AI 在软件开发生命周期中的应用与挑战

在QCon London的主题演讲中，MITRE的高级首席软件架构师兼研究员Tracy Bannon提出，AI 能够增强软件开发生命周期（SDLC），但目前 AI 还处于“代码补全”阶段，而非“代码生成”阶段。她强调在采用 AI 之前，必须确保人类参与其中，并先完善公司的 SDLC。

AI 在软件开发中的演变

Bannon 将生成式 AI 在软件开发中的采用与从纸质地图到导航软件的过渡进行了类比。这一过渡经历了三个阶段：最初是基于网络的 Google 地图导航提示打印在纸上，然后是专用的 GPS 设备，最后是如今集成到智能手机中的导航应用。她认为，我们正处于 AI 技术炒作周期的顶峰，距离达到生产力稳定期还有两到五年时间。

AI 的现状与局限性

尽管生成式 AI 在市场上备受关注，但 Bannon 指出，AI 只是“机器学习宇宙”中的一小部分。软件开发工作复杂且需要权衡，AI 只能辅助决策，而不能完全替代人类。她引用了几位行业领袖的观点，强调软件工程的核心是不断抽象化的过程，而生成式 AI 在处理非线性、多维度问题时仍存在局限性。

AI 在 SDLC 中的应用场景

根据Stack Overflow 2023 开发者调查的数据，Bannon 提到 AI 在文档编写、代码增强、调试、代码补全和测试增强等领域已被开发者尝试使用。然而，她指出目前的 AI 工具更多是代码补全而非代码生成，并建议开发者在生成测试和编写代码之间选择其一，而非同时使用两者，以确保人类保持在循环中。

生成式 AI 的安全问题

Bannon 强调，生成式 AI 与 DevSecOps 原则（如可追溯性、可审计性、可重复性和可解释性）存在冲突，尤其是在安全性方面。她提到，使用不同工具生成的代码可能违反OWASP 网络安全原则，并且生成的代码可能会超出组织边界，带来潜在风险。

改进 SDLC 的建议

Bannon 建议在采用 AI 之前，先完善组织的 SDLC。她提到，实施最小可行持续交付是一个不错的起点，同时使用SPACE和DORA等指标来衡量影响，部署次数是一个值得关注的指标。

行动呼吁

在演讲的最后，Bannon 向观众提出了以下行动建议：

• 调查组织中是否以及如何使用 AI。
• 推动生成式 AI 的研究与探索。
• 将网络安全作为最高优先级。
• 建立合理的防护措施。
• 与供应商沟通，了解模型质量和安全问题。
• 询问平台供应商的 AI 路线图。

她还鼓励观众思考以下问题：

• 你认为 SDLC 将如何改变？
• 你的组织如何准备？
• 你个人关注的重点是什么？
• 分享你组织的故事和经验教训。
• 探索并分享新的用例和工具。

总结

Bannon 总结道，AI 的发展不可逆转（“你不能把精灵放回瓶子里”），但开发者在推进生成式 AI 应用时，必须将网络安全作为首要关注点，同时确保人类参与其中。