高达80%的开发人员承认,为了使用人工智慧程式开发辅助工具而绕过组织安全政策。
人工智慧程式开发辅助工具已经大量参与开发人员的日常工作,96%的受访者团队已使用人工智慧程式开发辅助工具,但有56.4%的受访者表示经常从人工智慧程式码建议中发现安全问题,也有高达80%的开发人员承认,为了使用人工智慧程式开发辅助工具而绕过组织安全政策。即便开发人员已大量应用人工智慧编写程式码,但是Snyk表示,少有团队相对应调整安全流程,只有不到10%的组织,对大部分程式码执行自动化安全扫描。
人工智慧程式开发辅助工具所产生的安全问题不只存在于组织内,也正影响著开源工具链的安全,73.2%的受访者曾对开源专案贡献程式码,代表即便他们皆具备开源专案的知识,也理解人工智慧可能提供不安全的程式码,但是只有24.6%的组织,使用软体组成分析(Software composition analysis,SCA)工具验证人工智慧的程式码建议。Snyk解释,更快的开发速度可能使得组织更容易接受不安全的开源元件,而人工智慧工具使用开源程式码作为训练资料集,可能因此学习不安全的程式码写法,导致恶性循环产生更多不安全的建议。
高达55.1%的受访者都表示组织已经将人工智慧工具,视为软体供应链的一部分,不过,Snyk认为大多数组织并未对这种情况采取足够应对,最常采取的行动是增加安全扫描,但实行的组织也只有18.4%。针对这样的现象,Snyk猜测,可能来自于人们错误认为人工智慧生成的程式码建议,比人类编写的程式码更安全。有75%的受访者认为人工智慧生成的程式码较人类安全。
有趣的是,大多数受访者不信任人工智慧,有86%的受访者对人工智慧程式开发辅助工具的安全性存在顾虑,Snyk提到,之所以有这种认知失调的状况出现,可能来自于从众心理,开发人员说服自己其他人也在使用人工智慧工具,则这些工具势必值得信任。小部分的组织限制人工智慧程式开发辅助工具的使用,主要原因包括57%担忧程式码的安全性,其次有53.8%的组织顾虑资料隐私,还有46.4%的组织在意程式品质(下图)。
开发人员因为人工智慧程式开发辅助工具的协助,使得生产力增加,因而加快了程式码编写速度,而这也对应用程式安全团队带来更多的压力,有五分之一的团队在跟上软体开发的脚步存在挑战。