隨著生成式人工智能（Gen-AI）的發展，網絡安全領域也一直在尋求如何將Gen-AI應用到DevSecOps之上。很多安全研究人員已經在廣泛使用Gen-AI技術，而且也能夠體驗到顯著的生產力提升和工作滿意度增長。但隨著Gen-AI已經成為安全研究人員獲取快速解決方案的新一代技術棧，風險也在逐漸提升。

毫無疑問的是，Gen-AI并不會完全取代DevSecOps，Gen-AI確實可能成為DevSecOps的福音，但這把雙刃劍一旦使用不當，也有可能會成為DevSecOps的噩夢。

在這篇文章中，我們將深入討論生成式人工智能（Gen-AI）與DevSecOps可能擦出哪些“火花”，并從多個方面分析Gen-AI會給DevSecOps帶來哪些影響。

Gen-AI概況

Gen-AI有望幫助編寫安全代碼、改進代碼分析、創建測試、編寫文檔并協助完成許多其他DevSecOps功能。但該技術仍處于起步階段，早期結果好壞參半。

樂觀的看法是，通過在干凈安全的代碼庫上訓練人工智能模型，告訴它最佳的實踐方式，并讓它了解組織的內部政策和框架，那么它的所有代碼初始起點從一開始就是安全的。除此之外，Gen-AI還可用于查找現有代碼中的安全問題、進行調試、生成測試、編寫文檔以及與DevSecOps相關的許多其他任務。但令人沮喪的是，Gen-AI可能會生成不安全的代碼，從而帶來更多的安全問題。

根據調查，大多數開發人員目前都已經在日常工作中使用Gen-AI了。CoderPad于1月份發布的一項針對13000多名開發人員的調查發現，67%的技術專業人士表示他們已經將人工智能作為工作的一部分，其中ChatGPT是首選工具，其次是GitHubCopilot（一種生成式人工智能開發工具）和Bard。近59%的人表示他們會將其用于代碼輔助，超過一半的人表示他們會將其用于學習和參考，約45%的人表示他們會將其直接用于代碼生成。

在Shutterstock公司（一家提供高分辨率免版稅圖像、圖片、矢量、音樂和視頻剪輯的公司）中，GitHub Copilot的使用對公司軟件工程師的日常工作產生了積極影響，該公司的首席技術官Sejal Amin說道：“經過僅僅八小時的學習，90%的開發人員表示開發人員體驗有所改善，我們收到的一些早期反饋是，大多數開發人員的工作效率都有所提高。”

但還他補充說到：“Gen-AI的功能是有限的。也許有一天，生成式人工智能可以從開發過程的初始階段就被用來構建安全性，但根據我們的經驗，目前沒有任何工具能夠生成具有安全性、性能、穩定性和一定規模的生產級代碼，所有這些都是我們需要考慮的與我們業務相關的因素。”

Gen-AI可以提高代碼生產率

SlashData在對17000名開發人員進行調查后發現，80%的程序員認為Gen-AI將提高他們的工作效率和生產力，這個數字對于一項新技術來說，是一個了不起的成就，這也表明Gen-AI有望為剛入行的開發人員提供非常有效的幫助。對于編程經驗不足一年的開發人員，有80%的人表示Gen-AI將幫助他們使用以前無法使用的工具，而擁有超過16年經驗的開發人員中只有60%的人認同這一點。

Forrester分析師Janet Worthington也表示，Gen-AI將對計算機從業人員的生產力產生巨大影響。她表示：“借助Gen-AI和軟件開發技術，我們預計自動化測試用例的生產力將提高15%到20%。在編碼方面，我們預計生產力將提高50%。同時，人們能夠生成的代碼量還在飆升，而我們才剛剛開始。”

需要注意的是，相關的工具還在不斷改進。最初，很多人可能只是在Chat GPT上發送一些的簡單問題，現在已經演變成可以集成到軟件開發流程中的編程“助手”。根據LinearB今年1月發布的一項針對首席技術官和技術工程師的調查，87%的組織計劃今年投資基于 Gen-AI的編碼工具。

但是，這些代碼真的有用嗎？那可不一定！

根據GitClear在今年1月份發布的一份對1.53億行代碼的評估，代碼流失率（即推送到倉庫但在兩周內被恢復、刪除或更新的代碼百分比）隨著Gen-AI編碼助手的興起而不斷增加。該公司預計今年的代碼流失率將達到7%，是Gen-AI出現之前的兩倍。

這并不是Gen-AI在生產力方面的唯一問題。每年，Google Cloud都會調查數萬名開發人員，以發布年度DevOps報告，而今年的人工智能則是一個主要的話題。受訪者表示，人工智能在編寫和優化代碼以及分析安全性方面已經顯示出價值，可以幫助他們學習新技能、識別錯誤、編寫測試和創建文檔等。但還有調查數據顯示，人工智能對團隊績效和軟件交付績效的影響是中性甚至是負面的。

利用Gen-AI實現代碼安全

在編寫安全代碼方面，Gen-AI更是喜憂參半。許多人希望通過從公共代碼庫中吸收最佳編碼實踐（可能通過組織自己的政策和框架進行增強），這樣一來人工智能生成的代碼從一開始就更加安全，從而避免人類開發人員常犯的錯誤。

比如說，當開發人員開始編寫一段新代碼時，Gen-AI可以提供智能化建議，或直接生成代碼，這不僅簡化了編碼過程，而且還最大限度地減少了DevSecOps團隊主動監控和解決安全問題的需求。

Gen-AI掌握上下文信息的能力可以開啟軟件開發的新時代，并提高代碼質量和效率。Netskope首席信息安全官James Robinson認為：“盡管存在潛在的缺陷，但利用Copilots等生成式人工智能工具最終將使開發人員能夠編寫出缺陷和漏洞更少的代碼。讓Gen-AI自動使用安全實踐和機制有助于打造更安全的編碼環境。其好處包括改進代碼結構、增強代碼解釋和簡化測試流程，最終減輕DevSecOps團隊的測試負擔。”

很多開發人員認為，我們現在已經可以邁出這一步了。根據代碼安全平臺Snyk在去年11月發布的一份報告，76%的技術和安全專家認為人工智能代碼比人類代碼更安全。

但至少在今天，這種安全感可能只是一種錯覺，而且是一種危險的錯覺。根據斯坦福大學去年12月最新更新的一份研究論文，使用人工智能編碼助手的開發人員編寫的代碼“安全性明顯較低”，但他們也更有可能認為自己編寫的代碼比不使用人工智能寫代碼的開發人員更安全。此外，研究人員表示，人工智能編碼工具有時會建議使用某些不安全的庫，而開發人員會在沒有閱讀組件文檔的情況下接受這些建議。

同樣的，在Snyk自己的調查中，92%的受訪者也認同人工智能可能有時會產生不安全的代碼建議，五分之一的受訪者表示它“經常”會產生安全問題。然而，盡管Gen-AI的使用加快了代碼生產速度，但只有10%的受訪者表示他們已經實現了大部分安全檢查和掃描的自動化，80%的受訪者表示他們組織中的開發人員甚至會選擇完全繞過人工智能提供的安全策略。

實際上，盡管采用了Gen-AI編碼工具，但超過一半的組織并未改變其軟件安全流程。在那些做出改變的組織中，最常見的變化是更頻繁地進行代碼審核，其次是實施安全自動化。

Forrester的Worthington表示：“所有這些人工智能生成的代碼仍需接受安全測試。更重要的是，組織需要確保他們擁有適當的工具并集成這些工具來檢查所有新代碼以及檢查庫和容器映像。正是由于Gen-AI的出現，才導致我們對DevSecOps工具的需求越來越大。”

Worthington補充道：“Gen-AI可以幫助DevSecOps團隊編寫文檔，而且Gen-AI特別擅長創建文檔和總結信息。

別忘了，生成文本可是 ChatGPT最早的使用場景。

Google的DevOps現狀報告顯示，由于技術文檔的改進，人工智能對組織績效的影響提高了1.5倍。除此之外，根據CoderPad 的調查，文檔和API支持是Gen-AI的第四大最受歡迎用例，超過四分之一的技術專業人士選擇將其用于此目的。

反過來，它同樣也能幫助開發人員更快地梳理文檔。卡耐基梅隆大學運籌學教授Ben Moseley表示：“當我編寫大量代碼時，我花了很多時間在查閱文檔上，如果我能快速找到這些信息，那真的會幫到我。”

利用Gen-AI實現產品測試和質量保證

Gen-AI有潛力幫助DevSecOps團隊發現傳統測試工具遺漏的漏洞和安全問題，而且Gen-AI還可以解釋問題并提出修復建議，它甚至還可以幫助開發人員生成測試用例。

Moseley認為：“有些安全漏洞可能會隱藏的很深，傳統工具無法發現和識別這些漏洞。對于那些具有挑戰性的事情，你仍然需要人工去尋找它們，而且還得是專家才找得到。但Gen-AI卻能夠輕松幫我們完成這個任務。”

根據CoderPad的調查，大約13%的技術專業人士已經開始使用Gen-AI進行安全測試和質量保證。Insight首席數據官兼數據和AI產品組合總監Carm Taglienti認為：“我們很快就會看到采用在漏洞數據庫上定制訓練的Gen-AI系統。”

對于企業來說，一個更大的問題是如何實現Gen-AI功能的自動化，以及在多大程度上讓人類參與其中。比如說，如果人工智能用于在流程早期階段檢測代碼漏洞。第一階段是讓Gen-AI生成一份關于它所看到內容的報告，然后我們可以回過頭來進行更改和修復。然后，通過監控工具的數據，組織可以開始對某些類別的更正建立信任，并開始轉向完全自動化。

同樣，對于編寫測試用例，人工智能也需要人類來指導這一過程。Taglienti表示，Gen-AI還有可能用于審查整個生產環境的安全。

內部Gen-AI策略迫在眉睫

Omdia的企業安全管理首席分析師Curtis Franklin表示，很多大型企業的專業開發人員正在積極使用Gen-AI，而獨立開發人員、安全顧問和小型團隊也是如此。Franklin認為：“大公司已經制定了如何使用Gen-AI的正式政策。對于任何經過Gen-AI的代碼在投入生產之前必須如何檢查、修改和測試，都有真正的內部指導方針。但小公司沒有這種正式的質量保證框架，因為他們負擔不起這種開銷。”

DevSecOps從業人員該如何應對

盡管Gen-AI帶來了前所未有的開發速度提升，但DevSecOps專家仍需要積極應對由此產生的安全威脅，并在保證速度的同時，構建一套既高效又安全的開發運維體系：

• 建立適應性策略：確保安全流程能迅速適應并融入基于AI驅動的開發環境，同時保持對生成代碼的質量控制和安全性審核。
• 強化培訓與意識：教育開發者關于正確使用生成式AI工具的重要性，包括避免泄露敏感信息、理解輸出結果可能存在的潛在錯誤，并提倡審慎審查AI生成的代碼。
• 集成自動化驗證：在CI/CD流程中增加針對AI生成代碼的自動化測試、靜態分析和動態掃描，以減少誤報和漏報的可能性。
• 制定相關規范與政策：更新組織的安全標準和指導方針，明確規定AI輔助編程的實踐要求，以及何時何地可以安全地應用這些技術。
• 跨團隊協作與溝通：加強DevOps、安全團隊及AI團隊之間的溝通協作，共同解決因快速生成代碼帶來的新安全隱患，并設計出更穩健的安全防護機制。
• 持續監控與改進：隨著生成式AI技術的發展，不斷評估其對軟件質量和安全的影響，并據此調整DevSecOps的最佳實踐。

總結

從長遠來看，隨著Gen-AI代碼生成器的改進，它們確實有可能提高整體軟件安全性。問題是，我們將到達一個危險的拐點，當Gen-AI引擎和模型達到能夠持續生成相當不錯的代碼的程度時，開發團隊將面臨壓力，因為有些人會認為“相當不錯”就就足夠了。而正是因為如此，漏洞才更有可能在未被發現和修復的情況下影響產品安全。這就是危險區域。

只要開發人員和管理人員保持適當的懷疑和謹慎，那么Gen-AI就會成為一種有效工具。當謹慎程度下降時，就會變得危險。