1、Black Duck对软件安全测试的洞察与趋势分析 2024年全球DevSecOps现状调查报告概述.1关于Black Duck.1调查结果概述.2AI辅助开发进步迅速，但保护AI生成代码的技术却远远滞后.2保护AI生成的代码和保护开源代码之间的相似之处.2软件安全测试愈发受到关注.2噪音太大，工具太多.3未来展望.32024年全球DevSecOps现状调查详解.4驱动安全测试的三个重大优先事项.4保护敏感信息.4遵循最佳实践.4自动化并确保测试易于配置.5集中化是大势所趋.5实现安全测试的全面覆盖是一场硬仗.5哪个团队/部门决定何时运行安全测试.6工具激增挑战.7噪音因素.7不同角色的差异.

2、7目录目录安全测试中的AI革命.8AI在全球的采用情况.8大多数受访者对于保护AI生成的代码没有信心.10解析安全测试结果并据此采取行动.12不同角色的差异.12因地区而异.12解析和清理结果的不同方法.12从解析到行动.14持续的安全测试与开发速度之间的矛盾.14不同角色的差异.14如何完成补救.15确定问题补救的优先级.15发现问题后会发生什么.15如何将问题告知开发人员.16结语.17附录|1概述当前，由于各行各业的所有组织都在寻求强大、高效的安全流程，以跟上最新开发实践的步伐，如AI辅助编码，导致软件开发发生了根本性的变化。2024年全球DevSecOps现状调查报告 中的调查结果基于

3、BlackDuck委托国际市场研究咨询公司Censuswide进行的一项全面调查。该调查涵盖了多个国家和行业的1,000多名软件开发者、应用安全(AppSec)专业人员、CISO和DevOps工程师。本报告对DevSecOps实践和AppSec测试的现状提供了重要洞察，对趋势、挑战和机遇进行了全面分析，并为寻求加强DevSecOps实践的组织提供了可操作的洞察。关于Black Duck Black Duck前身为Synopsys Software Integrity Group，提供业界最全面、强大、值得信赖的AppSec解决方案组合。我们拥有无与伦比的专业经验，来帮助组织机构快速保护软件，在

4、开发环境中有效地集成安全性以及安全地使用新技术进行创新。|2AI辅助开发进步迅速，但保护AI生成代码的技术却远远滞后本报告中最引人注目的调查结果之一便是，AI革命已经结束 至少在将AI集成到软件开发流程方面，AI取得了胜利。AI在软件开发中的应用已经跨过了一个临界点，在我们的调查中，超过90%的受访者在某种程度上使用了AI辅助开发。保护AI生成的代码和保护开源代码之间的相似之处软件开发团队对AI辅助编码的快速采用与开源软件使用的历史性增长有几个相似之处。这两项技术都颠覆了传统的软件开发实践。开源挑战了专有软件模型，AI辅助编码则正在改变代码的编写和审查方式。但是，正如使用开源代码一样，将AI辅

5、助编码工具引入软件开发流程也会带来独特的知识产权(IP)、许可和安全挑战，需要开发团队谨慎管理。例如，非托管开源代码和AI生成的代码都可能造成IP所有权和许可方面产生歧义，尤其是当AI模型使用的数据集中可能包含开源或没有归属的其他第三方代码时。AI辅助编码工具也有可能将安全漏洞引入代码库。一位研究人员断然表示：“不能盲目信任自动生成的代码，仍然需要对其进行安全审查，以免引入软件漏洞。”AI生成的代码在管理和保护方面存在着明显挑战。我们的调查发现，组织机构对AI工具采用的策略和控制处于不同阶段，反映了这一趋势才刚刚开始。在我们的调查中，尽管有85%的受访者表示他们采取了一些措施来应对AI生成代码

6、带来的挑战，但对测试此类代码的策略和流程极为自信的受访者不足1/4。请看下面的详细说明。调查结果概述在我们的调查中，尽管有85%的受访者表示他们已经采取了一些措施来应对AI生成代码带来的挑战，但只有24%的受访者对测试此列代码的策略和流程“极为自信”。共有67%的受访者感到“中度自信”(41%)、“轻度自信”(20%)或“完全不自信”(6%)。这种缺乏自信可能反映了这样一个事实，即21%的受访者承认其开发团队会绕过公司策略，使用未经批准（或者说无人监督）的AI工具。同样，非托管AI的使用与早期的非托管开源代码使用相似，当时很少有高管意识到其开发团队正在将开源库整合到专有代码中，更不用说使用程度