Veracode警告：AI驱动的快速开发使全面安全保障无法实现

Veracode发布了年度软件安全状况报告，基于其云平台上160万个应用程序的测试数据，发现新创建的漏洞比修复的漏洞更多，而使用生成式AI的高速开发正在使全面的安全保障变得无法实现。

该公司将安全债务定义为"超过一年未解决的已知漏洞"，认为这一问题现在影响了82%的公司，比一年前的74%有所上升。高风险漏洞（指既严重又可能被利用的缺陷）从8.3%上升到11.3%。这些数据来自静态分析（代码分析）、动态分析（测试运行时行为）、软件成分分析（检查软件组件如库依赖项）和手动渗透测试的综合结果。

不过也有一些好消息。具有开源漏洞的应用程序数量从70%减少到62%，整体"缺陷普遍率"从80%下降到78%。

研究人员指出，测试工具使用的增加是导致数字上升的因素之一，这表明数字恶化的一个原因是发现了更多以前可能被遗漏的问题。由于误报数量未知，实际情况可能没有数字显示的那么糟糕。

然而，根据Veracode的说法，软件发布节奏的加快也导致新代码的添加速度超过了现有漏洞的解决速度。研究人员还看到技术复杂性不断增长，这归因于更多AI生成的代码，使得修复变得更加困难。

确定生成式AI的影响很困难，因为这家软件安全公司也表示，AI工具可以帮助识别漏洞并自动化修复。研究人员指出，恶意行为者可能通过AI渗透工具获得成功，或通过提示注入等技术操控模型。

Veracode对AI工具的人工监督重要性做出了常规表态，尽管这具体意味着什么还不确定。例如在Cloudflare最新的AI编程项目中，一个重要的应用程序在一周内构建完成，大部分代码没有经过人工审查，这似乎不可避免地会导致安全被忽视，或者在明知存在缺陷的情况下主要委托给生成式AI。AI工具也擅长产生误报，为人工代码审查员创造了可能难以管理的负担。

"AI时代的开发速度使得全面的安全保障无法实现，"报告指出，这是一个令人沮丧的结论。此外，"修复差距已达到危机程度；渐进式改进不足够；需要变革性变化。"

确定应该进行什么样的变革是困难的；有人怀疑行业会推广更多的AI工具作为解决方案，尽管像这份报告这样的证据表明，目前AI并未能改善情况。

Q&A

Q1：什么是安全债务？目前有多少公司受到影响？

A：安全债务是指超过一年未解决的已知漏洞。根据Veracode的报告，这一问题现在影响了82%的公司，比一年前的74%有所上升。

Q2：为什么AI驱动的开发会增加安全风险？

A：AI驱动的开发加快了软件发布节奏，导致新代码添加速度超过现有漏洞的解决速度。同时，更多AI生成的代码增加了技术复杂性，使得漏洞修复变得更加困难。

Q3：软件安全状况报告显示了哪些积极变化？

A：报告显示具有开源漏洞的应用程序数量从70%减少到62%，整体缺陷普遍率从80%下降到78%，这些都是积极的变化。