闪存空间与设备性能:为何清理存储能提升响应速度?
2026/5/13 6:20:07
ZDNET的关键要点
持续部署让旧安全模型过时,漏洞积压令开发团队不堪重负,应用程序安全需向代码创建阶段转移。锻炼时在跑步机上反复踏步,付出努力却原地不动,毫无成就感,第二天再重复就更觉沮丧。应用程序安全也类似,编码完成后,安全团队或客户会发现漏洞,扫描工具的报告没完没了。开发人员要停下新开发工作,重新熟悉代码,定位并修复漏洞、发布补丁。77%的IT经理称其AI代理失控,有5种控制方法。和在跑步机上一样,新代码、新依赖项和新漏洞出现,“查找 - 修复”循环就会重启。这一令人沮丧的过程常被称作“查找 - 修复”循环。安全和质量保证团队用漏洞扫描器和渗透测试,发现问题后,开发人员按漏洞报告设置分类队列,还会安排修复冲刺。“查找 - 修复”更像是对已发布代码的被动反应,人们希望在软件发布造成危害或客户要求可靠代码前,修复安全漏洞,但有些旧代码深处的安全漏洞难以修复,代码修改叠加在有隐患的基础上,找根本原因会引发更多问题。此外,询问了5位数据领域领导者,了解他们用AI实现自动化及终结集成噩梦的方法。这时,“防御 - 推迟”做法登场。程序员和安全团队不修复易受攻击的代码,而是设置防护墙,如防火墙、运行时保护等,可减少风险暴露,但底层应用程序弱点仍未解决。问题是,“查找 - 修复”和“防御 - 推迟”不会消失,意外情况总会发生,AI时代这种可能性更大。近半数网络安全专家想辞职,原因在此。这两种做法已不够,软件开发速度加快,尤其是开发人员用AI辅助快速推出新版本和新功能时。
发布更快,修复更慢
过去软件定期发布更新和新版本,重大版本一年一次,更新每季度一次。现在有了CI/CD(持续集成/持续部署),关键在“持续”。每次调整、冲刺、漏洞修复、依赖项更新等都可能引发安全问题,速度之快让传统安全团队来不及审查。4个关键的AI漏洞被利用的速度比防御者反应速度还快。这还没考虑漏洞修复。安全团队审查代码时,会发现成百上千问题,问题发现速度比开发人员修复速度快。多数修复工作让开发人员无法专注创新和新代码开发,导致上下文切换,影响生产力。所以多数软件有未解决问题和漏洞队列,需定期排序、处理。据Edgescan数据,网络问题平均54天修复,Web应用程序近75天。45%的大公司漏洞一年后仍未修复。软件会给用户带来问题,漏洞会被攻击者利用,已知未修补漏洞信息会被出售。最大的AI威胁来自内部,有12种保护组织的方法。威瑞森2025年数据泄露事件报告显示,20%的威胁行为者通过代码漏洞进入系统,比上一年增加34%,另外两种主要入侵方式是凭证滥用(22%)和网络钓鱼攻击(16%)。修补漏洞本可阻止20%的入侵攻击,但并不容易。VulnCheck报告称,32.1%的已知被利用漏洞在通用漏洞披露(CVE)发布当天或之前就有被利用证据,高于2024年的23.6%。即供应商还没发现漏洞,坏人就已利用。CVE是通知和跟踪已知漏洞解决情况的机制,VulnCheck数据表明,近三分之一漏洞在开发人员发现前就被坏人利用。
我们不能只是加快修补速度
不能仅要求开发人员提高修补代码速度或效率,除人类程序员生理极限和AI的实际限制外,还有实际问题。企业系统有依赖项、正常运行时间要求等,小系统可能依赖无法控制的组件。比如,某天早上5个旧网站无法运行,托管运营商更改软件版本致自定义代码出错,在OpenAI Codex帮助下花几天才修复。还有优先级排序疲劳问题,每个漏洞都被视为关键问题时,就没有真正重要的问题,会让人应接不暇。AI会让网络安全过时吗,还是硅谷故弄玄虚?即使是AI驱动的漏洞扫描也无法解决问题,如Anthropic Mythos等工具不能解决根本问题。扫描结果仪表盘会给人掌控局面的错觉,但底层工程实践仍产生相同缺陷。IT运维人员会用网络或应用程序防火墙等工具采取“防御 - 推迟”方法,这些“补偿控制”必要但可能成为修复根本问题的替代品,很危险,因为围绕薄弱软件的安全工具不能解决代码薄弱问题。事后修补不安全且成本高,编写原始代码时防御性编码并修复更省时省力。
现代开发改变了风险格局
很难确定“现代开发”实践的起始时间,从磁盘发布更新转向构建云服务时,开发周期改变,近几年AI辅助开发成为变革力量,实践再次改变。现在的软件开发方法与“查找 - 修复”盛行时不同,应用程序风险贯穿软件生命周期。企业AI代理可能成为终极内部威胁。AI改变了发布时间表,加快进度、缩短周期,但可能扩大代码创建和安全审查的差距。代码创建时间缩短、产出量增加,但测试时间未相应减少。在Claude Code上开发Mac应用,编写代码只需20分钟,但测试需几小时,编码时间可忽略不计,测试时间占开发时间大部分,没有AI辅助可能无法完成项目。还有7种用AI编码快速交付产品的技巧。关键是,AI生成的代码不一定安全。Snyk报告称,56.4%的开发人员常在AI生成代码中遇到安全问题,80%的开发人员忽略或绕过组织的AI代码安全政策。
改变应用程序安全的起点
本文探讨了软件生产加速但安全是下游问题的情况,就像跑步机加速,代码增多问题也增多,问题发现速度比修复速度快。要明确,“查找 - 修复”和“防御 - 推迟”做法不会完全摒弃,意外情况总会发生,仍需扫描、修补、监控和运行时防御,但应作为第二层安全网。可在评论中分享组织中漏洞积压是可控过程还是无尽队列。
人工智能相关内容
- 尝试本地、开源且免费的Claude Code替代方案——了解其工作原理
- 立即从Windows 11中移除Copilot AI的方法
- AI自我毒害致模型崩溃——解决办法在此
- 识别AI生成图像的6个明显虚假迹象及常用免费检测工具