根據(jù)Venafi的調(diào)查，92%的安全領(lǐng)導(dǎo)者對(duì)其企業(yè)內(nèi)使用AI生成的代碼表示擔(dān)憂。

安全團(tuán)隊(duì)與開發(fā)團(tuán)隊(duì)之間的緊張關(guān)系

83%的安全領(lǐng)導(dǎo)者表示，他們的開發(fā)人員目前使用AI生成代碼，其中57%稱這種做法已成為常態(tài)，然而，72%的人認(rèn)為，他們別無選擇，只能允許開發(fā)人員使用AI來保持競(jìng)爭(zhēng)力，而63%的人則由于安全風(fēng)險(xiǎn)，曾考慮禁止在編碼中使用AI。

66%的受訪者表示，安全團(tuán)隊(duì)無法跟上由AI驅(qū)動(dòng)的開發(fā)人員的步伐。結(jié)果，安全領(lǐng)導(dǎo)者感到他們正在失去控制，企業(yè)正因此面臨風(fēng)險(xiǎn)。78%的人相信AI生成的代碼將導(dǎo)致安全危機(jī)，59%的人因AI的安全隱患而夜不能寐。

63%的安全領(lǐng)導(dǎo)者認(rèn)為，在企業(yè)內(nèi)無法有效管理AI的安全使用，因?yàn)樗麄儫o法清晰了解AI的具體使用位置。盡管存在這些擔(dān)憂，47%的公司已經(jīng)制定了確保在開發(fā)環(huán)境中安全使用AI的政策。

Venafi的首席創(chuàng)新官Kevin Bocek表示：“安全團(tuán)隊(duì)陷入了兩難境地，處在一個(gè)由AI編寫代碼的新時(shí)代。開發(fā)人員已經(jīng)通過AI得到極大增強(qiáng)，他們不會(huì)放棄這種‘超能力’。同時(shí)，攻擊者正在滲透我們的隊(duì)伍——最近在開源項(xiàng)目中的長期干預(yù)，以及朝鮮對(duì)IT領(lǐng)域的滲透，僅僅是冰山一角。”

Bocek補(bǔ)充道：“如今任何擁有大型語言模型(LLM)的人都可以編寫代碼，這打開了一個(gè)全新的戰(zhàn)線。代碼才是關(guān)鍵，不管是你們的開發(fā)人員使用AI超速編寫的代碼，還是外部代理滲透的代碼，或者是某位財(cái)務(wù)人員使用從誰都不清楚的訓(xùn)練數(shù)據(jù)生成的LLM代碼。因此，代碼至關(guān)重要!我們必須驗(yàn)證代碼的來源?！?/p>

安全領(lǐng)導(dǎo)者對(duì)AI生成代碼的主要擔(dān)憂

當(dāng)談到開發(fā)人員使用AI編寫或生成代碼時(shí)，安全領(lǐng)導(dǎo)者提出了三大主要擔(dān)憂：

1. 開發(fā)人員可能過度依賴AI，導(dǎo)致標(biāo)準(zhǔn)下降

2. AI編寫的代碼不會(huì)被有效地進(jìn)行質(zhì)量檢查

3. AI可能會(huì)使用過時(shí)且維護(hù)不善的開源庫

研究還指出，AI使用開源不僅給安全團(tuán)隊(duì)帶來了挑戰(zhàn)：

開源的過度使用：

安全領(lǐng)導(dǎo)者估計(jì)，平均61%的應(yīng)用程序使用開源代碼。這種對(duì)開源的過度依賴可能帶來潛在風(fēng)險(xiǎn)，因?yàn)?6%的受訪者認(rèn)為，開源代碼在開發(fā)者中更注重速度，而非安全最佳實(shí)踐。

令人困擾的驗(yàn)證問題：

90%的安全領(lǐng)導(dǎo)者信任開源庫中的代碼，其中43%表示完全信任，然而，75%的人認(rèn)為不可能驗(yàn)證每一行開源代碼的安全性。因此，92%的安全領(lǐng)導(dǎo)者認(rèn)為，應(yīng)該使用代碼簽名來確保開源代碼的可信性。

Venafi的首席創(chuàng)新官Kevin Bocek補(bǔ)充道：“最近的CrowdStrike宕機(jī)事件顯示了代碼從開發(fā)者迅速傳播到全球危機(jī)的影響。如今，代碼可以來自任何地方，包括AI和外部代理。未來只會(huì)有更多的代碼來源，而不是更少。基于身份驗(yàn)證代碼、應(yīng)用程序和工作負(fù)載，確保它們沒有被修改且被批準(zhǔn)使用，是我們今天和未來最好的選擇。我們應(yīng)該把CrowdStrike宕機(jī)事件視為未來挑戰(zhàn)的完美例子，而不是偶然的個(gè)例?！?/p>

維護(hù)代碼簽名的信任鏈可以幫助企業(yè)防止未經(jīng)授權(quán)的代碼執(zhí)行，同時(shí)也能擴(kuò)大操作規(guī)模，以跟上開發(fā)人員使用AI和開源技術(shù)的步伐。

Bocek總結(jié)道：“在一個(gè)AI和開源既強(qiáng)大又不可預(yù)測(cè)的世界里，代碼簽名成為企業(yè)的基礎(chǔ)防線，但要讓這種防護(hù)生效，代碼簽名過程必須既強(qiáng)大又安全，這不僅僅是阻止惡意代碼的問題——企業(yè)需要確保每一行代碼都來自可信的來源，并驗(yàn)證數(shù)字簽名，確保自簽名以來沒有任何篡改。好消息是，代碼簽名幾乎無處不在——壞消息是，它往往沒有得到安全團(tuán)隊(duì)的充分保護(hù)，而這些團(tuán)隊(duì)本可以幫助確保其安全性?！?/p>