随着开发团队将安全检查提前到软件开发生命周期(SDLC)的早期阶段(安全左移),开发者们已经成为抵御漏洞的第一道防线。在2023年GitHub的一项调查中,32%的开发者时间用于编写代码,31%的时间用于发现和修复安全漏洞。
然而,遗憾的是,这种“左移”策略更多是将安全实践的责任推给了开发者,而非真正带来好处。
安全左移现状
许多开发者在进行安全审查时,常常被迫使用不够定制的工具,这些工具无法根据业务场景做出有效分析,导致误报和漏报频繁出现,极大地影响了他们发现和解决安全漏洞的效率。同时,大部分开发者的首要任务依然是编写和审查代码。但在“安全左移”政策下,他们还被要求在日常开发中参与漏洞审查、修复和理解安全问题,这无疑给他们的工作负担增加了压力,甚至影响了开发效率。
开发安全的趋势与挑战
根据Gartner的预测,到2028年,75%的企业软件工程师将依赖AI编码助手进行工作。这意味着,随着开发者利用GitHub Copilot等AI工具提高生产力,生成的代码量也将大幅增加,随之而来的是需要审查的代码量急剧上升。安全专家面临的压力也与日俱增。通常,在每100名开发者中,只有一名安全专家负责确保代码的安全性,并制定、执行相关的安全政策,这项工作压力非常大。根据ISC2(国际信息系统安全认证联盟)2023年的调查,全球对安全专家的需求已经增加了400万个职位。而通过AI场景应用创新也能够为安全团队提供强有力的支持,帮助他们扩展专业知识和能力,缓解部分压力。
为了应对这些挑战,GitHub推出了结合Copilot和CodeQL的AI功能,
最低0.47元/天 解锁文章
扫一扫
781
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
