對于為了滿足日益增長的需求和責任而飛速工作的軟件開發(fā)人員來說，幾年前人工智能 (AI) 編程助手的出現(xiàn)無疑是一大福音。開發(fā)人員很快就成為了生成式 AI 模型的狂熱用戶，這些模型加速了代碼創(chuàng)建過程和交付速度。然而，在帶來不可否認的初始優(yōu)勢之后，另一只鞋子也隨之落下，給日益復雜的環(huán)境增添了更多復雜性。保護攻擊面本來就是一項永無止境的任務；而 AI 編程則讓這項任務變得更加難以克服。

除了進一步增加代碼庫的復雜性之外，人工智能模型還缺乏創(chuàng)建高質(zhì)量、安全代碼所必需的上下文細微差別，尤其是在由缺乏安全知識的開發(fā)人員使用時。因此，漏洞和其他缺陷正以前所未有的速度涌現(xiàn)。

當前的軟件環(huán)境在安全方面已經(jīng)失控，而且沒有絲毫減緩的跡象。但斬殺復雜性和不安全性這兩頭“雙龍”仍有希望。企業(yè)必須挺身而出，建立強大的開發(fā)人員風險管理體系，并通過教育和技能提升，為開發(fā)人員提供掌控軟件所需的工具。

人工智能助手增加了復雜性和代碼可維護性問題

2022年11月，生成式人工智能（Generative AI）作為OpenAI的ChatGPT首次亮相，開發(fā)者們迅速抓住了這一機遇，很快便使用GenAI模型來加速代碼創(chuàng)建和軟件開發(fā)。根據(jù)GitHub的一項調(diào)查，截至2023年6月，92%的美國開發(fā)者將人工智能工具用于工作或個人用途。開發(fā)者們大多認為加速代碼創(chuàng)建是有益的，使用人工智能工具也迅速成為一種常態(tài)。

然而，盡管后續(xù)調(diào)查（例如Synk的一項調(diào)查）發(fā)現(xiàn)，約四分之三的開發(fā)人員認為 AI 生成的代碼比人類編寫的代碼更安全，但他們也發(fā)現(xiàn)，超過一半的 AI 代碼中仍然存在錯誤。此外，80% 的開發(fā)人員忽視了安全的 AI 編碼策略，錯失了及時發(fā)現(xiàn)錯誤的機會。

隨著人工智能助手加速這一進程，大量易受攻擊的軟件被發(fā)布到一個環(huán)境中，無論代碼是如何創(chuàng)建的，這個環(huán)境中已經(jīng)充滿了安全漏洞。

GitClear最近的一項研究揭示了 AI 生成的代碼如何增加復雜性，并加劇了軟件開發(fā)生命周期 (SDLC) 后期維護和保護軟件的挑戰(zhàn)。GitClear 分析了 2020 年 1 月至 2023 年 12 月期間創(chuàng)建的四年間更改的代碼（約 1.53 億行），發(fā)現(xiàn)了有關代碼流失率和復制粘貼代碼率的驚人結(jié)果。

“代碼流失”（Code Churn）指的是編寫后兩周內(nèi)被更改或更新的代碼，預計在2021年至2024年間將翻一番，而這還不包括人工智能工具的沖擊。在同一時期，復制/粘貼代碼的數(shù)量增長速度快于更新、刪除或移動的代碼數(shù)量，這表明人們正在逐漸遠離“DRY”（不要重復自己）的實踐，而這種趨勢必然會導致軟件缺陷的增加。

這兩種不良做法都會增加應用程序的復雜性，從而推高支持成本，并增加軟件安全的難度。人工智能加速的軟件生產(chǎn)速度，使得更多漏洞在修復之前就被放入流水線，這也大大延長了安全措施跟進所需的時間。美國國家標準與技術研究院 (NIST) 的一項研究發(fā)現(xiàn)，與在軟件開發(fā)生命周期 (SDLC) 初期修復缺陷相比，在測試階段修復缺陷所需的時間要長 15 倍。而在部署/維護階段修復缺陷所需的時間則可能長達 30 到 100 倍。

AI工具提高了代碼交付速度，提升了原始生產(chǎn)效率，但這些早期的生產(chǎn)力提升卻被軟件開發(fā)生命周期（SDLC）后期的代碼可維護性問題所抵消。解決方案是從一開始就解決這些問題，以免它們危及應用程序和數(shù)據(jù)安全。

借助升級技能的武器庫

參與軟件開發(fā)的組織需要轉(zhuǎn)變其文化，樹立“安全第一”的理念，將軟件安全視為一項業(yè)務優(yōu)先事項，而非僅僅將其視為技術問題。持續(xù)不斷的攻擊和引人注目的數(shù)據(jù)泄露事件已變得屢見不鮮，董事會和首席執(zhí)行官們都無法忽視。安全的軟件是企業(yè)生產(chǎn)力、聲譽和生存能力的基石，因此，構(gòu)建強大的安全文化至關重要。而安全文化的基礎正是開發(fā)人員風險管理。

實施教育計劃以提高開發(fā)人員編寫安全代碼和糾正人工智能生成或第三方代碼中的錯誤的技能，可以防止那些日益常見的缺陷進入管道，從而降低復雜性（第一條龍），同時提高安全性（第二條龍）和軟件質(zhì)量。

公司需要投資一個能夠提供敏捷、實踐和持續(xù)學習的項目，并將安全作為其關鍵績效指標中的突出部分。學習項目應該建立開發(fā)人員所需技能的基準，并應包含內(nèi)部和行業(yè)基準來衡量他們的進度。它應該解決實際問題，并根據(jù)開發(fā)人員的工作量身定制，采用適合他們?nèi)粘贪才诺男问剑⑸婕八麄儗嶋H使用的編程語言。這種技能提升有助于形成一種安全文化，在這種文化中，開發(fā)人員與安全團隊合作，確保在軟件開發(fā)生命周期 (SDLC) 開始時遵循最佳安全實踐，這已被證明是確保軟件安全的最有效（且經(jīng)濟高效）的方法。

教育的一個關鍵方面是了解程序是否有效，開發(fā)人員是否已經(jīng)吸收了新技能并且正在持續(xù)應用這些技能。

對于時間緊迫的開發(fā)人員來說，AI 工具在速度和效率方面的優(yōu)勢是難以抗拒的。但 AI 生成的代碼所帶來的復雜性和風險也不容忽視。

組織需要全面提升開發(fā)人員的技能，以便他們能夠與安全專業(yè)人員合作，將軟件安全問題扼殺在萌芽狀態(tài)。只有管理好開發(fā)人員的風險，才能斬斷復雜性和不安全性這兩大“雙龍”，確保代碼（無論是由人工智能還是人類生成的）安全可靠，避免漏洞。