DevSecOps: Sichere Softwareentwicklung mit GenAI?

Foto: Deemerwha studio – shutterstock.com

Generative KI könnte DevSecOps-Teams helfen, sicheren Code zu schreiben, die Codeanalyse zu verbessern, Tests zu erstellen und Dokumentationen zu verfassen. Allerdings hat die GenAI-Medallie zwei Seiten.

Die optimistische Sichtweise ist, dass alle Codevorschläge von Anfang an sicher sein könnten, wenn die KI anhand von Bibliotheken mit sauberem und sicherem Code trainiert wird, Best Practices vermittelt bekommt, und die internen Richtlinien und Frameworks eines Unternehmens eingebunden ist. Darüber hinaus kann generative KI auch verwendet werden, um Sicherheitsprobleme in bestehendem Code zu entdecken, für das Debugging, um Tests zu erstellen, die Dokumentation zu schreiben und Aufgaben im Zusammenhang mit DevSecOps zu übernehmen.

Auf der anderen Seite könnte generative KI stattdessen unsicheren Code generieren, und zwar schnell und autoritär.

Fast alle nutzen GenAI

Wie viele Entwickler nutzen also bereits generative KI? Den meisten Branchenumfragen zufolge die Mehrheit. Eine im Januar 2024 veröffentlichte CoderPad-Umfrage unter mehr als 13.000 Entwicklern ergab, dass 67 Prozent KI bereits im Rahmen ihrer Arbeit zu nutzen. Dabei stand ChatGPT an erster Stelle, gefolgt von GitHub Copilot – einem generativen KI-Entwicklungstool – und Bard. Fast 59 Prozent der Befragten gaben an, dass sie KI nutzen, um bei der Codeerstellung zu unterstützen. Mehr als die Hälfte der Befragten setzen KI zum Lernen und für Tutorials ein.

Bei der Bildagentur Shutterstock soll sich GitHub Copilot positiv auf die tägliche Arbeit der Softwareingenieure des Unternehmens ausgewirkt haben. “Nach nur acht Stunden Lernzeit berichteten 90 Prozent der Entwickler, dass sich ihre Erfahrung verbessert hat”, erklärt Sejal Amin, CTO bei Shutterstock gegenüber CSO. “Und einige der ersten Rückmeldungen, die wir erhalten haben, zeigen, dass die Mehrheit unserer Entwickler ihre Produktivität gesteigert hat.”

Es gebe jedoch Grenzen für die generative KI, räumt Amin ein. “Vielleicht kann generative KI eines Tages dazu verwendet werden, Sicherheit von Anfang an in den Entwicklungsprozess einzubauen. Aber unserer Erfahrung nach generiert heute kein Tool Code auf Produktionsebene, der Sicherheit, Leistung, Stabilität und Skalierbarkeit berücksichtigt – all die Dinge, die auf die wir achten müssen und die für unser Unternehmen von Belang sind.”

Stattdessen müsse der generierte Code immer noch eingehend geprüft werden. “Es erfordert, dass sich die leitenden Ingenieure mit dem erzeugten Output auseinandersetzen”, fügt der Technikchef hinzu.

Lesetipp: GenAI – zwischen Akzeptanz und Verbot

GenAI könnte die Code-Produktivität steigern

Bei einer Umfrage von SlashData unter mehr als 17.000 Entwicklern sind 80 Prozent der Meinung, dass generative KI ihr Potenzial und ihre Produktivität bei der Arbeit steigern wird. Es wird erwartet, dass GenAI vor allem neuen Entwicklern helfen wird. Zudem glauben 80 Prozent der Programmierer mit weniger als einem Jahr Coding-Erfahrung, dass generative KI ihnen helfen wird, neue Tools zu nutzen.

Janet Worthington, Analystin bei Forrester, bestätigt, dass die Technologie einen großen Einfluss auf die Produktivität haben wird. “Bei generativer KI bezüglich der Softwareentwicklung erwarten wir eine Produktivitätssteigerung von 15 bis 20 Prozent bei der Automatisierung von Testfällen”, erklärt sie gegenüber CSO. “Und bei der Codierung erwarten wir einen noch größeren Anstieg – bis zu 50 Prozent mehr Produktivität. Die Menge des Codes, den die Mitarbeiter generieren können, steigt sprunghaft an. Wir sehen ein Volumen und eine Produktivität, wie wir sie in der Softwareentwicklung schon lange nicht mehr gesehen haben.”

Die Tools werden zudem immer besser. Was mit einfachen Fragen auf ChatGPT begann, hat sich zu Programmier-“Copiloten” entwickelt, die in Softwareentwicklungspipelines integriert sind. Laut einer von LinearB veröffentlichten Umfrage unter CTOs und VPs of Engineering planen 87 Prozent der Unternehmen, in diesem Jahr in ein generatives KI-Codierungstool zu investieren.

Hohe Ausfallquote

Dieser Code funktioniert jedoch nicht unbedingt. Einer im Januar veröffentlichten GitClear-Untersuchung von 153 Millionen Codezeilen zufolge ist die Abwanderung von Code – der Prozentsatz des Codes, der in das Repository verschoben, aber innerhalb von zwei Wochen rückgängig gemacht, entfernt oder aktualisiert wurde – mit dem Aufkommen generativer KI-Codierassistenten gestiegen. Das Unternehmen geht davon aus, dass die Abwanderungsrate in diesem Jahr bei sieben Prozent liegt, doppelt so hoch wie vor der generativen KI.

Und dies ist nicht das einzige Warnsignal bezüglich der Produktivität. Jedes Jahr befragt Google Cloud Zehntausende von Entwicklern für seinen jährlichen DevOps-Bericht. Dieses Jahr war KI ein wichtiges Thema. Die Befragten gaben an, dass künstliche Intelligenz bereits nützlich ist, um Code zu schreiben oder zu optimieren und bei der Sicherheitsanalyse. Zudem hilft sie dabei, neue Fähigkeiten zu erlernen, Fehler zu erkennen, Tests zu schreiben, Dokumentationen zu erstellen.

Den Autoren des Berichts zufolge zeigen die Umfragedaten jedoch auch, dass KI eine neutrale oder sogar negative Auswirkung auf die Team-Performance und die Leistung der Softwarebereitstellung hat. “Es gibt viel Enthusiasmus über das Potenzial von KI-Entwicklungstools, aber wir gehen davon aus, dass es einige Zeit dauern wird, bis KI-gestützte Tools in der Branche weit verbreitet und koordiniert eingesetzt werden”, so die Autoren.

Code-Sicherheit mit GenAI

Wenn es darum geht, sicheren Code mit Hilfe von GenAI zu schreiben, fallen die Prognosen unterschiedlich aus. Viele hoffen, dass der KI-generierte Code durch die Aufnahme bewährter Codierungspraktiken aus öffentlichen Code-Repositories – möglicherweise ergänzt durch unternehmenseigene Richtlinien und Frameworks – von Anfang an sicherer ist und die üblichen Fehler menschlicher Entwickler vermeidet.

Wenn ein Entwickler zum Beispiel ein neues Stück Code beginnt, kann die KI auf intelligente Weise Elemente wie Kopfzeilen für geistiges Eigentum vorschlagen oder sogar anwenden, erklärt James Robinson, Stellvertretender CISO von Netskope, gegenüber CSO. “Das verschlankt nicht nur den Codierungsprozess, sondern minimiert auch die Notwendigkeit für das DevSecOps-Team, solche Dinge aktiv zu überwachen und zu berücksichtigen.”

Die Fähigkeit der generativen KI, kontextbezogene Informationen zu erfassen, kann laut Robinson zu einer neuen Ära in der Softwareentwicklung führen, mit verbesserter Codequalität und Effizienz. “Trotz der potenziellen Fallstricke ermöglicht der Einsatz von generativen KI-Tools wie Copiloten den Entwicklern, Code mit weniger Fehlern und Schwachstellen zu produzieren.”

Dass generative KI automatisch sichere Praktiken und Mechanismen verwendet, trägt laut Robinson zu einer sichereren Programmierumgebung bei. “Die Vorteile erstrecken sich auf eine verbesserte Codestrukturierung und Erklärungen sowie einen gestrafften Testprozess, was letztendlich den Testaufwand für DevSecOps-Teams reduziert.”

Einige Entwickler glauben, dass wir bereits am Ziel sind. Einem im November veröffentlichten Bericht von Snyk, einer Plattform für Codesicherheit, zufolge sind 76 Prozent der Technologie- und Sicherheitsexperten der Meinung, dass KI-Code sicherer ist als menschlicher Code.

Lesetipp: DevSecOps – So gelingt sichere Softwareentwicklung

Das könnte sich jedoch als Irrglaube herausstellen. Einem Forschungsbericht aus Stanford zufolge, der zuletzt im Dezember aktualisiert wurde, schrieben Entwickler, die einen KI-Codierassistenten verwenden, “deutlich weniger sicheren Code”. Sie – waren zugleich auch eher der Meinung, dass sie sichereren Code schrieben als diejenigen, die keine KI verwenden. Außerdem schlugen die KI-Codierwerkzeuge manchmal unsichere Bibliotheken vor. Die Entwickler akzeptierten die Vorschläge, ohne die Dokumentation für die Komponenten zu lesen, so die Forscher.

Auch in der von Snyk durchgeführten Umfrage stimmten 92 Prozent der Befragten zu, dass KI zumindest manchmal unsichere Code-Vorschläge generiert. Ein Fünftel sagte, dass sie “häufig” Sicherheitsprobleme verursacht.

Obwohl mit generativer KI Code schneller produziert werden kann, geben nur 10 Prozent der Umfrageteilnehmer an, dass sie den Großteil ihrer Sicherheitsprüfungen und -scans automatisiert haben. Zudem geben 80 Prozent zu, dass die Entwickler in ihren Unternehmen die KI-Sicherheitsrichtlinien gänzlich umgehen.

Tatsächlich hat mehr als die Hälfte der Unternehmen ihre Software-Sicherheitsprozesse trotz eingeführter generativer KI-Codierungstools nicht geändert. Von denjenigen, die dies taten, bestand die häufigste Änderung in häufigeren Code-Audits, gefolgt von der Implementierung von Sicherheitsautomatisierung.

Laut Worthington von Forrester muss all dieser KI-generierte Code noch Sicherheitstests unterzogen werden. Vor allem müssen Unternehmen sicherstellen, dass sie über integrierte Tools verfügen, um den gesamten neuen Code sowie die Bibliotheken und Container-Images zu überprüfen. “Wir sehen einen größeren Bedarf an DevSecOps-Tools aufgrund von generativer KI,” so der Analyst.

Generative KI kann dem DevSecOps-Team helfen, die Dokumentation zu schreiben, fügt Worthington hinzu. Die Technologie sei besonders gut darin, erste Entwürfe von Dokumenten zu erstellen und Informationen zusammenzufassen.

Es überrascht daher nicht, dass der Google-Bericht State of DevOps zeigt, dass KI einen Einfluss auf die Unternehmensleistung hat. Grund sei verbesserte technische Dokumentation. Laut der CoderPad-Umfrage sind Dokumentation und API-Support der viertbeliebteste Anwendungsfall für generative KI, wobei mehr als ein Viertel der Tech-Profis sie zu diesem Zweck einsetzen.

Die generative KI kann auch Entwicklern helfen, die Dokumentation schneller zu durchforsten. “Als ich viel programmiert habe, habe ich lange damit verbracht, mich durch die Dokumentation zu wühlen”, sagt Ben Moseley, Professor für Operations Research an der Carnegie Mellon University. “Wenn ich schnell an diese Informationen herankommen könnte, würde mir das sehr helfen.

GenAI für Tests und Qualitätssicherung

Generative KI könnte DevSecOps-Teams dabei helfen, Schwachstellen und Sicherheitsprobleme zu finden, die herkömmliche Testtools übersehen, diese Probleme zu erklären und Lösungen vorzuschlagen. Zudem könnte sie nützlich sein, wenn Testfälle erstellt werden sollen.

Einige Sicherheitslücken sind allerdings für diese Tools immer noch zu nuanciert, räumt Moseley von Carnegie Mellon ein. “Für diese schwierigen Dinge braucht man immer noch Menschen, die nach ihnen suchen, und Experten, die sie finden. Generative KI kann jedoch Standardfehler aufspüren.”

Laut der CoderPad-Umfrage nutzen etwa 13 Prozent der Tech-Profis bereits generative KI für Tests und Qualitätssicherung. Carm Taglienti, Chief Data Officer und Leiter des Daten- und KI-Portfolios beim IT-Spezialisten Insight, geht davon aus, dass generative KI-Systeme, die speziell auf Schwachstellendatenbanken trainiert wurden, bald zum Einsatz kommen werden. “Ein kurzfristiger Ansatz besteht darin, eine Wissens- oder Vektordatenbanken mit diesen Schwachstellen zu haben, um meine speziellen Abfragen zu ergänzen”, sagt er.

Eine größere Frage für Unternehmen ist die Automatisierung der generativen KI-Funktion und inwieweit Menschen in den Kreislauf einbezogen werden sollen. Wenn etwa die KI verwendet wird, um Code-Schwachstellen früh im Prozess zu erkennen. “Inwieweit lasse ich zu, dass das Tool den Code automatisch korrigiert?” fragt Taglienti. Die erste Stufe besteht darin, die generative KI einen Bericht über die erkannten Schwachstellen erstellen zu lassen, so dass der Mensch die Möglichkeit hat, Änderungen und Korrekturen vorzunehmen. Durch die Überwachung der Genauigkeit der Tools können Unternehmen dann Vertrauen für bestimmte Klassen von Korrekturen aufbauen und zur vollständigen Automatisierung übergehen. “Das ist der Kreislauf, in den die Menschen einsteigen müssen”, erklärt Taglienti gegenüber CSO.

“Auch bei der Erstellung von Testfällen wird die KI den Menschen brauchen, um den Prozess zu leiten”, fügt der Experte hinzu.

Generative KI könnte auch dazu verwendet werden, die gesamte Produktionsumgebung abzuklopfen, meint Taglientie. “Erfüllt die Produktionsumgebung diese Sätze bekannter Schwachstellen in Bezug auf die Infrastruktur?” Es gibt bereits automatisierte Tools, die nach unerwarteten Änderungen in der Umgebung oder Konfiguration suchen. “Aber generative KI kann das Ganze aus einer anderen Perspektive betrachten”, betont der Insight-CDO. “Hat das NIST seine Spezifikationen geändert? Wurde eine neue Schwachstelle identifiziert?”

Bedarf an internen GenAI-Richtlinien

Laut Curtis Franklin, Principal Analyst für Enterprise Security Management bei Omdia, setzten viele Entwickler in großen Unternehmen generative KI ein. Das Gleiche gilt für unabhängige Entwickler, Berater und kleinere Teams. “Der Unterschied besteht darin, dass die großen Unternehmen formale Richtlinien für den Einsatz von KI entwickelt haben”, erklärt er gegenüber CSO.

“Ich habe den Eindruck, dass dieser formale Rahmen für die Qualitätssicherung bei kleineren Unternehmen nicht vorhanden ist, weil sie sich diesen Aufwand nicht leisten können”, ergänzt der Analyst.

Langfristig habe generative KI-Codegeneratoren das Potenzial, die Software-Sicherheit insgesamt zu verbessern. “Das Problem ist, dass wir einen gefährlichen Wendepunkt erreichen werden”, so Franklin. “Wenn die generativen KI-Engines und -Modelle an einem Punkt angelangt sind, an dem sie durchweg recht guten Code erzeugen, werden die Entwicklungsteams unter Druck geraten und annehmen, dass ‘recht gut’ gut genug ist. Und das ist der Punkt, an dem Schwachstellen mit größerer Wahrscheinlichkeit unentdeckt und unkorrigiert durchrutschen. Das ist die Gefahrenzone.”

Der Experte weist darauf hin: “Solange Entwickler und Manager angemessen skeptisch und vorsichtig sind, wird generative KI ein nützliches Werkzeug sein. Wenn das Maß an Vorsicht nachlässt, wird es gefährlich – so wie wir es in anderen Bereichen gesehen haben, etwa bei Anwälten, die von KI generierte Schriftsätze einreichten, die Zitate zu Fällen enthielten, die nicht existierten.” (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.