Uit een rondvraag van GitLab komen beveiliging als operationele efficiëntie als belangrijkste prioriteiten naar voor. AI wordt ingezet om die twee problemen op te lossen.
Met de studie wil GitLab voornamelijk het belang van DevSecOps aantonen, een benadering die ontwikkelings-, beveiligings- en operations-teams dichter bij elkaar staan. De achterliggende idee is dat kwetsbaarheden zo vroeg in het ontwikkelingsproces worden opgespoord, als het kan al tijdens het schrijven van de code. Een diverse mix van vijfduizend respondenten nam deel aan de studie die in maart werd uitgevoerd.
56 procent van de bedrijven rapporteert een DevSecOps-strategie te hanteren, in 2022 was dit nog 47 procent. Drie op vier beveiligingsprofessionals zegt ook nauwer te willen samen met software-ontwikkelaars in de komende jaren. Ontwikkelaars krijgen daardoor ook een belangrijkere rol in cybersecurity. Beveiligingsexperten erkennen dat meer dan een kwart van kwetsbaarheden in softwarecodes wordt opgemerkt door ontwikkelaars.
Obstakels voor DevSecOps
Toch loopt alles nog niet van een leien dakje. Waar security- en ontwikkelingsteams wel de meerwaarde lijken in te zien van samen te werken, merkt de studie op dat beide afdelingen nog vaak met de vinger naar elkaar wijzen voor wie de verantwoordelijkheid draagt. Een van de grootste frustraties die gedeeld wordt is dat veiligheidstests te laat in het ontwikkelingsproces worden uitgevoerd.
Ook een teveel aan tools wordt als een obstakel ervaren om kwetsbaarheden tijdig op te sporen. Gemiddeld heeft een beveiligingsprofessionals zes tot tien tools ter beschikking om zijn/haar taken uit te voeren, waar ontwikkelaars en operationsteams zich tot maximaal vijf kunnen beperken. Het beheer van al die tools kost vooral tijd van medewerkers die ten koste gaat van de kwaliteit van de beveiliging.
AI als wondermiddel?
Operationele efficiëntie en security staan hoog op de prioriteitenlijst van alle respondenten. In het steeds complexere IT-landschap gaan DevSecOps-teams op zoek naar nieuwe technologieën om die doelstellingen te bekomen. AI groeit zo uit van een nice-to-have tot een must-have: slechts vijf procent van de respondenten zegt op geen enkele manier gebruik te maken van AI- of ML-technologie in het reviewproces.
Artificiële intelligentie wordt voornamelijk ingezet om code te controleren. 62 procent van de respondenten laat AI code nakijken op fouten, bij 36 procent gebeurt dat zelfs voor een menselijk oog ernaar kijkt. 53 procent zet AI ook in bij het testen van codes.
Het gebruik van kunstmatige hulpmiddelen is niet zonder risico. Bedrijven zoals Amazon en Samsung hebben al beperkingen opgelegd aan het gebruik van ChatGPT omdat ontwikkelaars interne broncodes prijsgaven om te laten controleren. Ook is de output van AI-gegeneerde code niet altijd te vertrouwen. AI kan zeker een hulp zijn bij het ontwikkelen, maar het blijft van belang dat er ook altijd een menselijk oordeel wordt geveld.