《Egyptian Informatics Journal》:Exploring the synergistic collaboration of Human Agentic-AI in enhancing the security of the software development lifecycle
编辑推荐:
本文探讨了一个关键问题:面对日益复杂的网络威胁,传统的软件开发生命周期安全方法已显不足。为此,研究人员聚焦于人类能动性与人工智能的协同协作主题,旨在通过整合人类专业知识与AI能力来增强SDLC安全性。研究结果表明,这种协同方法能够弥补传统方法和AI系统的局限,提供更具动态性和适应性的安全解决方案。这对于改进威胁检测、漏洞管理和安全代码开发,提升软件安全性具有重要意义。
在这个软件已深度融入生活、文化与社会方方面面的时代,技术的飞速发展带来了前所未有的机遇,但也引入了愈发复杂和高级的网络威胁。传统的软件安全方法,无论是依赖人工检测还是单一的自动化流程,在面对现代网络攻击的动态特性时,常常显得力不从心。例如,2017年肆虐的WannaCry勒索软件攻击暴露了传统系统在及时响应已知漏洞方面的滞后。另一方面,尽管人工智能在自动化威胁检测、漏洞扫描等方面展现出强大能力,但其在上下文理解、伦理决策和微妙判断上的不足,也使其无法单独应对所有安全挑战。与此同时,全球范围内熟练网络安全专业人才的巨大缺口(据(ISC)?2021年研究报告,全球有270万个职位空缺)进一步加剧了软件安全的压力。因此,如何将人类的洞察力、判断力与AI的海量数据处理和自动化能力相结合,构建一种协同增效的解决方案,以全面提升软件开发生命周期(SDLC)的安全性,成为了一个亟待探索的关键问题。针对这一研究空白,沙特阿拉伯努拉·宾特·阿卜杜勒拉赫曼大学信息系统的研究人员在《Egyptian Informatics Journal》上发表了他们的研究成果,系统地探讨了人类能动性与AI(Human Agentic-AI)在增强SDLC安全方面的协同协作。
为了回答上述问题,研究人员采用了定性的研究方法。主要关键技术方法包括:1)进行了一项多声部文献综述,系统性地回顾了关于人类-AI框架、AI驱动的安全模型及其在SDLC安全中应用的现有文献,并从中识别关键主题;2)提出了一种名为“人类能动性-人工智能安全软件开发生命周期”的概念性框架;3)设计了面向专家的半结构化访谈,以获取行业从业者对AI在SDLC安全中作用、挑战及前景的实践见解与定性数据。
研究结果
4.1. 人类能动性-AI在增强SDLC安全中的作用
研究详细阐述了AI与人类代理在SDLC各个阶段的协同作用。例如,在规划与需求阶段,AI可以利用预测分析识别潜在风险,而人类代理则提供项目范围和具体漏洞的上下文知识,双方协作制定有针对性的安全计划。在设计阶段,AI可以基于历史漏洞数据推荐安全架构模式,人类则根据业务目标和项目特殊性进行调整与最终决策。在编码阶段,AI可自动化执行静态和动态代码分析以识别漏洞,并建议自动修复,而人类则负责审查这些修复的正确性和适用性。在测试阶段,AI能够自动化进行漏洞扫描和渗透测试,模拟各种攻击,而人类则评估结果并基于复杂情境进行优先级排序和深度调查。在部署阶段,AI可自动应用安全补丁并监控配置,人类则负责验证补丁的兼容性并在复杂事件发生时做出战略决策。在维护阶段,AI持续学习并改进威胁检测,而人类则监督和调整AI模型,确保其适应新出现的威胁。为了直观展示这种协作,研究提出了“人类能动性-AI安全软件开发生命周期”框架(Human Agentic-AI Secure Software Development Lifecycle, HAI-SSDLC),该框架将人类决策与AI的预测及大规模数据处理能力相结合,旨在在整个SDLC(分析、设计、开发、测试、部署运营和支持)中实现变革性的网络安全。
4.2. 软件开发专业人员对通过AI技术增强SDLC网络安全的看法
研究通过调查发现,软件开发专业人员对使用AI工具增强SDLC网络安全持积极态度。他们认为AI在自动检测、发现复杂模式以及持续监控以降低人为错误方面具有重要作用。然而,也存在对过度依赖AI的担忧,包括数据可靠性、模型透明度和自动化决策的可解释性问题。专家们强调,AI应作为人类技能的补充层,而非完全替代。成功的实施需要开发者、数据科学家和网络安全专家之间的合作。对调查数据的统计分析进一步表明,在SDLC的不同阶段,专业人士对AI和人类效能感知存在显著差异。例如,在需求收集和部署阶段,人类代理被认为比AI更有效;而在实施阶段,AI被认为比人类更有效;在设计阶段,二者被认为同等有效。总体而言,人类代理的平均感知效能(50.83%)高于AI(37.5%),且AI的感知在不同阶段变化更大(标准差AI≈8.52 vs. 人类≈6.72)。这突显了人类经验、情境理解和决策判断在SDLC安全中的核心价值,也指出了AI在自动化特定任务方面的优势。
研究结论与意义
本研究深入探讨并论证了人类能动性与AI在软件开发生命周期安全中进行协同协作的巨大潜力。通过整合文献综述和行业专家访谈,研究揭示了将人类直觉、战略思维和伦理判断与AI的计算能力、自动化效率和数据处理规模相结合,能够显著增强SDLC流程的安全态势。这种协同模式弥补了纯手动方法效率低下、易出错以及纯AI方法缺乏上下文和伦理判断的缺陷,从而带来更有效的漏洞识别、更主动的安全措施、更快的响应时间和更可靠的代码部署。
本研究提出的HAI-SSDLC框架,为学术界和工业界提供了一个系统化的视角,理解如何在SDLC各阶段分配和整合人类与AI的角色。研究强调了未来需要关注人机界面优化以及解决信任、透明度和伦理挑战,以进一步巩固SDLC安全。这项工作的意义在于,它不仅为解决当前软件安全实践中的关键瓶颈提供了可行的理论框架和实践指导,也为应对未来日益复杂的网络安全环境和弥补人才缺口指明了一个富有前景的方向——即通过人机协同,构建一个更加动态、适应性强且高效的软件安全生态系统。
