主要观点：

• 组织中存在“邪恶双胞胎”（evil twin）SDLC，看似与正常的 SDLC 相同，但实则遵循自己规则，忽略安全治理和标准，会带来诸多风险。
• 基于对 1500 名 CISOs、AppSec 经理和开发者的调查，34%的开发者称超 60%的代码由 AI 生成，仅 18%的组织有 AI 开发政策，26%的开发者承认未经许可使用 AI 工具。
• “邪恶双胞胎”SDLC 形成于 AI 渗入开发的各个阶段，如代码创建、依赖管理、测试等，导致管道缺乏数据完整性、可靠性和治理。
• AI 带来速度的同时也增加了风险，81%的组织明知会发布漏洞代码，33%的开发者希望在发布前不被发现漏洞，过去一年 98%的组织经历过漏洞代码导致的漏洞，且 4 次以上漏洞的组织比例上升。

关键信息：

• “邪恶双胞胎”SDLC 的特点：未知来源、不可靠、隐藏漏洞。
• 防止“邪恶双胞胎”SDLC 的方法：建立开发中 AI 的强大治理、加强供应链监督、测量和管理债务速度、培养可靠的 AI 使用文化、为遗留系统构建弹性。
• 遗留系统在“邪恶双胞胎”SDLC 中隐藏较好，需要手动与自动结合，按风险而非年龄进行分类，培养混合技能。

重要细节：

• 如 Checkmarx 的八月《应用安全未来报告》所揭示的相关数据和情况。
• 具体的治理措施如批准工具、执行来源标准、审计使用等。
• 供应链监督工具如 Dependabot、Renovate 及现代 SCA 的作用。
• 测量债务速度的方法如跟踪速度、设置 SLA 等。
• 培养文化的方面如培训、定义完成等。