10 大预测:Secure Code Warrior 关于 2025 年人工智能和安全设计的影响
展望 2025 年,人工智能与软件开发的交叉将继续以有意义的方式影响开发者社区。
企业正面临着如何使用人工智能来支持长期生产力、可持续性和安全投资回报率的艰难抉择。在过去几年中,我们清楚地认识到,人工智能永远不会完全取代开发人员的角色。从人工智能与开发人员的合作关系,到围绕 "安全设计"(Secure-by-Design)期望的不断增加的压力(和困惑),让我们仔细看看明年我们可以期待什么:
重写人工智能方程式:不是人工智能代替开发者,而是人工智能+开发者
"2025年,随着公司被要求采取大幅削减成本的措施,开发人员被人工智能工具所取代也就不足为奇了。但是,正如生成式人工智能首次亮相时的情况,以及如今经过多年更新和更多更新后的情况一样,它仍然不是一种安全、自主的生产力驱动力,尤其是在创建代码时。人工智能是一种极具颠覆性的技术,有许多令人惊叹的应用和用例,但还不足以取代熟练的人类开发人员。我同意Forrester 的 预测,即 2025 年向人工智能/人类替代的转变很可能会失败,尤其是长期而言。我认为,人工智能+开发人员的组合比单独使用人工智能更有可能实现这一目标。"
人工智能带来的风险与机遇并存
"2025年期间,我们将看到人工智能生成的代码出现新的风险案例,包括幻觉蹲守、中毒库和影响软件供应链的漏洞利用等已知问题的不利影响。此外,人工智能将被更多地用于发现代码中的漏洞,以及利用人工智能编写漏洞利用程序,正如谷歌的 "零项目"(Project Zero)刚刚展示的那样。相比之下,我认为我们还将看到一些初步成熟的企业开发人员能够在工作中利用这些工具,而不会增加太多额外的风险,但这只是例外,而不是常规,这将取决于他们的组织是否积极衡量开发人员的风险,并相应地调整他们的安全计划。在 2025 年必将带来的快速发展的威胁环境中,那些技术娴熟、安全意识强、拥有经认可的人工智能编码工具的开发人员将能够更快地生成代码,而安全意识不强、技能一般的开发人员只会以更快的速度带来更多问题。"
走出人工智能的阴影
"围绕人工智能的立法环境正在迅速变化,试图跟上技术的频繁进步及其采用速度。2025 年,安全领导者需要确保做好准备,遵守潜在的指令。在未来的一年里,以下几个方面的结合将被证明对企业最为关键:了解 "影子人工智能 "的本质,然后确保其不在企业中使用,其次是严格使用仅安装在公司系统上的经过批准和验证的工具。这将使开发人员群体获得更多的assessment ,了解必须如何为他们提供最佳支持,以不断提高他们的安全能力,并将其应用到工作的各个方面。"
人工智能工具的安全等级将成为开发人员的重要衡量标准
"现在,在由 LLM 驱动的编码工具方面,市场可谓是自由竞争。新的工具层出不穷,每种工具都标榜有更好的输出、安全性和生产力。进入 2025 年后,我们需要一个标准来衡量和评估每个人工智能工具的安全性。这包括编码能力,即生成具有良好、安全编码模式的代码的能力,这些模式不会被威胁行为者利用。
人工智能将使初级开发人员更难进入该领域
"开发人员的入门门槛比以往任何时候都要高。随着混合型和分布式工作团队的出现,以及入门级职位所需的技能水平的提高,初级开发人员的门槛逐年提高。2025 年,雇主将开始期望初级开发人员在开始工作时就已经掌握在工作流程中安全集成和优化人工智能工具的技能和知识,而不是花时间进行在职培训。在未来一年内,未能学会如何在开发工作流程中利用人工智能工具的开发人员将对自己的职业发展产生重大影响,并在获得工作机会方面遇到挑战。他们有可能会妨碍自己的'编码许可',从而无法参与更复杂的项目,因为安全的人工智能能力最终将成为关键。"
时间会阻碍组织实现设计安全
"开发人员需要足够的时间和资源来提高技能,熟悉正确的工具和实践,以实现 "设计安全"。除非组织获得安全和工程领导的支持,否则他们的进展将受到阻碍,甚至完全停滞。当企业试图削减成本或限制资源时,他们往往会优先考虑眼前的修复工作,而不是长期的解决方案--专注于多方面的修复工具,这些工具在某些方面做得 "还行",而在其他方面做得 "一般"。2025 年,这种不平衡将使优先考虑安全软件开发的企业与只想快速解决问题以跟上不断变化的形势的企业之间产生更大的差距。
供应链安全审计将在降低全球风险方面发挥关键作用
"所有外包/第三方供应商都将开始受到越来越严格的审查。您可以在内部实施最完善的安全计划,但对于您的外包公司来说,如果他们没有实施'安全设计'(Secure by Design),整个安全框架就会受到损害。因此,企业将对外包工作进行严格审核,给企业领导者施加压力,要求他们严格遵守安全和行业合规准则。归根结底,安全团队的成功取决于全方位、360 度的视角,包括整个组织和任何外部合作伙伴的统一方法"。
人工智能将对 "穿越噪音 "产生影响
"开发团队在代码漏洞扫描仪的误报率问题上苦苦挣扎。他们如何确定分配给他们的漏洞确实存在安全风险? 2025 年,在代码修复方面,人工智能将成为帮助开发人员 "穿越噪音 "的重要工具--提供对代码本身更深入的理解。通过利用机器学习,人工智能可以根据上下文更好地确定真实威胁的优先级,从而减少用于提高安全警报准确性的时间。这将使团队能够专注于真正构成风险的漏洞,提高整体效率,实现更快、更安全的开发周期"。
标杆管理将成为企业实现设计安全目标的解决方案
缺乏安全基准将在 2025 年被证明是对企业不利的,因为他们将没有明确的基准来衡量自己在达到 "设计安全 "标准方面的进展。如果没有一个基准系统来评估团队是如何遵守安全编码实践的,这些组织就有可能无意中引入漏洞,从而导致重大漏洞。而如果确实发生了漏洞,他们很可能没有时间实施基准系统,而是被迫在没有首先评估其开发人员团队的安全成熟度的情况下加速实施其 SBD 计划,最终使其组织面临更大的风险。
以人工智能生成代码为代价的技术债务
"业界已经存在大量技术债务问题,这已经不是什么秘密了--而且是已经编写好的代码。随着开发人员对本质上不安全的人工智能生成代码的盲目依赖激增,再加上执行监督有限,情况只会变得更糟。这种态势很有可能导致我们在明年看到报告的 CVE 增加 10 倍。
要想在 2025 年取得成功,企业必须愿意负责任地、安全地引入人工智能,同时对其开发团队进行适当的培训和风险缓解投资。明年是 CISA 的 "安全设计"(Secure-by-Design)承诺一周年,那些优先采用安全开发方法以最大限度地消除与人工智能、第三方安全问题和其他新兴威胁相关的风险的品牌,才能保持其竞争优势。
企业正面临着如何使用人工智能来支持长期生产力、可持续性和安全投资回报率的艰难抉择。在过去几年中,我们清楚地认识到,人工智能永远不会完全取代开发人员的角色。从人工智能与开发人员的合作关系到围绕 "按设计保证安全 "的期望而不断增加的压力(和困惑),让我们仔细看看明年我们可以期待什么。
Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 通过向开发人员传授安全代码编写的技能,建立以安全为导向的开发人员文化。我们的旗舰产品敏捷Learning Platform 为开发人员提供了基于技能的相关途径、动手实践missions 以及上下文工具,帮助他们快速学习、构建和应用技能,从而快速编写安全代码。
展望 2025 年,人工智能与软件开发的交叉将继续以有意义的方式影响开发者社区。
企业正面临着如何使用人工智能来支持长期生产力、可持续性和安全投资回报率的艰难抉择。在过去几年中,我们清楚地认识到,人工智能永远不会完全取代开发人员的角色。从人工智能与开发人员的合作关系,到围绕 "安全设计"(Secure-by-Design)期望的不断增加的压力(和困惑),让我们仔细看看明年我们可以期待什么:
重写人工智能方程式:不是人工智能代替开发者,而是人工智能+开发者
"2025年,随着公司被要求采取大幅削减成本的措施,开发人员被人工智能工具所取代也就不足为奇了。但是,正如生成式人工智能首次亮相时的情况,以及如今经过多年更新和更多更新后的情况一样,它仍然不是一种安全、自主的生产力驱动力,尤其是在创建代码时。人工智能是一种极具颠覆性的技术,有许多令人惊叹的应用和用例,但还不足以取代熟练的人类开发人员。我同意Forrester 的 预测,即 2025 年向人工智能/人类替代的转变很可能会失败,尤其是长期而言。我认为,人工智能+开发人员的组合比单独使用人工智能更有可能实现这一目标。"
人工智能带来的风险与机遇并存
"2025年期间,我们将看到人工智能生成的代码出现新的风险案例,包括幻觉蹲守、中毒库和影响软件供应链的漏洞利用等已知问题的不利影响。此外,人工智能将被更多地用于发现代码中的漏洞,以及利用人工智能编写漏洞利用程序,正如谷歌的 "零项目"(Project Zero)刚刚展示的那样。相比之下,我认为我们还将看到一些初步成熟的企业开发人员能够在工作中利用这些工具,而不会增加太多额外的风险,但这只是例外,而不是常规,这将取决于他们的组织是否积极衡量开发人员的风险,并相应地调整他们的安全计划。在 2025 年必将带来的快速发展的威胁环境中,那些技术娴熟、安全意识强、拥有经认可的人工智能编码工具的开发人员将能够更快地生成代码,而安全意识不强、技能一般的开发人员只会以更快的速度带来更多问题。"
走出人工智能的阴影
"围绕人工智能的立法环境正在迅速变化,试图跟上技术的频繁进步及其采用速度。2025 年,安全领导者需要确保做好准备,遵守潜在的指令。在未来的一年里,以下几个方面的结合将被证明对企业最为关键:了解 "影子人工智能 "的本质,然后确保其不在企业中使用,其次是严格使用仅安装在公司系统上的经过批准和验证的工具。这将使开发人员群体获得更多的assessment ,了解必须如何为他们提供最佳支持,以不断提高他们的安全能力,并将其应用到工作的各个方面。"
人工智能工具的安全等级将成为开发人员的重要衡量标准
"现在,在由 LLM 驱动的编码工具方面,市场可谓是自由竞争。新的工具层出不穷,每种工具都标榜有更好的输出、安全性和生产力。进入 2025 年后,我们需要一个标准来衡量和评估每个人工智能工具的安全性。这包括编码能力,即生成具有良好、安全编码模式的代码的能力,这些模式不会被威胁行为者利用。
人工智能将使初级开发人员更难进入该领域
"开发人员的入门门槛比以往任何时候都要高。随着混合型和分布式工作团队的出现,以及入门级职位所需的技能水平的提高,初级开发人员的门槛逐年提高。2025 年,雇主将开始期望初级开发人员在开始工作时就已经掌握在工作流程中安全集成和优化人工智能工具的技能和知识,而不是花时间进行在职培训。在未来一年内,未能学会如何在开发工作流程中利用人工智能工具的开发人员将对自己的职业发展产生重大影响,并在获得工作机会方面遇到挑战。他们有可能会妨碍自己的'编码许可',从而无法参与更复杂的项目,因为安全的人工智能能力最终将成为关键。"
时间会阻碍组织实现设计安全
"开发人员需要足够的时间和资源来提高技能,熟悉正确的工具和实践,以实现 "设计安全"。除非组织获得安全和工程领导的支持,否则他们的进展将受到阻碍,甚至完全停滞。当企业试图削减成本或限制资源时,他们往往会优先考虑眼前的修复工作,而不是长期的解决方案--专注于多方面的修复工具,这些工具在某些方面做得 "还行",而在其他方面做得 "一般"。2025 年,这种不平衡将使优先考虑安全软件开发的企业与只想快速解决问题以跟上不断变化的形势的企业之间产生更大的差距。
供应链安全审计将在降低全球风险方面发挥关键作用
"所有外包/第三方供应商都将开始受到越来越严格的审查。您可以在内部实施最完善的安全计划,但对于您的外包公司来说,如果他们没有实施'安全设计'(Secure by Design),整个安全框架就会受到损害。因此,企业将对外包工作进行严格审核,给企业领导者施加压力,要求他们严格遵守安全和行业合规准则。归根结底,安全团队的成功取决于全方位、360 度的视角,包括整个组织和任何外部合作伙伴的统一方法"。
人工智能将对 "穿越噪音 "产生影响
"开发团队在代码漏洞扫描仪的误报率问题上苦苦挣扎。他们如何确定分配给他们的漏洞确实存在安全风险? 2025 年,在代码修复方面,人工智能将成为帮助开发人员 "穿越噪音 "的重要工具--提供对代码本身更深入的理解。通过利用机器学习,人工智能可以根据上下文更好地确定真实威胁的优先级,从而减少用于提高安全警报准确性的时间。这将使团队能够专注于真正构成风险的漏洞,提高整体效率,实现更快、更安全的开发周期"。
标杆管理将成为企业实现设计安全目标的解决方案
缺乏安全基准将在 2025 年被证明是对企业不利的,因为他们将没有明确的基准来衡量自己在达到 "设计安全 "标准方面的进展。如果没有一个基准系统来评估团队是如何遵守安全编码实践的,这些组织就有可能无意中引入漏洞,从而导致重大漏洞。而如果确实发生了漏洞,他们很可能没有时间实施基准系统,而是被迫在没有首先评估其开发人员团队的安全成熟度的情况下加速实施其 SBD 计划,最终使其组织面临更大的风险。
以人工智能生成代码为代价的技术债务
"业界已经存在大量技术债务问题,这已经不是什么秘密了--而且是已经编写好的代码。随着开发人员对本质上不安全的人工智能生成代码的盲目依赖激增,再加上执行监督有限,情况只会变得更糟。这种态势很有可能导致我们在明年看到报告的 CVE 增加 10 倍。
要想在 2025 年取得成功,企业必须愿意负责任地、安全地引入人工智能,同时对其开发团队进行适当的培训和风险缓解投资。明年是 CISA 的 "安全设计"(Secure-by-Design)承诺一周年,那些优先采用安全开发方法以最大限度地消除与人工智能、第三方安全问题和其他新兴威胁相关的风险的品牌,才能保持其竞争优势。
展望 2025 年,人工智能与软件开发的交叉将继续以有意义的方式影响开发者社区。
企业正面临着如何使用人工智能来支持长期生产力、可持续性和安全投资回报率的艰难抉择。在过去几年中,我们清楚地认识到,人工智能永远不会完全取代开发人员的角色。从人工智能与开发人员的合作关系,到围绕 "安全设计"(Secure-by-Design)期望的不断增加的压力(和困惑),让我们仔细看看明年我们可以期待什么:
重写人工智能方程式:不是人工智能代替开发者,而是人工智能+开发者
"2025年,随着公司被要求采取大幅削减成本的措施,开发人员被人工智能工具所取代也就不足为奇了。但是,正如生成式人工智能首次亮相时的情况,以及如今经过多年更新和更多更新后的情况一样,它仍然不是一种安全、自主的生产力驱动力,尤其是在创建代码时。人工智能是一种极具颠覆性的技术,有许多令人惊叹的应用和用例,但还不足以取代熟练的人类开发人员。我同意Forrester 的 预测,即 2025 年向人工智能/人类替代的转变很可能会失败,尤其是长期而言。我认为,人工智能+开发人员的组合比单独使用人工智能更有可能实现这一目标。"
人工智能带来的风险与机遇并存
"2025年期间,我们将看到人工智能生成的代码出现新的风险案例,包括幻觉蹲守、中毒库和影响软件供应链的漏洞利用等已知问题的不利影响。此外,人工智能将被更多地用于发现代码中的漏洞,以及利用人工智能编写漏洞利用程序,正如谷歌的 "零项目"(Project Zero)刚刚展示的那样。相比之下,我认为我们还将看到一些初步成熟的企业开发人员能够在工作中利用这些工具,而不会增加太多额外的风险,但这只是例外,而不是常规,这将取决于他们的组织是否积极衡量开发人员的风险,并相应地调整他们的安全计划。在 2025 年必将带来的快速发展的威胁环境中,那些技术娴熟、安全意识强、拥有经认可的人工智能编码工具的开发人员将能够更快地生成代码,而安全意识不强、技能一般的开发人员只会以更快的速度带来更多问题。"
走出人工智能的阴影
"围绕人工智能的立法环境正在迅速变化,试图跟上技术的频繁进步及其采用速度。2025 年,安全领导者需要确保做好准备,遵守潜在的指令。在未来的一年里,以下几个方面的结合将被证明对企业最为关键:了解 "影子人工智能 "的本质,然后确保其不在企业中使用,其次是严格使用仅安装在公司系统上的经过批准和验证的工具。这将使开发人员群体获得更多的assessment ,了解必须如何为他们提供最佳支持,以不断提高他们的安全能力,并将其应用到工作的各个方面。"
人工智能工具的安全等级将成为开发人员的重要衡量标准
"现在,在由 LLM 驱动的编码工具方面,市场可谓是自由竞争。新的工具层出不穷,每种工具都标榜有更好的输出、安全性和生产力。进入 2025 年后,我们需要一个标准来衡量和评估每个人工智能工具的安全性。这包括编码能力,即生成具有良好、安全编码模式的代码的能力,这些模式不会被威胁行为者利用。
人工智能将使初级开发人员更难进入该领域
"开发人员的入门门槛比以往任何时候都要高。随着混合型和分布式工作团队的出现,以及入门级职位所需的技能水平的提高,初级开发人员的门槛逐年提高。2025 年,雇主将开始期望初级开发人员在开始工作时就已经掌握在工作流程中安全集成和优化人工智能工具的技能和知识,而不是花时间进行在职培训。在未来一年内,未能学会如何在开发工作流程中利用人工智能工具的开发人员将对自己的职业发展产生重大影响,并在获得工作机会方面遇到挑战。他们有可能会妨碍自己的'编码许可',从而无法参与更复杂的项目,因为安全的人工智能能力最终将成为关键。"
时间会阻碍组织实现设计安全
"开发人员需要足够的时间和资源来提高技能,熟悉正确的工具和实践,以实现 "设计安全"。除非组织获得安全和工程领导的支持,否则他们的进展将受到阻碍,甚至完全停滞。当企业试图削减成本或限制资源时,他们往往会优先考虑眼前的修复工作,而不是长期的解决方案--专注于多方面的修复工具,这些工具在某些方面做得 "还行",而在其他方面做得 "一般"。2025 年,这种不平衡将使优先考虑安全软件开发的企业与只想快速解决问题以跟上不断变化的形势的企业之间产生更大的差距。
供应链安全审计将在降低全球风险方面发挥关键作用
"所有外包/第三方供应商都将开始受到越来越严格的审查。您可以在内部实施最完善的安全计划,但对于您的外包公司来说,如果他们没有实施'安全设计'(Secure by Design),整个安全框架就会受到损害。因此,企业将对外包工作进行严格审核,给企业领导者施加压力,要求他们严格遵守安全和行业合规准则。归根结底,安全团队的成功取决于全方位、360 度的视角,包括整个组织和任何外部合作伙伴的统一方法"。
人工智能将对 "穿越噪音 "产生影响
"开发团队在代码漏洞扫描仪的误报率问题上苦苦挣扎。他们如何确定分配给他们的漏洞确实存在安全风险? 2025 年,在代码修复方面,人工智能将成为帮助开发人员 "穿越噪音 "的重要工具--提供对代码本身更深入的理解。通过利用机器学习,人工智能可以根据上下文更好地确定真实威胁的优先级,从而减少用于提高安全警报准确性的时间。这将使团队能够专注于真正构成风险的漏洞,提高整体效率,实现更快、更安全的开发周期"。
标杆管理将成为企业实现设计安全目标的解决方案
缺乏安全基准将在 2025 年被证明是对企业不利的,因为他们将没有明确的基准来衡量自己在达到 "设计安全 "标准方面的进展。如果没有一个基准系统来评估团队是如何遵守安全编码实践的,这些组织就有可能无意中引入漏洞,从而导致重大漏洞。而如果确实发生了漏洞,他们很可能没有时间实施基准系统,而是被迫在没有首先评估其开发人员团队的安全成熟度的情况下加速实施其 SBD 计划,最终使其组织面临更大的风险。
以人工智能生成代码为代价的技术债务
"业界已经存在大量技术债务问题,这已经不是什么秘密了--而且是已经编写好的代码。随着开发人员对本质上不安全的人工智能生成代码的盲目依赖激增,再加上执行监督有限,情况只会变得更糟。这种态势很有可能导致我们在明年看到报告的 CVE 增加 10 倍。
要想在 2025 年取得成功,企业必须愿意负责任地、安全地引入人工智能,同时对其开发团队进行适当的培训和风险缓解投资。明年是 CISA 的 "安全设计"(Secure-by-Design)承诺一周年,那些优先采用安全开发方法以最大限度地消除与人工智能、第三方安全问题和其他新兴威胁相关的风险的品牌,才能保持其竞争优势。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示Secure Code Warrior ,使安全编码成为开发人员提高技能的积极和参与的经验。我们引导每个编码者沿着他们自己喜欢的学习途径前进,从而使具有安全技能的开发人员成为我们互联世界的日常超级英雄。
Secure Code Warrior 通过向开发人员传授安全代码编写的技能,建立以安全为导向的开发人员文化。我们的旗舰产品敏捷Learning Platform 为开发人员提供了基于技能的相关途径、动手实践missions 以及上下文工具,帮助他们快速学习、构建和应用技能,从而快速编写安全代码。
展望 2025 年,人工智能与软件开发的交叉将继续以有意义的方式影响开发者社区。
企业正面临着如何使用人工智能来支持长期生产力、可持续性和安全投资回报率的艰难抉择。在过去几年中,我们清楚地认识到,人工智能永远不会完全取代开发人员的角色。从人工智能与开发人员的合作关系,到围绕 "安全设计"(Secure-by-Design)期望的不断增加的压力(和困惑),让我们仔细看看明年我们可以期待什么:
重写人工智能方程式:不是人工智能代替开发者,而是人工智能+开发者
"2025年,随着公司被要求采取大幅削减成本的措施,开发人员被人工智能工具所取代也就不足为奇了。但是,正如生成式人工智能首次亮相时的情况,以及如今经过多年更新和更多更新后的情况一样,它仍然不是一种安全、自主的生产力驱动力,尤其是在创建代码时。人工智能是一种极具颠覆性的技术,有许多令人惊叹的应用和用例,但还不足以取代熟练的人类开发人员。我同意Forrester 的 预测,即 2025 年向人工智能/人类替代的转变很可能会失败,尤其是长期而言。我认为,人工智能+开发人员的组合比单独使用人工智能更有可能实现这一目标。"
人工智能带来的风险与机遇并存
"2025年期间,我们将看到人工智能生成的代码出现新的风险案例,包括幻觉蹲守、中毒库和影响软件供应链的漏洞利用等已知问题的不利影响。此外,人工智能将被更多地用于发现代码中的漏洞,以及利用人工智能编写漏洞利用程序,正如谷歌的 "零项目"(Project Zero)刚刚展示的那样。相比之下,我认为我们还将看到一些初步成熟的企业开发人员能够在工作中利用这些工具,而不会增加太多额外的风险,但这只是例外,而不是常规,这将取决于他们的组织是否积极衡量开发人员的风险,并相应地调整他们的安全计划。在 2025 年必将带来的快速发展的威胁环境中,那些技术娴熟、安全意识强、拥有经认可的人工智能编码工具的开发人员将能够更快地生成代码,而安全意识不强、技能一般的开发人员只会以更快的速度带来更多问题。"
走出人工智能的阴影
"围绕人工智能的立法环境正在迅速变化,试图跟上技术的频繁进步及其采用速度。2025 年,安全领导者需要确保做好准备,遵守潜在的指令。在未来的一年里,以下几个方面的结合将被证明对企业最为关键:了解 "影子人工智能 "的本质,然后确保其不在企业中使用,其次是严格使用仅安装在公司系统上的经过批准和验证的工具。这将使开发人员群体获得更多的assessment ,了解必须如何为他们提供最佳支持,以不断提高他们的安全能力,并将其应用到工作的各个方面。"
人工智能工具的安全等级将成为开发人员的重要衡量标准
"现在,在由 LLM 驱动的编码工具方面,市场可谓是自由竞争。新的工具层出不穷,每种工具都标榜有更好的输出、安全性和生产力。进入 2025 年后,我们需要一个标准来衡量和评估每个人工智能工具的安全性。这包括编码能力,即生成具有良好、安全编码模式的代码的能力,这些模式不会被威胁行为者利用。
人工智能将使初级开发人员更难进入该领域
"开发人员的入门门槛比以往任何时候都要高。随着混合型和分布式工作团队的出现,以及入门级职位所需的技能水平的提高,初级开发人员的门槛逐年提高。2025 年,雇主将开始期望初级开发人员在开始工作时就已经掌握在工作流程中安全集成和优化人工智能工具的技能和知识,而不是花时间进行在职培训。在未来一年内,未能学会如何在开发工作流程中利用人工智能工具的开发人员将对自己的职业发展产生重大影响,并在获得工作机会方面遇到挑战。他们有可能会妨碍自己的'编码许可',从而无法参与更复杂的项目,因为安全的人工智能能力最终将成为关键。"
时间会阻碍组织实现设计安全
"开发人员需要足够的时间和资源来提高技能,熟悉正确的工具和实践,以实现 "设计安全"。除非组织获得安全和工程领导的支持,否则他们的进展将受到阻碍,甚至完全停滞。当企业试图削减成本或限制资源时,他们往往会优先考虑眼前的修复工作,而不是长期的解决方案--专注于多方面的修复工具,这些工具在某些方面做得 "还行",而在其他方面做得 "一般"。2025 年,这种不平衡将使优先考虑安全软件开发的企业与只想快速解决问题以跟上不断变化的形势的企业之间产生更大的差距。
供应链安全审计将在降低全球风险方面发挥关键作用
"所有外包/第三方供应商都将开始受到越来越严格的审查。您可以在内部实施最完善的安全计划,但对于您的外包公司来说,如果他们没有实施'安全设计'(Secure by Design),整个安全框架就会受到损害。因此,企业将对外包工作进行严格审核,给企业领导者施加压力,要求他们严格遵守安全和行业合规准则。归根结底,安全团队的成功取决于全方位、360 度的视角,包括整个组织和任何外部合作伙伴的统一方法"。
人工智能将对 "穿越噪音 "产生影响
"开发团队在代码漏洞扫描仪的误报率问题上苦苦挣扎。他们如何确定分配给他们的漏洞确实存在安全风险? 2025 年,在代码修复方面,人工智能将成为帮助开发人员 "穿越噪音 "的重要工具--提供对代码本身更深入的理解。通过利用机器学习,人工智能可以根据上下文更好地确定真实威胁的优先级,从而减少用于提高安全警报准确性的时间。这将使团队能够专注于真正构成风险的漏洞,提高整体效率,实现更快、更安全的开发周期"。
标杆管理将成为企业实现设计安全目标的解决方案
缺乏安全基准将在 2025 年被证明是对企业不利的,因为他们将没有明确的基准来衡量自己在达到 "设计安全 "标准方面的进展。如果没有一个基准系统来评估团队是如何遵守安全编码实践的,这些组织就有可能无意中引入漏洞,从而导致重大漏洞。而如果确实发生了漏洞,他们很可能没有时间实施基准系统,而是被迫在没有首先评估其开发人员团队的安全成熟度的情况下加速实施其 SBD 计划,最终使其组织面临更大的风险。
以人工智能生成代码为代价的技术债务
"业界已经存在大量技术债务问题,这已经不是什么秘密了--而且是已经编写好的代码。随着开发人员对本质上不安全的人工智能生成代码的盲目依赖激增,再加上执行监督有限,情况只会变得更糟。这种态势很有可能导致我们在明年看到报告的 CVE 增加 10 倍。
要想在 2025 年取得成功,企业必须愿意负责任地、安全地引入人工智能,同时对其开发团队进行适当的培训和风险缓解投资。明年是 CISA 的 "安全设计"(Secure-by-Design)承诺一周年,那些优先采用安全开发方法以最大限度地消除与人工智能、第三方安全问题和其他新兴威胁相关的风险的品牌,才能保持其竞争优势。