AppSec比你想象的要难。以下是AI可以提供帮助的方式。

尽早发现漏洞，更快地发布软件。这些是善意将应用程序安全工作流从安全团队转移到开发人员的背后：软件开发生命周期中的“左移”。但它真的有效吗？

实际上，左移更多的是转移负担，而不是转移能力。大多数AppSec工具，甚至那些声称是“开发人员优先”的工具，都需要一定程度的安全专业知识才能部署和使用。通过中断编码过程并让开发人员退出流程，向左移动可能会加剧本应解决的问题。以下是一个令人清醒的统计数据：81%的开发者承认只为了在最后期限前交付有漏洞的软件。当人性和商业压力相一致时，善意很难竞争。

GitHub的首席安全官兼工程高级副总裁表示：“大多数开发人员都不是经过培训的安全专家。”主管合伙人麦高·汉雷“但有了人工智能，我们正在彻底改变传统的“左移”定义，在开发人员将想法引入代码时直接为他们带来安全性，从根本上防止漏洞被写入。”

在这篇文章中，我们将探讨当今应用程序安全方面的挑战，以及AI从第一天起在保持软件安全方面的重大影响。

👀 你是视觉学习者吗？别担心，我们已经为你做好了准备。👇

转移负担，而不是利益

GitHub高级安全现场服务总监，尼克·利芬，与GitHub Universe的开发人员观众探讨了这一挑战。首先，他让房间里的每个人都站起来。然后，他给了他的观众一个选择：如果组织中的开发人员喜欢修复漏洞，就站着不动；如果他们不喜欢，就重新坐下来。正如你所料，几乎每个人都坐了下来。编码人员更喜欢编写代码。

当开发团队奋力推出新功能以解决客户问题、开拓新市场并超越竞争对手时，安全团队负责保护组织的数据和声誉。行动要快，但要降低风险。这对整个组织来说都很难做到，但要求开发团队或单个开发人员这样做是否合理？

让我们更深入地研究一下这些痛点。

• 当开发人员和安全团队发生冲突时，每个人都会输。大多数开发人员的目标是通过尽可能快地将代码投入生产，从而交付优秀的产品。安全团队的目标是通过快速解决高严重性和高影响的漏洞，然后在出现其他漏洞时优先处理，确保其组织的软件尽可能安全。这些决斗的动机经常会导致两个团队之间的摩擦，因为开发人员希望将代码发布出去，而安全工程师希望确保代码更改在发布之前得到充分审查。
• 左移会转移责任，但不会转移专业知识。将安全工具集成到开发人员的工作流中并不总是意味着开发人员会使用它们（甚至知道如何使用它们）。事实上，大量的假阳性警报会降低开发人员关注潜在漏洞的可能性。这意味着错过了最后期限，漏洞未修复，以及一场毫无结果的指责游戏，这会疏远开发人员和安全团队。
• 无法负担的上下文切换是安全过程中固有的。通常，开发人员没有知识或完整的上下文来修复他们收到的漏洞和bug。这意味着他们必须离开他们的环境，去谷歌，打破他们的流程，找出该做什么创建糟糕的开发人员体验的上下文切换类型这会降低整个工程团队的整体生产力和速度。

随着威胁的不断演变，并且没有足够的时间或文档来进行培训来管理它们，更不用说解决漏洞的单调性，而不是编写代码的创造性和自由性，难怪在Liffen提出问题后，这么多开发人员坐了下来。

当涉及到整个组织时，有两个关键的挑战。首先是应用程序是头号攻击载体针对恶意参与者。第二个是安全漏洞的代价越来越高过去三年增长了15%，根据IBM最近的一份报告同一份报告还说，与不使用安全AI和自动化的组织相比，广泛使用安全人工智能和自动化的企业可以节省176万美元。

为了让您的企业进行大规模创新并节省资金，开发人员不能被迫在安全性和速度之间进行选择。随着人工智能的发展，他们也不必这么做了。

AI去营救？

像GitHub Copilot这样的AI工具已经通过代码建议和开发人员工作流中漏洞的上下文使安全性更加以开发人员为中心。尽管这是我们AI之旅的开始，但新产品、工具和平台已经在帮助开发人员从一开始就编写更安全的代码，并使问题在出现时更容易解决。

“开发人员需要能够在创建代码的地方主动保护代码，而不是事后测试和修复漏洞。”说GitHub产品营销总监，劳拉·佩恩。“嵌入式安全对于交付安全应用程序至关重要。”

让我们看看AI在哪里可以帮助在开发人员工作流中嵌入安全性。

改进的检测

因为几乎80%的代码在当今依赖开源软件包的应用程序中，当前的SCA工具需要扫描和理解第三方软件包。当供应商没有为您的包添加建模信息时，开发人员需要手动构建建模信息。但是使用这样的工具代码QL与AI工具一起使用，开发人员可以自动化线程建模过程，节省时间和精力，并确保符合行业标准。

例如，当涉及到秘密时，我们最近将GitHub的AI集成到我们的秘密扫描技术中，以帮助检测非结构化和人为生成的秘密，如密码和凭据。此外，如果您启用秘密扫描的AI功能，GitHub可以为您生成自定义模式，您可以在保存之前测试这些模式，以确保它们有效。一旦检测到机密，安全经理和存储库所有者可以查看警报，如果他们确定警报是合法的，他们可以与开发人员合作解决问题。这将节省开发人员的时间，使协作更加无缝，并确保您的秘密安全。

找到意味着修复

GitHub的产品管理副总裁说：“想象一下这一切。”，阿莎·查克拉巴蒂。“你会收到一个安全警报，但不是仅仅得到如何自己修复的指导，而是在拉入请求中得到一个AI生成的修复。这不仅仅是任何修复，而是一个精确的可操作建议，可以帮助你更快地解决问题，并防止新的漏洞渗透到你的代码库中。”

开发人员可以使用的公共测试版尝试这种AI驱动的修复代码扫描自动修复。它之所以如此强大，是因为它支持我们90%以上的查询，这是因为它提供了发现和修复，因此开发人员可以在编写代码时修复漏洞。这意味着修复速度更快，上下文切换更少，生产率更高。更不用说更安全的代码了。

使用AI大规模实现应用程序安全

我们经常听说AI会让更多的人更容易编写和理解代码，从而使软件开发民主化。事实是，已经是这样了。有了AI驱动的工具，更多的开发人员可以更快地编写安全代码。

民主化始于学习，AI可以为所有级别的开发人员提供AppSec知识。例如，当开发人员收到安全警报时，他们可以在IDE中使用AI编码工具来找出问题（而不必中断流程并在线搜索答案）。他们还可以通过使用AI工具生成针对其代码库定制的漏洞示例来了解特定安全问题可能如何出现。

新的AI驱动的AppSec工具不仅帮助了开发人员，还帮助了安全专业人员。例如，有一些新产品提供了存储库和项目安全的概述，并为管理员提供了可操作的见解，以及跨工程和安全团队分配工作的简单方法。可以共享的知识越多，团队可以研究的数据越多，随着组织的发展，解决安全问题和微调AppSec程序就越容易。

在GitHub，我们最新发布的安全概述仪表板让每个人（从开发人员到管理员）都能简单地了解他们组织的安全工作，从历史趋势分析到总体平均时间，再到补救。有了这些仪表板，您可以轻松地衡量安全状况并过滤数据，以查找日期、存储库等方面的趋势。如果高管们想知道你的补救措施有多有效，你只需点击几下就可以告诉他们。

我们从这里出发

在未来五年中，预计将编写5亿份以上的申请。这比开发人员过去创建的应用程序还要多总共40年。随着所有这些巨大的增长，如果我们不解决其关键痛点，就继续强制采取左倾思维，安全只会变得更加困难。提高警报相关性、加快补救和减少摩擦将是确保这些应用程序安全的关键，而人工智能将帮助我们实现这一目标。

为了让开发人员喜欢（或至少喜欢）安全性，我们真正需要做的是在他们所在的地方与他们见面，并为他们提供他们想要使用的工具。Liffen的目标是：“希望安全在开发人员工作流中变得如此无意识和无摩擦，安全将只是开发人员的工作方式。”