生成式AI代碼工具正在改變軟件工程實踐，開發(fā)者現(xiàn)在構(gòu)建的持續(xù)集成和持續(xù)部署（CI/CD）流水線能夠大規(guī)模生成代碼并快速推送到生產(chǎn)環(huán)境。

Palo Alto Networks亞太和日本地區(qū)政府及關(guān)鍵基礎(chǔ)設(shè)施首席架構(gòu)師Tom Scully表示，由于這種自動化，工程師們越來越多地處于"旁觀"狀態(tài)而非"參與"狀態(tài)。

"智能體編寫代碼，質(zhì)量保證（QA）流程試圖捕捉錯誤，所有這些都以巨大的量級和速度進(jìn)行，這對傳統(tǒng)的QA和治理提出了挑戰(zhàn)，"Scully說。

根據(jù)Palo Alto Networks的《2025年云安全狀況報告》，53%的組織現(xiàn)在至少每周部署一次代碼，17%的組織每天都在部署。

"這種量級給QA流水線帶來壓力，并縮短了部署新產(chǎn)品的時間窗口，"Scully觀察到。此外，報告發(fā)現(xiàn)85%的受訪者認(rèn)為安全阻礙了軟件發(fā)布的交付。

生成式AI是軟件開發(fā)的力量倍增器，特別是與知道如何編寫提示詞和檢查輸出的經(jīng)驗豐富的開發(fā)者配對時。但Scully說，這種經(jīng)驗水平是稀缺的，所以問題是如何在使用AI驅(qū)動的工具的同時確保治理，并在整個DevSecOps流水線中擁有能夠驗證輸出的工具，就像高級開發(fā)者已經(jīng)審查過它們一樣。

DevSecOps實踐并非失效，而是隨著部署和基礎(chǔ)設(shè)施配置變得完全自動化，為期一周的交接正在成為過去式。因此，安全團(tuán)隊面臨巨大壓力，需要快速驗證并將一切集成到安全運營中心（SOC）中。

"安全和運營團(tuán)隊需要運行時可見性以及將問題追溯到CI/CD流水線的能力，"Scully說。"如果安全、SOC、CI/CD和基礎(chǔ)設(shè)施團(tuán)隊在嵌入治理控制的共享平臺上運作，你就可以將檢查、策略和自動化結(jié)合起來，以機(jī)器速度運行。"

Palo Alto Networks提供了這樣一個平臺，通過Prisma和Cortex來保護(hù)從代碼到云的流程和AI運行時安全，包括模型上下文協(xié)議保護(hù)和自動化紅隊測試，同時提供端到端可見性。

Scully并不建議每個安全問題都留到運行時解決。"你需要將安全編碼策略、QA和態(tài)勢檢查集成到流水線中。工具應(yīng)該在部署前驗證代碼、部署YAML和云配置。然后，運行時控制和紅隊測試確保漏網(wǎng)之魚被檢測和修復(fù)。這是關(guān)于縱深防御——在編寫、預(yù)部署、部署時和運行時進(jìn)行檢查。"

雖然大語言模型正在快速改進(jìn)，但它們并不生成完美的代碼。"你需要人工監(jiān)督——人員參與/旁觀循環(huán)——以及對工具行為的可見性。想想自動駕駛的類比——在人工監(jiān)督下的自動化一直有效，直到監(jiān)督需求發(fā)生變化。關(guān)鍵是緊密集成以及使用整合數(shù)據(jù)和工具快速觀察、定位、決策和行動的能力——一個OODA循環(huán)。"

此外，大語言模型生成代碼的質(zhì)量很大程度上取決于模型提供商，但可以通過構(gòu)建"一個自動化循環(huán)來改進(jìn)，其中模型輸出根據(jù)安全性和質(zhì)量進(jìn)行評分，提示詞得到完善，"Scully說。

可以施加外部護(hù)欄——例如，檢查輸出中的個人身份信息、有害內(nèi)容、權(quán)限和其他策略違規(guī)。"這個監(jiān)督層可以在有風(fēng)險的輸出被使用之前阻止它們，"他補充說。

為了安全地應(yīng)對這些變化，Scully建議董事會和C級高管在董事會層面實施AI治理和標(biāo)準(zhǔn)。這涉及定義明確的策略并將其映射到既定框架，如ISO 27001和美國國家標(biāo)準(zhǔn)技術(shù)研究所的風(fēng)險管理框架。

他還敦促領(lǐng)導(dǎo)者明確決定允許使用哪些模型和工具，強(qiáng)制進(jìn)行全面的安全評估。最后，組織必須跟蹤其運行時態(tài)勢并維護(hù)最新的模型清單以確?？梢娦裕瑢⒖傮w治理與平臺級控制相結(jié)合，使企業(yè)能夠繼續(xù)安全創(chuàng)新。

Q&A

Q1：生成式AI代碼工具對軟件開發(fā)帶來了什么變化？

A：生成式AI代碼工具正在改變軟件工程實踐，開發(fā)者現(xiàn)在構(gòu)建的CI/CD流水線能夠大規(guī)模生成代碼并快速推送到生產(chǎn)環(huán)境。工程師們越來越多地處于"旁觀"狀態(tài)而非"參與"狀態(tài)，智能體編寫代碼，質(zhì)量保證流程試圖捕捉錯誤，所有這些都以巨大的量級和速度進(jìn)行。

Q2：大語言模型生成的代碼質(zhì)量如何保證？

A：大語言模型雖然正在快速改進(jìn)，但并不生成完美的代碼。需要人工監(jiān)督和對工具行為的可見性。代碼質(zhì)量很大程度上取決于模型提供商，但可以通過構(gòu)建自動化循環(huán)來改進(jìn)，其中模型輸出根據(jù)安全性和質(zhì)量進(jìn)行評分，提示詞得到完善。

Q3：如何在使用AI代碼生成工具時確保安全？

A：需要將安全編碼策略、QA和態(tài)勢檢查集成到流水線中，工具應(yīng)該在部署前驗證代碼、部署YAML和云配置。同時需要運行時控制和紅隊測試確保漏網(wǎng)之魚被檢測和修復(fù)。還要施加外部護(hù)欄，檢查輸出中的個人身份信息、有害內(nèi)容、權(quán)限等策略違規(guī)。