6月20日最新报道指出,Cloudsmith于6月18日发布的一份报告显示,AI生成的代码数量呈现快速增长趋势,但人工代码审查却难以同步跟进。
据报告披露,在使用AI技术的开发者群体中,42%的代码是由AI辅助生成的。其中,有16.6%的开发者表示AI为其提供了大部分代码内容,而完全依赖机器生成代码的比例则达到了3.6%。
这一趋势在GitHub 2024年的开发者调查中得到了进一步证实。来自美国、巴西、德国和印度四国的受访者显示,超过97%的开发者曾使用AI编码工具。其中,88%-59%的受访者表示其所在公司至少部分支持这类工具的应用。
报告同时指出,在AI快速生成代码的背后存在着不容忽视的风险。调查发现,开发者普遍担心AI技术可能加剧开源环境中的恶意软件威胁:79.2%的受访者认为AI会增加环境中恶意软件的数量,其中30%的人甚至认为相关威胁将出现”显著上升”。
Cloudsmith警告称,目前有三分之一的开发者未在每次代码部署前对AI生成的代码进行审查。这种做法直接导致大量未经验证的代码被投入生产环境,从而形成了严重的供应链漏洞风险。
更令人担忧的是,由于AI技术能够快速复用未知或不可信的代码片段,这使得传统的代码风险也被成倍放大。例如,代码完整性、依赖管理以及SBOMs(软件物料清单)等领域都面临着更大的安全隐患。值得注意的是,只有40%的开发者认为在”代码生成阶段”需要实施严格的风险管控措施。
针对上述问题,Cloudsmith建议采取以下措施:首先,应通过”智能访问控制”和”端到端可见性”来强化制品管理;其次,需建立动态访问策略,并采用”政策即代码”框架。对于AI生成的代码,则必须强制执行自动化的审查流程,对未经过验证或来源不可信的AI制品进行标记,并通过”溯源追踪”技术来区分人机编写的不同代码。
相关文章
