生成式人工智慧對 DevSecOps 之影響

FIND研究員：李佳珮

近年來，隨著生成式人工智慧（GenAI）技術的發展，它在DevSecOps的運作過程中帶來了顯著的影響。DevSecOps是由DevOps (Development, Operations)加上Security的結合在原先的開發、維運過程中融入安全，強調安全不僅是開發、維運過程中的方法論。強調過程中的每一個環節都一樣重要、應該在每個執行過程中環節中都持續被關注。延續DevOps的自動化精神DevSecOps從規劃、程式、整合、部署等過程中持續的導入了各個階段需要的安全性測試工具以確保整體系統的安全。

圖1: DevSecOps 是 DevOps 整合軟體安全實務的延伸

圖片來源:dynatrace

調查有9成軟體開發者使用GenAI 

根據 GitLab 提出的 2023 年全球 DevSecOps 報告中，已有23% 的組織在軟體開發過程中使用AI，其中有90% 的受訪者在軟體開發過程中使用AI；81% 的受訪者表示他們希望獲得更多關於如何有效使用人工智慧的培訓。在此同時，也有79%的受訪者擔心AI 會接觸到私人訊息或其他知識財產權的資訊。本文將探討GenAI對DevSecOps帶來的影響以及相關的挑戰和解決方案。

圖2:GitLab & Google Cloud 合作對 DevSecOps 工作流程圖

圖片來源: GitLab

在此趨勢下，越來越多的工作人員使用AI來協助DevSecOps各個環節的進行。AI除了提高程式開發過程的生產力外，也簡化了測試步驟，同時可以協助進行程式碼檢查以提高軟體品質帶來更高的工作效能。使用AI的過程中組織也需要因應AI帶來的改變去調整作業流程，AI目前的使用仍在初級應用階段，預計未來能夠更廣泛深入的應用在各個DevSecOps環節當中。

AI廣泛應用對智產權及隱私權造成威脅

雖然AI有助於提高生產力，然而隨著AI的廣泛應用，對於知識產權與個人隱私的威脅也更加嚴重，同時AI提昇的程式碼變更率，也會增加DevSecOps流程重覆運行的負擔。

此外，AI訓練中所使用的資料來源，也可能繼承各種偏見造成錯誤資訊的延續，所以在AI的訓練過程中必須導入更公平的指標、檢測工具，以避免造成其他爭議。

另一方面，DevSecOps也應該建立更完善的流程和機制即時識別AI導致的危險，雖然AI可以協助很多自動化測試的工作，然在重要環節仍然需要進行人工審查，以確保檢查的項目符合預期的需求，能及時發現問題進行修正。

另外要加強對人員培訓和意識的提升，以建立起開發和安全團隊之間的良好溝通與協作機制，確保在開發過程中能夠及時發現和解決安全問題。此外，持續監控和改進安全流程，隨著技術和威脅的變化不斷優化安全策略和措施，以保障系統和數據的安全。

封面圖片來源:

DevSecOps 示意圖 https://www.dynatrace.com/solutions/devsecops/

參考資料來源:

1. 2023 Global DevSecOps Report Series
   https://about.gitlab.com/developer-survey/ (登入後免費下載)
2. DevSecOps pros prep for GenAI upheavals in 2024 (2023/12/19)
   https://www.techtarget.com/searchitoperations/news/366563975/DevSecOps-pros-prep-for-GenAI-upheavals-in-2024
3. As AI becomes standard, watch for these 4 DevSecOps trends
   https://techcrunch.com/2024/01/07/as-ai-becomes-standard-watch-for-these-4-devsecops-trends/
4. Shape the Future: DevSecOps 2024 Trends and Insights (2024/01/23)
   https://www.devprojournal.com/software-development-trends/devsecops/shape-the-future-devsecops-2024-trends-and-insights/
5. Will the Rise of GenerativeAIIncrease Technical Debt? (2024/01/25)
   https://devops.com/will-the-rise-of-generative-ai-increase-technical-debt/
6. Will GenerativeAIKill DevSecOps? (2024/02/15)
   https://thenewstack.io/will-generative-ai-kill-devsecops/
7. 生成式AI与DevSecOps：携手共进还是背道而驰？ (2024/03/07)
   https://developer.baidu.com/article/details/3210258
8. Generative AI poised to make substantial impact on DevSecOps (2024/03/11)
   https://www.csoonline.com/article/1311835/generative-ai-poised-to-make-substantial-impact-on-devsecops.htm

AIGC資安威脅與日俱增，促使AI資安投資連帶成長

FIND研究員：李啟榮

所謂「道高一尺、魔高一丈」，以生成式人工智慧（Generative AI）所創造的新興資安威脅不斷升級、增長的同時，相對應的資安防護措施也必須與時俱進。然而，在資安防護需求日益殷切的情況下，資安防護和建設的成本勢必增加，需要比以往更充沛的投資和挹注，才能減少後續衍生的災後復原可觀成本。

趨勢發展背景

依據富比世2023年的報導 (Kindig, 2023)，資安投資將從2023年的8兆美元，預計在2025年成長到10.5兆美元，而網路犯罪的成本預估在2025年達10.3兆美元、2028年達13.8兆美元，可見資安投資趕不上網路犯罪投資的成長速度。另外，2023年每天約有56萬個全新出現的惡意軟體；而在2022年針對「世界經濟論壇（WEF）」的前120大資安業者中，有59%尚未做好因應資安威脅的準備工作和措施 (Bonderud, 2023) (WEF & Accenture, 2022)。

生成式AI廣泛用於程式開發，使得開發成本和時間大幅降低，並藉由自主學習的機制不斷精進開發品質；尤其生成式AI若用於惡意程式開發、漏洞窺探與滲透，將對傳統資安體系造成革命性的衝擊，資安團隊必須要用更高昂的成本，進行事前預防和事後補教，才能讓資安體質與時俱進，減少駭客見縫插針、大搞破壞的機會。

產業趨勢說明

由於AI在資安開始扮演關鍵角色，並成為資安專家不可或缺的小幫手，AI在資安領域的應用開始被業界重視，並獲得相關投資和挹注；有許多市調機構因應前述趨勢，進行相關的分析和成長預測。

Markets & Markets機構的分析指出，資安領域AI應用在2023年產值達224億美元，預估2028年達606億美元，複合年均成長率（CAGR）達21.9%。

圖 1 資安領域AI應用趨勢預測（from M&M）

資料來源： (Markets & Markets, 2023)

Allied Market Research機構分析指出，資安領域AI應用在2022年產值達192億美元，預估2032年達1,548億美元，CAGR達23.6%

圖 2 資安領域AI應用趨勢預測（from AMR）

資料來源： Allied Market Research, 2023

未來展望／挑戰

生成式AI在資安攻防中愈來愈常見，是無堅不摧的利刃、還是固若金湯的壁壘，完全取決於人如何加以應用；但生成式AI在資安建設上的貢獻，不僅能節約成本和時間，更能提升緊急應變效率、降低災後補救成本，藉此減緩資安威脅和衝擊。

生成式AI也能輔助資安專家進行通盤分析和規劃，讓資安專家比駭客早一步預測到漏洞所在、予以補救和預防，促使生成式AI可對資安領域帶來關鍵價值和莫大貢獻。

封面圖片來源: 123RF

參考資料來源:

1. Allied Market Research. (2023, September). AI In Cybersecurity Market Research, 2032. Retrieved from Allied Market Research: https://www.alliedmarketresearch.com/ai-in-cybersecurity-market-A185408 
   
   
2. Bonderud, D. (2023, June 15). Going up! How to handle rising cybersecurity costs. Retrieved from Security Intelligence: https://securityintelligence.com/articles/going-up-how-to-handle-rising-cybersecurity-costs/ 
   
   
3. Kindig, B. (2023, September 29). The Next Market AI Will Disrupt Is Cybersecurity. Retrieved from Forbes: https://www.forbes.com/sites/bethkindig/2023/09/29/the-next-market-ai-will-disrupt-is-cybersecurity/ 
   
   
4. Markets & Markets. (2023年December月). Artificial Intelligence in Cybersecurity Market. 擷取自 Markets & Markets: https://www.marketsandmarkets.com/Market-Reports/artificial-intelligence-ai-cyber-security-market-220634996.html 
   
   
5. WEF & Accenture. (2022, January). Global Cybersecurity Outlook 2022. Retrieved from World Economic Forum:  https://www3.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2022.pdf

數位孿生賦能製造業轉型應用案例

FIND研究員：黃奇晞 電子資訊製造產業對我國經濟發展長期扮演重要角色，且為國際供應鏈不可或缺的關鍵伙伴，因此素有我國「護國神山群」美譽，而如何升級轉型邁向智造業一直為產業界關注焦點，NVIDIA創辦人暨執行長黃仁勳在2023台北國際電腦展(COMPUTEX)演講時指出：>

5G專網搶進中小企業市場，協助提升效率及開拓新市場

FIND研究員：王允筑 隨著規模化5G專網發展日趨成熟，電信服務、解決方案、以及設備供應商已經開始將目光投向中小企業（SMEs），開發專門針對此類企業的5G專網方案。這些方案旨在解決SMEs特有的挑戰，如資源有限、需求多樣性以及對靈活性和可擴展性的需求。 >