如何在生成式人工智能时代确保代码责任与信任

如何在生成式人工智能时代确保代码责任与信任

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， 生成式AI， SonarQube， Generative Ai， Code Accountability， Responsible Ai Adoption， Ai Code Verification， Ai Code Assurance]

导读

随着生成式AI改变软件开发，企业需要重新思考如何建立代码信任。传统上，开发人员对代码的创作和测试负责，但AI生成的代码带来了新的挑战。如果没有经过批准的流程，使用大型语言模型（LLMs）生成代码可能会使组织面临知识产权泄露、安全风险和代码质量降低的问题。这个简短演讲探讨了企业如何将AI安全地整合到软件开发生命周期中。听取关于LLM审批、跟踪和性能监控的策略。了解像Sonar这样的工具如何确保透明度、保持高质量标准，并在AI驱动的开发工作流程中建立信任。本演讲由亚马逊云科技合作伙伴Sonar为您带来。

演讲精华

以下是小编为您整理的本次演讲的精华。

生成式人工智能对软件开发生命周期的深远影响，开启了一个变革时代，重塑了开发人员的角色和职责。SonarSource的高级总监Manish Kapoor在亚马逊云科技 re:Invent 2024大会上发表了富有洞见的演讲，阐述了这一范式转变，并探讨了确保代码问责制和信任的挑战和策略。

Kapoor的演讲深入探讨了人工智能在软件开发生命周期中的演变，从当前的“AI辅助”状态，即GitHub Copilot、Amazon CodeWhisperer和编码助手等工具协助编写代码、设计、测试用例和构建脚本，到未来的“AI生成”世界。在这个未来，人工智能将深深嵌入软件开发生命周期，自主处理编写规范、生成代码、构建和自我修复等任务，开发人员的角色将转变为架构师、监督者或战略师。

虽然承认人工智能代码生成带来的好处，如提高开发人员生产力、民主化编码、加快上市时间和加速创新，但Kapoor警告说，快速采用这些工具正在引发“问责危机”。他分享了一个真实案例，一家大型金融银行由于人工智能生成的代码中存在错误而导致系统中断。在根本原因分析过程中，开发团队的成员都不承认对他们没有编写的代码负责，凸显了信任和所有权的流失。

Kapoor强调，人工智能工具生成的代码存在质量问题、安全漏洞和次优代码的问题，因为大型语言模型(LLM)具有预测和概率性质，容易出现错误和幻觉。这引发了一些关键问题:当人工智能产生错误时，谁应该负责?当人工智能编写正确但低效的代码时，谁应该负责?传统上，开发人员一直是软件开发的中心，负责编写代码、创建测试用例和管理性能。然而，人工智能的出现打破了这一既定范式，导致了问责问题和对人工智能生成代码缺乏所有权。

除了问责问题，Kapoor还强调了影子IT实践带来的风险，即开发人员使用未经授权的公共LLM、开源LLM或人工智能代码生成工具(如ChatGPT、GitHub Copilot或其他来源)。这种做法可能导致安全风险、缺乏对人工智能生成代码的可见性、代码质量受损和数据泄露风险，凸显了制定严格的政策和治理来规范采用这些工具的必要性。

为了缓解这些风险，Kapoor提出了几种策略。首先，公司应该在开发团队中批准特定的LLM，并根据特定领域的需求对这些模型进行定制。将LLM集成到开发人员的工作空间和工具链中至关重要，可以防止影子IT实践，并确保开发人员使用经过授权和审查的工具。此外，公司必须跟踪LLM的演进，因为新版本和新模型不断推出，OpenAI几乎每年就会发布3个版本，同时还有许多小型语言模型的版本。

验证和审查人工智能生成的代码的质量和安全性至关重要，同时还要测量性能指标，并持续重新评估和改进采用过程。Kapoor强调验证人工智能工具输出的重要性，以避免“深度伪造”代码、幻觉和低质量代码进入生产环境。

为了应对这些挑战，SonarSource推出了AI代码保证(AI Code Assurance)，这是一种严格的验证解决方案，对使用人工智能生成代码的项目实施质量关卡。该功能可防止存在代码质量问题、错误或安全漏洞的代码部署到生产环境，从而在开发周期的早期发现问题并降低相关成本。AI代码保证工作流程包括标记包含人工智能生成代码的项目、对其进行严格评估和代码分析，如果代码符合定义的标准，则提供AI代码保证徽章。

与AI代码保证相辅相成的是AI代码修复(AI Code Fix)，这是一项在验证过程中发现问题时生成修复方案的功能。虽然AI代码修复建议了修复方案，但开发人员仍保留最终决策权，审查并根据需要应用建议的修复方案，确保人工监督和问责制。

Kapoor的演讲强调了为负责任地采用人工智能软件开发生命周期做好准备的重要性。通过解决问责问题、实施人工监督和验证机制，并利用AI代码保证和AI代码修复等解决方案，公司可以利用生成式人工智能的力量，同时降低相关风险，保持代码质量、安全性和信任度。

总部位于瑞士日内瓦的SonarSource公司，其独一无二的使命是帮助开发人员和人工智能生成更好的代码，确保代码安全、可靠和可维护，为此提供了三种产品。SonarQube Server是一种自管理的代码分析解决方案，用于分析拉取请求和分支分析，并集成到GitHub、GitLab和Bitbucket等DevOps工作流中。此外，SonarSource还提供了一种基于IDE的解决方案，这是一种免费的开源工具，可与IDE集成，并可连接到SonarQube Cloud以获得增强价值。SonarSource的产品基于开源，16年来一直专注于产生准确的代码分析结果，确保开发人员继续使用他们的工具。

总之，生成式人工智能时代为软件开发行业带来了机遇和挑战。Kapoor在亚马逊云科技 re:Invent 2024大会上的演讲提供了宝贵的见解和策略，帮助我们驾驭这一变革时代，确保代码问责制和信任，同时拥抱Amazon CodeWhisperer等人工智能编码工具带来的生产力提升。通过采用“信任但要验证”的方法、实施严格的验证解决方案(如AI代码保证)以及通过AI代码修复等功能促进人工监督，公司可以负责任地利用生成式人工智能在软件开发生命周期中的力量，同时降低安全漏洞、代码质量问题和问责制度流失等风险。

下面是一些演讲现场的精彩瞬间：

演讲者询问观众有多少人在编写代码时使用人工智能编码工具，结果显示超过一半的与会者正在使用此类工具。

演讲者概述了本次会议将涵盖的四个主要主题:人工智能在软件开发生命周期中的应用、通过人工智能代码生成保持代码责任制、在SDLC中负责任地采用人工智能的策略，以及SonarSource如何帮助实施这些策略。

演讲者质疑了在人工智能生成代码时，错误或性能不佳的责任归属问题，并将其与传统软件开发中开发人员对自己编写的代码拥有完全所有权和理解形成对比。

Swami Sivasubramanian强调了使用ChatGPT和GitHub Copilot等未经授权的人工智能代码生成工具的风险，包括安全风险、缺乏可见性、代码质量受损以及数据泄露问题。

SonarSource强调验证人工智能生成的内容(包括代码、图像和视频)的重要性，以避免深度伪造和幻觉，将自己定位为验证解决方案提供商。

亚马逊云科技推出了AI Code Assurance，这是一种严格的验证解决方案，旨在确保人工智能生成的代码在部署之前满足质量、安全和无bug的标准，从而防止在生产环境中出现昂贵的问题。

演讲者邀请观众在reInvent2024大会上尝试AI Code Assurance，并前往展位1597进行演示或提出问题。

总结

在生成式人工智能时代，开发人员的角色正在迅速演变。随着人工智能在软件开发生命周期(SDLC)中的应用日益广泛，从编写代码到测试和部署，开发人员正从代码作者转变为人工智能辅助任务的架构师和监督者。虽然人工智能编码工具提供了巨大的生产力提升和更快的上市时间，但它们也带来了“责任危机”——当人工智能生成的代码存在错误、安全漏洞或性能问题时，谁应该负责?

为了应对这一挑战，开发人员必须采取“信任并验证”的方法。他们应该拥抱人工智能工具，同时实施缓解风险的策略，例如批准特定语言模型、根据特定领域需求对其进行定制，并将其集成到开发人员工作流程中。跟踪语言模型的演进、验证人工智能生成代码的质量和安全性，以及持续测量和改进性能是至关重要的步骤。

SonarSource的人工智能代码保证解决方案旨在通过对人工智能生成的代码实施严格的质量关卡来恢复信任和责任。它可以防止存在错误、安全问题或可维护性问题的代码部署到生产环境，确保只有高质量、可靠的代码才能发布。此外，SonarSource的人工智能代码修复功能可以为已识别的问题提出修复建议，使开发人员能够审查并谨慎地应用这些建议。

随着人工智能在SDLC中的应用日益普及，开发人员必须树立负责任采用、持续评估和人工监督的理念。通过利用SonarSource的人工智能代码保证和人工智能代码修复等工具，开发人员可以发挥人工智能的力量，同时保持责任、信任和代码质量。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。