釋放 AI 工程在DevSecOps中的力量

DevSecOps 涉及將安全實(shí)踐集成到 DevOps 工作流中。 AI 可用于異常檢測，來識別潛在的安全威脅并自動執(zhí)行安全策略。人工智能在增強(qiáng)軟件開發(fā)流程中不同階段的安全性上具有很大的優(yōu)勢。

規(guī)劃： 規(guī)劃階段涉及處理與風(fēng)險(xiǎn)分析和威脅建模相關(guān)的復(fù)雜性。AI 可以幫助根據(jù)過去項(xiàng)目的數(shù)據(jù)和已知的安全問題自動進(jìn)行風(fēng)險(xiǎn)分析和威脅建模。有助于在規(guī)劃階段的早期識別潛在的安全威脅，并制定適當(dāng)?shù)木徑獠呗浴?/p>

設(shè)計(jì)和開發(fā)(集成前)：開發(fā)人員在編寫安全代碼、識別潛在安全漏洞以及在編碼時(shí)遵守安全實(shí)踐方面經(jīng)常面臨困難?；谌斯ぶ悄艿?a >靜態(tài)應(yīng)用程序安全測試(SAST)工具可以自動掃描源代碼以查找已知漏洞和編碼缺陷，從而為開發(fā)人員提供即時(shí)反饋。此外，AI可用于生成有關(guān)安全編碼實(shí)踐和策略的建議，來解決已識別的漏洞。

持續(xù)集成(CI)：持續(xù)集成新代碼可能會引入難以及時(shí)捕獲和修復(fù)的新安全漏洞和缺陷。在集成階段，AI可用于動態(tài)和交互式應(yīng)用程序安全測試工具(DAST和IAST)。通過智能自動化測試、分析數(shù)據(jù)流和集成環(huán)境中的代碼行為來識別復(fù)雜的安全問題。

持續(xù)交付(CD)：在交付之前確保代碼安全性和有效性是一項(xiàng)重大挑戰(zhàn)。基于AI的工具可以幫助管理安全配置、監(jiān)控更改，并在交付階段對安全策略的偏差發(fā)出警報(bào)。人工智能還可以用于在預(yù)生產(chǎn)環(huán)境中自動進(jìn)行安全測試，以確保在交付前滿足安全標(biāo)準(zhǔn)。

持續(xù)部署(到生產(chǎn)環(huán)境)：AI 可以通過對應(yīng)用程序和網(wǎng)絡(luò)硬件生成的安全警報(bào)進(jìn)行智能實(shí)時(shí)分析來增強(qiáng)安全信息和事件管理 (SIEM) 工具，在生產(chǎn)環(huán)境中實(shí)時(shí)監(jiān)控、檢測和響應(yīng)安全威脅?；?AI 的運(yùn)行時(shí)應(yīng)用程序自我保護(hù) (RASP) 工具還可以實(shí)時(shí)檢測和阻止攻擊，為生產(chǎn)中的應(yīng)用程序提供強(qiáng)大的保護(hù)。

AI工程化DevSecOps流程

評估和規(guī)劃：首先評估組織當(dāng)前的 DevSecOps 成熟度。評估現(xiàn)有工具和實(shí)踐的效率和有效性。確定缺乏自動化或存在安全問題的領(lǐng)域。使 AI 設(shè)計(jì)的 DevSecOps 計(jì)劃與業(yè)務(wù)目標(biāo)保持一致。

選擇AI工程工具：根據(jù)評估選擇適合組織需求的AI工程工具。此選擇應(yīng)該涵蓋整個(gè)軟件開發(fā)生命周期：計(jì)劃、設(shè)計(jì)和開發(fā)、持續(xù)集成、持續(xù)交付和持續(xù)部署。理想情況下，這些工具應(yīng)該是可擴(kuò)展的，易于與現(xiàn)有的系統(tǒng)集成，并能為團(tuán)隊(duì)提供實(shí)時(shí)的、可操作的見解。

培訓(xùn)和提升技能：培訓(xùn)團(tuán)隊(duì)使用基于AI的DevSecOps工具。通過對團(tuán)隊(duì)進(jìn)行培訓(xùn)，提高團(tuán)隊(duì)的技能，使他們能夠在新AI化的DevSecOps環(huán)境中有效地工作。這可能涉及人工智能和機(jī)器學(xué)習(xí)、安全最佳實(shí)踐和新的DevSecOps方法方面的培訓(xùn)。

逐步實(shí)施和整合：從一個(gè)項(xiàng)目開始實(shí)施，逐步調(diào)整方法。逐步實(shí)施選定的 AI 工程工具并將其集成到現(xiàn)有的 DevSecOps 管道中。

審查和優(yōu)化和改進(jìn)：根據(jù)初期確定的目標(biāo)，定期審查 基于AI工程的 DevSecOps 實(shí)施的有效性，并不斷進(jìn)行完善。這可能涉及調(diào)整安全策略、完善使用 AI 工具的方式或?yàn)閳F(tuán)隊(duì)提供進(jìn)一步的培訓(xùn)。

在實(shí)施基于AI 的 DevSecOps時(shí)有幾點(diǎn)需要注意。首先，基于AI的規(guī)劃情況要和業(yè)務(wù)目標(biāo)保持一致，明確業(yè)務(wù)目標(biāo)并設(shè)計(jì)基于AI的DevSecOps進(jìn)行技術(shù)支持;其次，及時(shí)進(jìn)行技能培訓(xùn)和改進(jìn)，定期評估 AI 工具的有效性，并準(zhǔn)備好根據(jù)新技術(shù)進(jìn)步、反饋和業(yè)務(wù)需求的變化調(diào)整流程。一方面可以確保技術(shù)的更新，同時(shí)也有利于更好的發(fā)揮技術(shù)優(yōu)勢;另外，不要過度依賴人工智能，需要認(rèn)識到的一點(diǎn)是，人工智能是一種旨在幫助人類決策的工具，但不能完全取代人工;最后，需要關(guān)注數(shù)據(jù)隱私和道德問題，團(tuán)隊(duì)需要制定明確的數(shù)據(jù)管理政策，確保遵守相關(guān)的數(shù)據(jù)隱私法律和法規(guī)。將道德作為優(yōu)先考慮事項(xiàng)，確保人工智能系統(tǒng)的透明度和公平性。

雖然人工智能可以顯著提高安全性和效率，但重要的是要避免規(guī)劃不足、忽視培訓(xùn)、抵制變革、過度依賴人工智能、忽視數(shù)據(jù)隱私和道德問題以及缺乏持續(xù)改進(jìn)等。通過專注于這些領(lǐng)域，使 DevSecOps計(jì)劃與業(yè)務(wù)目標(biāo)保持一致，進(jìn)行團(tuán)隊(duì)技能提升、有效管理變更、維持人工監(jiān)督、遵守?cái)?shù)據(jù)隱私法規(guī)并培養(yǎng)持續(xù)學(xué)習(xí)的文化，組織可以成功實(shí)施并最大限度地發(fā)揮基于AI的 DevSecOps 的優(yōu)勢。

來源：

https://devops.com/unleashing-the-power-of-ai-engineered-devsecops/