AI代碼生成推動(dòng)DevSecOps邁向機(jī)器速度

生成式AI代碼工具正在改變軟件工程實(shí)踐，開發(fā)者現(xiàn)在構(gòu)建的持續(xù)集成和持續(xù)部署（CI/CD）流水線能夠大規(guī)模生成代碼并快速推送到生產(chǎn)環(huán)境。

Palo Alto Networks亞太和日本地區(qū)政府及關(guān)鍵基礎(chǔ)設(shè)施首席架構(gòu)師Tom Scully表示，由于這種自動(dòng)化，工程師們越來越多地處于"旁觀"狀態(tài)而非"參與"狀態(tài)。

"智能體編寫代碼，質(zhì)量保證（QA）流程試圖捕捉錯(cuò)誤，所有這些都以巨大的量級(jí)和速度進(jìn)行，這對傳統(tǒng)的QA和治理提出了挑戰(zhàn)，"Scully說。

根據(jù)Palo Alto Networks的《2025年云安全狀況報(bào)告》，53%的組織現(xiàn)在至少每周部署一次代碼，17%的組織每天都在部署。

"這種量級(jí)給QA流水線帶來壓力，并縮短了部署新產(chǎn)品的時(shí)間窗口，"Scully觀察到。此外，報(bào)告發(fā)現(xiàn)85%的受訪者認(rèn)為安全阻礙了軟件發(fā)布的交付。

生成式AI是軟件開發(fā)的力量倍增器，特別是與知道如何編寫提示詞和檢查輸出的經(jīng)驗(yàn)豐富的開發(fā)者配對時(shí)。但Scully說，這種經(jīng)驗(yàn)水平是稀缺的，所以問題是如何在使用AI驅(qū)動(dòng)的工具的同時(shí)確保治理，并在整個(gè)DevSecOps流水線中擁有能夠驗(yàn)證輸出的工具，就像高級(jí)開發(fā)者已經(jīng)審查過它們一樣。

DevSecOps實(shí)踐并非失效，而是隨著部署和基礎(chǔ)設(shè)施配置變得完全自動(dòng)化，為期一周的交接正在成為過去式。因此，安全團(tuán)隊(duì)面臨巨大壓力，需要快速驗(yàn)證并將一切集成到安全運(yùn)營中心（SOC）中。

"安全和運(yùn)營團(tuán)隊(duì)需要運(yùn)行時(shí)可見性以及將問題追溯到CI/CD流水線的能力，"Scully說。"如果安全、SOC、CI/CD和基礎(chǔ)設(shè)施團(tuán)隊(duì)在嵌入治理控制的共享平臺(tái)上運(yùn)作，你就可以將檢查、策略和自動(dòng)化結(jié)合起來，以機(jī)器速度運(yùn)行。"

Palo Alto Networks提供了這樣一個(gè)平臺(tái)，通過Prisma和Cortex來保護(hù)從代碼到云的流程和AI運(yùn)行時(shí)安全，包括模型上下文協(xié)議保護(hù)和自動(dòng)化紅隊(duì)測試，同時(shí)提供端到端可見性。

Scully并不建議每個(gè)安全問題都留到運(yùn)行時(shí)解決。"你需要將安全編碼策略、QA和態(tài)勢檢查集成到流水線中。工具應(yīng)該在部署前驗(yàn)證代碼、部署YAML和云配置。然后，運(yùn)行時(shí)控制和紅隊(duì)測試確保漏網(wǎng)之魚被檢測和修復(fù)。這是關(guān)于縱深防御——在編寫、預(yù)部署、部署時(shí)和運(yùn)行時(shí)進(jìn)行檢查。"

雖然大語言模型正在快速改進(jìn)，但它們并不生成完美的代碼。"你需要人工監(jiān)督——人員參與/旁觀循環(huán)——以及對工具行為的可見性。想想自動(dòng)駕駛的類比——在人工監(jiān)督下的自動(dòng)化一直有效，直到監(jiān)督需求發(fā)生變化。關(guān)鍵是緊密集成以及使用整合數(shù)據(jù)和工具快速觀察、定位、決策和行動(dòng)的能力——一個(gè)OODA循環(huán)。"

此外，大語言模型生成代碼的質(zhì)量很大程度上取決于模型提供商，但可以通過構(gòu)建"一個(gè)自動(dòng)化循環(huán)來改進(jìn)，其中模型輸出根據(jù)安全性和質(zhì)量進(jìn)行評(píng)分，提示詞得到完善，"Scully說。

可以施加外部護(hù)欄——例如，檢查輸出中的個(gè)人身份信息、有害內(nèi)容、權(quán)限和其他策略違規(guī)。"這個(gè)監(jiān)督層可以在有風(fēng)險(xiǎn)的輸出被使用之前阻止它們，"他補(bǔ)充說。

為了安全地應(yīng)對這些變化，Scully建議董事會(huì)和C級(jí)高管在董事會(huì)層面實(shí)施AI治理和標(biāo)準(zhǔn)。這涉及定義明確的策略并將其映射到既定框架，如ISO 27001和美國國家標(biāo)準(zhǔn)技術(shù)研究所的風(fēng)險(xiǎn)管理框架。

他還敦促領(lǐng)導(dǎo)者明確決定允許使用哪些模型和工具，強(qiáng)制進(jìn)行全面的安全評(píng)估。最后，組織必須跟蹤其運(yùn)行時(shí)態(tài)勢并維護(hù)最新的模型清單以確保可見性，將總體治理與平臺(tái)級(jí)控制相結(jié)合，使企業(yè)能夠繼續(xù)安全創(chuàng)新。

Q&A

Q1：生成式AI代碼工具對軟件開發(fā)帶來了什么變化？

A：生成式AI代碼工具正在改變軟件工程實(shí)踐，開發(fā)者現(xiàn)在構(gòu)建的CI/CD流水線能夠大規(guī)模生成代碼并快速推送到生產(chǎn)環(huán)境。工程師們越來越多地處于"旁觀"狀態(tài)而非"參與"狀態(tài)，智能體編寫代碼，質(zhì)量保證流程試圖捕捉錯(cuò)誤，所有這些都以巨大的量級(jí)和速度進(jìn)行。

Q2：大語言模型生成的代碼質(zhì)量如何保證？

A：大語言模型雖然正在快速改進(jìn)，但并不生成完美的代碼。需要人工監(jiān)督和對工具行為的可見性。代碼質(zhì)量很大程度上取決于模型提供商，但可以通過構(gòu)建自動(dòng)化循環(huán)來改進(jìn)，其中模型輸出根據(jù)安全性和質(zhì)量進(jìn)行評(píng)分，提示詞得到完善。

Q3：如何在使用AI代碼生成工具時(shí)確保安全？

A：需要將安全編碼策略、QA和態(tài)勢檢查集成到流水線中，工具應(yīng)該在部署前驗(yàn)證代碼、部署YAML和云配置。同時(shí)需要運(yùn)行時(shí)控制和紅隊(duì)測試確保漏網(wǎng)之魚被檢測和修復(fù)。還要施加外部護(hù)欄，檢查輸出中的個(gè)人身份信息、有害內(nèi)容、權(quán)限等策略違規(guī)。