首席信息安全官(CISOs)需要一个 AI 可见性和关键绩效指标(KPI)计划,以实现 “恰到好处” 的平衡,从而达到最佳的安全性和生产力成果。AI 在软件开发中的现状如今,人工智能(AI)这一 “精灵” 已被释放且不会再被收回,其在软件开发领域的应用也日益广泛。GitHub 的一项调查显示,92% 的美国开发人员已在工作内外使用 AI 编码工具。他们表示,AI 技术有助于提升技能(57% 的人提到)、提高生产力(53%)、让他们专注于构建 / 创造而非重复性任务(51%)以及避免职业倦怠(41%)。可以肯定地说,在不久的将来,AI 辅助开发将更加成为一种常态。企业将不得不制定政策和最佳实践来有效管理这一切,就像他们对云部署、自带设备(BYOD)和其他职场技术趋势所做的那样。但这种监管仍在进行中,例如,许多开发人员在未经其组织的 IT 部门或管理层知晓或批准的情况下使用这些工具,即所谓的 “影子 AI”。首席信息安全官的责任与挑战首席信息安全官负责确定安全防护措施,让开发人员了解哪些 AI 工具和实践是可行的,哪些是不可行的。他们需要引领从影子 AI 的不确定性向更可知、可控和管理良好的自带 AI(BYOAI)环境的转变。目前的情况较为严峻,据 2024 年云原生安全状况报告显示,44% 的组织担心与 AI 生成代码相关的风险。Snyk 的研究表明,56% 的软件和安全团队成员称不安全的 AI 建议很常见。五分之四的开发人员会绕过安全政策使用 AI(即影子 AI),但只有十分之一的人会对大部分代码进行扫描,这通常是因为该过程会增加代码审查的周期,从而拖慢整体工作流程。斯坦福大学的一项研究发现,使用 AI 助手的开发人员中仅有 3% 编写了安全的产品,而未使用 AI 的开发人员中这一比例为 21%。有 AI 访问权限的人员中,36% 创建的产品易受 SQL 注入攻击,而无访问权限的人员中这一比例仅为 7%。应对策略建立可见性:消除影子 AI 最可靠的方法是将 AI 从暗处暴露出来。CISOs 需要了解开发团队正在使用哪些工具、未使用哪些工具以及原因,从而清楚代码的来源以及 AI 的使用是否会引入网络风险。平衡安全与生产力:CISOs 不应阻止团队寻找自己的工具,而应在生产力和安全之间寻求良好平衡。如果在一定范围内的 AI 相关活动能够在最小风险或至少可接受的风险下实现生产目标,就应允许其进行。CISOs 应抱着合作的心态与开发团队共同制定准则和流程,让开发人员明白既要提高效率,又要确保安全。进行衡量:CISOs 应与编码团队合作,制定衡量软件生产力以及可靠性 / 安全性的 KPI。这些 KPI 应能回答以下问题:“我们使用 AI 的产出是多少?速度有多快?我们流程的安全性是变好了还是变差了?” 需注意,这些是 “组织” KPI,必须与公司战略和目标保持一致,让开发人员认识到 KPI 有助于他们在控制风险的同时达到 “更多 / 更快 / 更好” 的水平。
开发团队可能比 CISOs 预期的更愿意建立 “安全第一” 的合作关系。事实上,这些团队成员在部署 AI 编码工具时,将安全审查与代码审查一同列为首要任务,他们也相信合作能够写出更干净、更安全的代码。因此,CISOs 应尽快推进 AI 可见性和 KPI 计划,以实现最佳的安全性和生产力成果,确保 AI 在发挥积极作用的同时不引入不必要的风险。
关注【黑客联盟】带你走进神秘的黑客世界
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。