GitHub Copilot 和 ChatGPT 等 AI 编码助手可为您的开发人员带来变革,帮助您比以往更快地创新和交付软件。Black Duck解决方案可以帮助您充分利用AI生成的代码,同时以开发人员对AI驱动的管道所需的速度来管理风险。
AI编码助手现已大量嵌入到开发人员的工作流中,无论是作为插件还是通过常用IDE和CI平台中的API。AI代码生成器利用在数千个开源项目和数百万行公开源代码上训练的大语言模型(LLM),还参考了大量脆弱、易受攻击且存在法律问题的代码片段。
仅通过对AI代码生成器下达一个简单的指令,开发人员便可能会在无意间将第三方代码问题转化为自己的代码问题。
大多数 AI 编码助理都无法确定自己训练的代码是否安全优质。如果不小心,互联网的漏洞就可能会成为您的漏洞。
有时候,AI 生成的代码就是许可开源项目的代码拷贝。如果是这样,就可能会给您带来潜在的知识产权侵权风险因为缺乏法律专业知识,或对这些AI生成代码片段的来源缺乏了解,开发人员通常无法提供帮助。
AI代码生成器缺乏安全风险意识以及对软件许可证的理解,导致开发人员无法对其建立绝对信任。Black Duck解决方案允许开发人员自由地使用AI编码助手,同时建立反映AppSec团队需求和标准的自动安全网 — 所有这些都是DevSecOps闭环系统的一部分。
在提交到代码库之前,确保AI编码助手的输出是安全的、高质量的,并且符合您的风险接受标准。Black Duck Polaris™ Platform:
- 在IDE、SCM存储库和CI/CD管道中提供强大的SAST和SCA功能
- 给开发人员提供明确的修复指导
- 基于工作流触发器和策略提供自动扫描和问题管理工作流
如果开发人员回避AppSec测试,并且AI编码助手积压了大量安全工作,那么,AppSec测试将毫无用处。开发人员是软件安全的第一道防线,应该配备适当的工具来帮助他们编写更高质量的代码,并在项目截止日期到来之前解决问题。Black Duck® Polaris Assist™:
- 使用可扩展且能够与AI编码工具协同的AI安全工具
- 澄清问题,生成修复代码,并缩短解决时间(TTR)
- 将AI驱动的修复纳入IDE、开发工作流和CI/CD管道中
AI编码助手或您的开发人员都有可能从受版权保护的开源项目中提取小规模的片段加以使用。代码片段分析是保护项目的最佳方式,即使开发人员缺乏法律专业知识也不例外。Black Duck的开源代码片段API:
- 识别第三方代码片段和相关的许可义务
- 保护知识产权,使企业免遭昂贵的诉讼
- 从IDE、SCM存储库或CI/CD管道触发分析
减少AppSec、开发人员和AI之间的摩擦。提供资源,使安全代码在现有工作流中成为项目的默认代码。Code Sight™ IDE插件:
- 在IDE中自动或按需运行快速SAST和SCA
- 将明确的补丁和修复指南交到开发人员的手中,以缩短TTR
- 使AppSec和开发团队保持同步,并遵守统一策略和风险报告流程
有一点很确定。AI 意味着更多的代码、更快的速度和新的软件风险形态。您是否准备好了 AppSec 计划?借助 Black Duck,您可以在 DevOps 工作流中构建安全性,这样您的团队就可以在保持安全的同时快速构建。
生成式 AI 将颠覆软件编码。结合开发自动化技术,它可以自动完成高达 30% 的程序员工作。”
了解有关管理 AI 风险的更多信息
AI拉大了安全与开发之间的鸿沟
以AI速度演进DevSecOps的四个步骤
AI 在软件开发领域的崛起
Gartner® 应用安全测试魔力象限™