computerwoche.de

Generative AI

JFrog-Umfrage

Security sticht Code-Generierung

25.03.2024
Von 
Paul Krill ist Redakteur unserer US-Schwesterpublikation InfoWorld.
Alle Posts des Autors
Wie eine aktuelle Untersuchung nahelegt, nutzen Unternehmen KI-gestützte Dev-Tools nicht in erster Linie, um Code zu generieren.
Generative KI, die Code schreibt? Eine aktuelle Studie will belegen, dass die Anwender diesbezüglich eher skeptisch bleiben.
Generative KI, die Code schreibt? Eine aktuelle Studie will belegen, dass die Anwender diesbezüglich eher skeptisch bleiben.
Foto: GaudiLab | shutterstock.com

In seinem Report "Software Supply Chain State of the Union 2024" (Download gegen Daten) stellt der Plattformanbieter JFrog fest, dass Tools auf KI- und ML-Basis im Bereich Softwareentwicklung in großem Umfang vor allem für Code-Scans und andere Security-Maßnahmen zum Einsatz kommen. Der Bericht kombiniert Nutzungsdaten der JFrog-Plattform mit CVE-Analysen des Anbieters und den Umfragedaten von rund 1.200 Technologieexperten aus aller Welt. Das Ziel: einen Einblick in die Software-Supply-Chain-Landschaft zu vermitteln. Dabei zeigt sich, dass:

  • 90 Prozent der Umfrageteilnehmer derzeit KI- und ML-basierte Tools in Zusammenhang mit der IT-Sicherheit einsetzen - etwa für Code-Sicherheitsscans.

  • Lediglich 32 Prozent der Befragten diese Tools nach eigenen Angaben dazu verwenden, Code zu schreiben.

KI-generierter Code - keine vertrauensbildende Maßnahme?

"Das deutet darauf hin, dass die Mehrheit der Anwender mit Blick auf die potenziellen Schwachstellen, die KI-generierter Code in Business Software einschleusen kann, skeptisch bleibt", schlussfolgern die Experten von JFrog. Weitere interessante Erkenntnisse der Untersuchung:

  • 47 Prozent der Befragten nutzen zwischen vier und neun App-Security-Lösungen - 33 Prozent sogar zehn oder mehr.

  • 40 Prozent der Umfrageteilnehmer geben an, dass sie in der Regel eine Woche oder länger auf die Genehmigung warten, neue Packages oder Bibliotheken verwenden zu dürfen.

  • Security-Teams wenden rund 25 Prozent ihrer Zeit dafür auf, Schwachstellen zu beheben.

  • 49 Prozent der von JFrog analysierten CVEs wiesen Potenzial für einen DoS-Angriff auf - 19 Prozent für (in der Regel deutlich schädlichere) Remote Code Execution.

  • 53 Prozent der Befragten verwenden zwischen vier und neun Programmiersprachen - 31 Prozent mehr als zehn.

(fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Infoworld.