全作為其關(guān)鍵績效指標(biāo)中的突出部分。學(xué)習(xí)項目應(yīng)該建立開發(fā)人員所需技能的基準(zhǔn)，并應(yīng)包含內(nèi)部和行業(yè)基準(zhǔn)來衡量他們的進(jìn)度。它應(yīng)該解決實際問題，并根據(jù)開發(fā)人員的工作量身定制，采用適合他們?nèi)粘贪才诺男问剑⑸婕八麄儗嶋H使用的編程語言。這種技能提升有助于形成一種安全文化，在這種文化中，開發(fā)人員與安全團(tuán)隊合作，確保在軟件開發(fā)生命周期 (SDLC) 開始時遵循最佳安全實踐，這已被證明是確保軟件安全的最有效（且經(jīng)濟(jì)高效）的方法。

教育的一個關(guān)鍵方面是了解程序是否有效，開發(fā)人員是否已經(jīng)吸收了新技能并且正在持續(xù)應(yīng)用這些技能。

對于時間緊迫的開發(fā)人員來說，AI 工具在速度和效率方面的優(yōu)勢是難以抗拒的。但 AI 生成的代碼所帶來的復(fù)雜性和風(fēng)險也不容忽視。

組織需要全面提升開發(fā)人員的技能，以便他們能夠與安全專業(yè)人員合作，將軟件安全問題扼殺在萌芽狀態(tài)。只有管理好開發(fā)人員的風(fēng)險，才能斬斷復(fù)雜性和不安全性這兩大“雙龍”，確保代碼（無論是由人工智能還是人類生成的）安全可靠，避免漏洞。