近年來,隨著生成式人工智慧(GenAI)技術的發展,它在DevSecOps的運作過程中帶來了顯著的影響。DevSecOps是由DevOps (Development, Operations)加上Security的結合在原先的開發、維運過程中融入安全,強調安全不僅是開發、維運過程中的方法論。強調過程中的每一個環節都一樣重要、應該在每個執行過程中環節中都持續被關注。延續DevOps的自動化精神DevSecOps從規劃、程式、整合、部署等過程中持續的導入了各個階段需要的安全性測試工具以確保整體系統的安全。
圖1: DevSecOps 是 DevOps 整合軟體安全實務的延伸
圖片來源:dynatrace
調查有9成軟體開發者使用GenAI
根據 GitLab 提出的 2023 年全球 DevSecOps 報告中,已有23% 的組織在軟體開發過程中使用AI,其中有90% 的受訪者在軟體開發過程中使用AI;81% 的受訪者表示他們希望獲得更多關於如何有效使用人工智慧的培訓。在此同時,也有79%的受訪者擔心AI 會接觸到私人訊息或其他知識財產權的資訊。本文將探討GenAI對DevSecOps帶來的影響以及相關的挑戰和解決方案。
圖2:GitLab & Google Cloud 合作對 DevSecOps 工作流程圖
圖片來源: GitLab
在此趨勢下,越來越多的工作人員使用AI來協助DevSecOps各個環節的進行。AI除了提高程式開發過程的生產力外,也簡化了測試步驟,同時可以協助進行程式碼檢查以提高軟體品質帶來更高的工作效能。使用AI的過程中組織也需要因應AI帶來的改變去調整作業流程,AI目前的使用仍在初級應用階段,預計未來能夠更廣泛深入的應用在各個DevSecOps環節當中。
AI廣泛應用對智產權及隱私權造成威脅
雖然AI有助於提高生產力,然而隨著AI的廣泛應用,對於知識產權與個人隱私的威脅也更加嚴重,同時AI提昇的程式碼變更率,也會增加DevSecOps流程重覆運行的負擔。
此外,AI訓練中所使用的資料來源,也可能繼承各種偏見造成錯誤資訊的延續,所以在AI的訓練過程中必須導入更公平的指標、檢測工具,以避免造成其他爭議。
另一方面,DevSecOps也應該建立更完善的流程和機制即時識別AI導致的危險,雖然AI可以協助很多自動化測試的工作,然在重要環節仍然需要進行人工審查,以確保檢查的項目符合預期的需求,能及時發現問題進行修正。
另外要加強對人員培訓和意識的提升,以建立起開發和安全團隊之間的良好溝通與協作機制,確保在開發過程中能夠及時發現和解決安全問題。此外,持續監控和改進安全流程,隨著技術和威脅的變化不斷優化安全策略和措施,以保障系統和數據的安全。
封面圖片來源:
DevSecOps 示意圖 https://www.dynatrace.com/solutions/devsecops/
參考資料來源: