看来,开发人员不会被人工智能取代——至少现在还不会。他们需要做的是学习或提高为人工智能提供模板的技能,成为解决人工智能生成代码中问题的大师,并真正学习人工智能在软件开发中的最佳用途。
在目前的状态下,人工智能已经让用户犹豫不决,因为它会产生幻觉、不准确,而且如果它不知道答案,它就会简单地编造一个答案。正如长岛音乐传奇人物比利·乔尔所写,“这是一个信任问题。”
据报道,为了帮助开发人员获得对人工智能的信心,并帮助组织评估这些开发人员是否具备确保代码安全所需的技能,Secure Code Warrior (SCW) 公司将在即将举行的黑帽会议上讨论其新的信任代理。公司联合创始人兼首席技术官 Matias Madou。这是建立在该公司在 4 月份的 RSA 会议上宣布的信任评分的基础上的。
麻豆说,人工智能“并没有消灭聪明人。虽然开发人员将能够提高工作效率,但如果他或她没有接受更多的教育,他们只会快速创建糟糕的代码。他们会更快,他们会推出更多功能,但只是质量功能,而不是安全功能。”
许多组织不知道安全开发人员是否正在创建代码。 “AppSec 主管、CISO 发现这真的很难知道,”Madou 说。 “所以我们所做的是,我们可以为您提供存储库中的见解,我们可以告诉您代码是由安全的开发人员还是不安全的开发人员创建的。”
信任分数是一种确定开发人员编写安全代码的训练有素程度的方法,并且可以将他们的工作与基准进行比较。 “我们可以深入了解您组织中的开发人员创建安全代码的情况如何?他们在创建安全代码方面训练有素吗?从本质上讲,你的信任评分是开发人员所有技能评分的总和,基于他们在平台上工作时的所有数据,”Madou 解释道。“因此,每个通过我们平台的开发人员都会接受培训,提高技能他或她自己获得技能分数,技能分数的总和就是信任分数。”
“我们坐拥数据之山,目前有 250,000 名活跃学习者、大约 600 家企业和 2000 万个数据点,”麻豆解释道。 “所以我们问数据科学家小组,‘嘿,如果你看看这里的数据,你能仅通过查看人们如何使用我们平台的数据来弄清楚熟练的开发人员是什么样子吗?’ ”
SCW 的 Trust Agent 与 GitLab、GitHub 和 Bitbucket(他说“所有 Git”)集成,不查看代码,也不检查错误。当开发人员签入代码时,它将获取有关开发人员的元数据。该开发商有信任评分吗?他或她处于什么级别的安全编码?他们知道自己在做什么吗?基于此,他们可以判断开发人员是否安全。
SCW 发现一些开发人员非常细致且准确,这表明他们知道自己在做什么。其他人点击平台只是为了合规,并没有学到任何东西,这在这些模式中是可见的。 “因此,他们能够从数据中提炼出安全开发人员的模式。由此,他们得到一个分数。如果他们这样做、那样做,如果他们具有很高的准确性,并且他们触及 OWASP 前 10 名,我们可以给他们很高的信任分数,因为他们想要学习,并且他们明白首先他们学习,然后他们证明”。
麻豆说,信托代理人现在可以看到,“哦,你正在做某事。让我告诉你关于那个开发商的情况。让我告诉你那个开发商是否知道他或她的东西,或者他们是否不知道。”
您可能还喜欢……
快车道上的代码:为什么安全的开发人员可以以惊人的速度交付
生成式人工智能开发需要不同的测试方法
