代碼託管平台GitLab公布一項由AI驅動的安全功能,利用大型語言模型向開發人員解釋潛在漏洞,不僅如此,GitLab還計劃進一步擴展以運用AI技術自動修復這些漏洞。
本月早些時候,GitLab公司就公布過一款新型實驗性工具,能夠向開發者解釋代碼含義;另有一項實驗性功能,可以自動總結問題評論。值得注意的是,GitLab還打造了一款代碼補全工具,目前可供GitLab Ultimate和Premium用戶使用,去年還推出過基於機器學習的審查建議功能。
新的「解釋此漏洞」(explain this vulnerability)功能嘗試幫助開發團隊找到依據代碼庫上下文,以及對當前漏洞加以修復的最佳方法。考慮到具體上下文,這款工具能夠將漏洞的基本資訊同關於用戶代碼的特定見解結合起來,從而更輕鬆、更快速地修復這些問題。
GitLab將此番AI技術的全面入駐稱為「帶護欄的提速計劃」,希望在其全棧DevSecOps平台之上建立AI代碼生成與測試組合,確保AI輸出的任何內容均可安全部署。
GitLab還強調,其全部AI功能的構建都充分考慮到了隱私需求。GitLab首席產品官David DeSanto強調:「在觸及您的智慧財產權,也就是代碼時,我們只會將其發送至GitLab或雲架構的模型當中。這一點非常重要,我們將據此追溯企業DevSecOps以確保客戶受到嚴格監管。我們的客戶往往非常注重安全性和合規性,我們絕不會將代碼發送至第三方AI來生成解決建議。」他同時指出,GitLab不會利用客戶的私有數據來訓練其模型。
DeSanto表示,GitLab AI計劃的總體目標是將開發效率提高10倍——這裡指的不僅是單一開發者的效率,更是整個開發生命周期的效率。在他看來,哪怕是單純將開發人員的工作效率提高100倍,如果下游代碼審查環節的效率跟不上,那麼收益也會被極大抵消。
「如果說開發的比重占整個生命周期的20%,那麼即使我們將效率提升50%,大家也不會有明顯的感覺。現在,如果我們讓安全團隊、運營團隊、合規團隊的效率全方位提升,那麼組織內的工作水平就會迎來直觀可見的改進。」
例如,「解釋此代碼」功能不僅對開發者意義重大,對QA和安全團隊也非常有用,他們可以更好地了解自己需要測試哪些部分。這也是GitLab將其進一步擴展為「解釋此漏洞」的原因。從長遠來看,GitLab希望構建AI功能以幫助各團隊自動生成單元測試和安全審查,再將其集成到整個GitLab平台當中。
根據GitLab最新發布的DevSecOps報告,65%的開發人員已經在測試工作中用到了AI和機器學習,或者計劃在未來三年內加以嘗試。目前已經有36%的團隊在代碼審查步驟之前,先用AI或機器學習工具,提前對代碼做自動化檢查。
GitLab的Dave Steer在此次公告中寫道:「考慮到DevSecOps團隊往往面臨著嚴重的資源限制,自動化和AI已經成為一種重要的戰略資源。我們的DevSecOps平台能夠幫助團隊填補關鍵空白,同時自動執行策略、應用合規性框架、配合GitLab的自動化功能執行安全測試並提供AI輔助建議,最終幫助開發者釋放出更多寶貴資源。」
