6月20日讯,Cloudsmith于近日发布报告称,人工智能(AI)技术正在迅速改变软件开发格局。报告显示,随着AI生成代码的数量呈现爆发式增长,人工代码审核能力却未能同步提升。
据报告数据,在使用AI工具的开发者群体中,超过四成的代码是由AI自动生成完成的。其中值得注意的是,有16.6%的开发者主要依赖AI来贡献”大部分”代码量,而完全由机器生成的代码占比则达到了3.6%。
这一现象也得到了GitHub 2024年调查数据的支持。数据显示,在美国、巴西、德国和印度等主要国家,超过97%的开发者曾使用过AI编码工具。同时,有88%至59%不等比例的受访者表示,其所在公司对AI工具至少持部分支持态度。
然而,报告也指出这种趋势背后暗藏着潜在风险。调查发现,绝大多数开发者(79.2%)担忧AI技术可能加剧开源项目的恶意软件威胁。其中,有三成开发者认为这一领域的安全威胁将”显著增加”。
Cloudsmith警告称,三分之一的开发者未能在每次代码部署前进行严格审查,导致大量未经验证的AI生成代码直接投入生产环境,从而形成了严重的供应链安全漏洞。
更令人担忧的是,由于AI技术能够快速复用未知或不可信的代码片段,这使得传统的风险管理手段如代码完整性、依赖管理以及SBOMs(软件物料清单)等面临着前所未有的挑战。调查显示,在”代码生成阶段”被认为存在最高风险,但仅有40%的开发者表示应对此环节实施严格管控。
针对上述问题,Cloudsmith建议采取多维度措施加以应对。其中包括:智能访问控制和端到端可见性来强化制品管理,并通过动态访问策略与“政策即代码”框架实现更高效的治理。对于AI生成的代码,报告强调应当实施强制性的自动政策审核,对未经过严格审查或来源不可信的AI产物进行明确标记,并借助溯源追踪技术来区分人机生成代码。
相关文章
