![]()
生成式AI代碼工具正在改變軟件工程實(shí)踐,開發(fā)者現(xiàn)在構(gòu)建的持續(xù)集成和持續(xù)部署(CI/CD)流水線能夠大規(guī)模生成代碼并快速推送到生產(chǎn)環(huán)境。
Palo Alto Networks亞太和日本地區(qū)政府及關(guān)鍵基礎(chǔ)設(shè)施首席架構(gòu)師Tom Scully表示,由于這種自動(dòng)化,工程師們越來越多地處于"旁觀"狀態(tài)而非"參與"狀態(tài)。
"智能體編寫代碼,質(zhì)量保證(QA)流程試圖捕捉錯(cuò)誤,所有這些都以巨大的量級(jí)和速度進(jìn)行,這對傳統(tǒng)的QA和治理提出了挑戰(zhàn),"Scully說。
根據(jù)Palo Alto Networks的《2025年云安全狀況報(bào)告》,53%的組織現(xiàn)在至少每周部署一次代碼,17%的組織每天都在部署。
"這種量級(jí)給QA流水線帶來壓力,并縮短了部署新產(chǎn)品的時(shí)間窗口,"Scully觀察到。此外,報(bào)告發(fā)現(xiàn)85%的受訪者認(rèn)為安全阻礙了軟件發(fā)布的交付。
生成式AI是軟件開發(fā)的力量倍增器,特別是與知道如何編寫提示詞和檢查輸出的經(jīng)驗(yàn)豐富的開發(fā)者配對時(shí)。但Scully說,這種經(jīng)驗(yàn)水平是稀缺的,所以問題是如何在使用AI驅(qū)動(dòng)的工具的同時(shí)確保治理,并在整個(gè)DevSecOps流水線中擁有能夠驗(yàn)證輸出的工具,就像高級(jí)開發(fā)者已經(jīng)審查過它們一樣。
DevSecOps實(shí)踐并非失效,而是隨著部署和基礎(chǔ)設(shè)施配置變得完全自動(dòng)化,為期一周的交接正在成為過去式。因此,安全團(tuán)隊(duì)面臨巨大壓力,需要快速驗(yàn)證并將一切集成到安全運(yùn)營中心(SOC)中。
"安全和運(yùn)營團(tuán)隊(duì)需要運(yùn)行時(shí)可見性以及將問題追溯到CI/CD流水線的能力,"Scully說。"如果安全、SOC、CI/CD和基礎(chǔ)設(shè)施團(tuán)隊(duì)在嵌入治理控制的共享平臺(tái)上運(yùn)作,你就可以將檢查、策略和自動(dòng)化結(jié)合起來,以機(jī)器速度運(yùn)行。"
Palo Alto Networks提供了這樣一個(gè)平臺(tái),通過Prisma和Cortex來保護(hù)從代碼到云的流程和AI運(yùn)行時(shí)安全,包括模型上下文協(xié)議保護(hù)和自動(dòng)化紅隊(duì)測試,同時(shí)提供端到端可見性。
Scully并不建議每個(gè)安全問題都留到運(yùn)行時(shí)解決。"你需要將安全編碼策略、QA和態(tài)勢檢查集成到流水線中。工具應(yīng)該在部署前驗(yàn)證代碼、部署YAML和云配置。然后,運(yùn)行時(shí)控制和紅隊(duì)測試確保漏網(wǎng)之魚被檢測和修復(fù)。這是關(guān)于縱深防御——在編寫、預(yù)部署、部署時(shí)和運(yùn)行時(shí)進(jìn)行檢查。"
雖然大語言模型正在快速改進(jìn),但它們并不生成完美的代碼。"你需要人工監(jiān)督——人員參與/旁觀循環(huán)——以及對工具行為的可見性。想想自動(dòng)駕駛的類比——在人工監(jiān)督下的自動(dòng)化一直有效,直到監(jiān)督需求發(fā)生變化。關(guān)鍵是緊密集成以及使用整合數(shù)據(jù)和工具快速觀察、定位、決策和行動(dòng)的能力——一個(gè)OODA循環(huán)。"
此外,大語言模型生成代碼的質(zhì)量很大程度上取決于模型提供商,但可以通過構(gòu)建"一個(gè)自動(dòng)化循環(huán)來改進(jìn),其中模型輸出根據(jù)安全性和質(zhì)量進(jìn)行評(píng)分,提示詞得到完善,"Scully說。
可以施加外部護(hù)欄——例如,檢查輸出中的個(gè)人身份信息、有害內(nèi)容、權(quán)限和其他策略違規(guī)。"這個(gè)監(jiān)督層可以在有風(fēng)險(xiǎn)的輸出被使用之前阻止它們,"他補(bǔ)充說。
為了安全地應(yīng)對這些變化,Scully建議董事會(huì)和C級(jí)高管在董事會(huì)層面實(shí)施AI治理和標(biāo)準(zhǔn)。這涉及定義明確的策略并將其映射到既定框架,如ISO 27001和美國國家標(biāo)準(zhǔn)技術(shù)研究所的風(fēng)險(xiǎn)管理框架。
他還敦促領(lǐng)導(dǎo)者明確決定允許使用哪些模型和工具,強(qiáng)制進(jìn)行全面的安全評(píng)估。最后,組織必須跟蹤其運(yùn)行時(shí)態(tài)勢并維護(hù)最新的模型清單以確保可見性,將總體治理與平臺(tái)級(jí)控制相結(jié)合,使企業(yè)能夠繼續(xù)安全創(chuàng)新。
Q&A
Q1:生成式AI代碼工具對軟件開發(fā)帶來了什么變化?
A:生成式AI代碼工具正在改變軟件工程實(shí)踐,開發(fā)者現(xiàn)在構(gòu)建的CI/CD流水線能夠大規(guī)模生成代碼并快速推送到生產(chǎn)環(huán)境。工程師們越來越多地處于"旁觀"狀態(tài)而非"參與"狀態(tài),智能體編寫代碼,質(zhì)量保證流程試圖捕捉錯(cuò)誤,所有這些都以巨大的量級(jí)和速度進(jìn)行。
Q2:大語言模型生成的代碼質(zhì)量如何保證?
A:大語言模型雖然正在快速改進(jìn),但并不生成完美的代碼。需要人工監(jiān)督和對工具行為的可見性。代碼質(zhì)量很大程度上取決于模型提供商,但可以通過構(gòu)建自動(dòng)化循環(huán)來改進(jìn),其中模型輸出根據(jù)安全性和質(zhì)量進(jìn)行評(píng)分,提示詞得到完善。
Q3:如何在使用AI代碼生成工具時(shí)確保安全?
A:需要將安全編碼策略、QA和態(tài)勢檢查集成到流水線中,工具應(yīng)該在部署前驗(yàn)證代碼、部署YAML和云配置。同時(shí)需要運(yùn)行時(shí)控制和紅隊(duì)測試確保漏網(wǎng)之魚被檢測和修復(fù)。還要施加外部護(hù)欄,檢查輸出中的個(gè)人身份信息、有害內(nèi)容、權(quán)限等策略違規(guī)。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.