GitLab找来AI协助向开发人员解释漏洞来源

代码托管平台GitLab公布一项由AI驱动的安全功能，利用大型语言模型向开发人员解释潜在漏洞，不仅如此，GitLab还计划进一步扩展以运用AI技术自动修复这些漏洞。

本月早些时候，GitLab公司就公布过一款新型实验性工具，能够向开发者解释代码含义；另有一项实验性功能，可以自动总结问题评论。值得注意的是，GitLab还打造了一款代码补全工具，目前可供GitLab Ultimate和Premium用户使用，去年还推出过基于机器学习的审查建议功能。

新的“解释此漏洞”（explain this vulnerability）功能尝试帮助开发团队找到依据代码库上下文，以及对当前漏洞加以修复的最佳方法。考虑到具体上下文，这款工具能够将漏洞的基本信息同关于用户代码的特定见解结合起来，从而更轻松、更快速地修复这些问题。

GitLab将此番AI技术的全面入驻称为“带护栏的提速计划”，希望在其全栈DevSecOps平台之上建立AI代码生成与测试组合，确保AI输出的任何内容均可安全部署。

GitLab还强调，其全部AI功能的构建都充分考虑到了隐私需求。GitLab首席产品官David DeSanto强调：“在触及您的知识产权，也就是代码时，我们只会将其发送至GitLab或云架构的模型当中。这一点非常重要，我们将据此追溯企业DevSecOps以确保客户受到严格监管。我们的客户往往非常注重安全性和合规性，我们绝不会将代码发送至第三方AI来生成解决建议。”他同时指出，GitLab不会利用客户的私有数据来训练其模型。

DeSanto表示，GitLab AI计划的总体目标是将开发效率提高10倍——这里指的不仅是单一开发者的效率，更是整个开发生命周期的效率。在他看来，哪怕是单纯将开发人员的工作效率提高100倍，如果下游代码审查环节的效率跟不上，那么收益也会被极大抵消。

“如果说开发的比重占整个生命周期的20%，那么即使我们将效率提升50%，大家也不会有明显的感觉。现在，如果我们让安全团队、运营团队、合规团队的效率全方位提升，那么组织内的工作水平就会迎来直观可见的改进。”

例如，“解释此代码”功能不仅对开发者意义重大，对QA和安全团队也非常有用，他们可以更好地了解自己需要测试哪些部分。这也是GitLab将其进一步扩展为“解释此漏洞”的原因。从长远来看，GitLab希望构建AI功能以帮助各团队自动生成单元测试和安全审查，再将其集成到整个GitLab平台当中。

根据GitLab最新发布的DevSecOps报告，65%的开发人员已经在测试工作中用到了AI和机器学习，或者计划在未来三年内加以尝试。目前已经有36%的团队在代码审查步骤之前，先用AI或机器学习工具，提前对代码做自动化检查。
GitLab的Dave Steer在此次公告中写道：“考虑到DevSecOps团队往往面临着严重的资源限制，自动化和AI已经成为一种重要的战略资源。我们的DevSecOps平台能够帮助团队填补关键空白，同时自动执行策略、应用合规性框架、配合GitLab的自动化功能执行安全测试并提供AI辅助建议，最终帮助开发者释放出更多宝贵资源。”