Які основні причини випуску небезпечного коду розробниками?

Основні причини включають віру в те, що існуючі засоби контролю зможуть нівелювати ризики, сподівання на те, що вразливість не буде виявлена зовнішніми сторонами (30%), а також необхідність дотримання дедлайнів бізнесу, функціональних вимог або графіків релізу (27%).

Код • Редакція PROEVERYTHING • 2026-06-13 11:15 • Читати оригінал на Devops • 2 хв читання • 0

Ризики безпеки при використанні AI-коду у DevSecOps

Глобальне дослідження ринку безпеки програмного забезпечення виявило критичний стан DevSecOps-процесів у добу масового впровадження штучного інтелекту. Понад 96% організацій уже інтегрували AI-інструменти у свої робочі процеси, проте майже половина коду (49%) у продуктових середовищах у 2025 році є згенерованою нейромережами. Парадоксально, але попри високу автоматизацію, фахівці фіксують зростання кількості вразливостей, а майже кожен третій розробник визнає значне збільшення кількості безпекових проблем у своїх проєктах.

Головне

49% коду у продуктових середовищах у 2025 році є згенерованим нейромережами
93% організацій визнали витоки даних або інциденти безпеки наслідком використання вразливих додатків власної розробки
лише 9% компаній повідомляють про виправлення понад 90% вразливостей протягом 90 днів

#AI #DevSecOps #кібербезпека #програмне забезпечення #розробка

Ризики безпеки при використанні AI-коду у DevSecOps — ілюстрація до новини в рубриці «Код» · Джерело зображення: Devops

За даними Devops, результати опитування 2350 розробників, CISO та менеджерів з безпеки додатків демонструють тривожну тенденцію: швидке масштабування AI-технологій не супроводжується відповідним зміцненням протоколів безпеки. Хоча інтеграція інструментів штучного інтелекту стала стандартом для 96% респондентів, фактичне використання згенерованого коду в продакшні сягнуло 49%. Це створює нові виклики для модерації та перевірки якості програмних продуктів у реальному часі.

Зростання технічного боргу та безпекових ризиків

Аналіз свідчить, що розробники витрачають у середньому 49% свого робочого часу на вирішення проблем безпеки. При цьому лише 18% фахівців використовують постійне сканування коду під час його написання. Більш тривожним є те, що 93% організацій визнали факт витоку даних або інцидентів безпеки як прямий наслідок використання вразливих додатків, розроблених власною командою. При цьому 75% респондентів відкрито зізналися, що іноді або часто деплоять код із відомими вразливостями.

Основні причини випуску небезпечного коду включають:

Віру в те, що існуючі засоби контролю зможуть нівелювати ризики;
Сподівання на те, що вразливість не буде виявлена зовнішніми сторонами (30%);
Необхідність дотримання дедлайнів бізнесу, функціональних вимог або графіків релізу (27%).

Проблеми масштабування та вплив AI на кібербезпеку

Ситуація ускладнюється тим, що відкрите програмне забезпечення становить у середньому 59% коду в продуктових середовищах, значна частина якого містить критичні помилки. Jonathan Rende, chief product officer для Checkmarx, зазначає: «Опитування чітко показує, що надто багато організацій не забезпечують суворе дотримання найкращих практик DevSecOps. Через постійний акцент на швидкому створенні нових функцій багато команд розробки фактично підставляються під невдачу». Він також додає, що з розвитком передових моделей AI стає простіше як знаходити вразливості, так і створювати шкідливе ПЗ для їх експлуатації.

Статистика підтверджує системний характер проблеми: лише 9% компаній повідомляють про виправлення понад 90% вразливостей протягом 90 днів. Більше чверті респондентів (28%) не можуть усунути навіть половину знайдених проблем за цей термін. Хоча 73% організацій оцінюють свій стан безпеки як високий або просунутий, майже половина з тих, хто відзначив високу зрілість процесів, зіткнулися з трьома або більше інцидентами безпеки протягом останніх 12 місяців. Це свідчить про те, що технічний борг у сфері безпеки накопичується швидше, ніж будь-хто очікував.

Отже, інтеграція AI без супровідної трансформації культури DevSecOps призводить до експоненціального зростання ризиків для бізнесу.

Контекст для України

Для українського ІТ-сектору цей звіт є актуальним сигналом щодо необхідності перегляду стандартів якості коду. Оскільки багато українських розробників працюють над продуктами для глобальних ринків, ігнорування вразливостей у AI-генерованому коді може призвести до втрати репутації та юридичних проблем з міжнародними клієнтами. На платформі DOU часто обговорюється баланс між швидкістю розробки та безпекою; дані дослідження підтверджують, що українським командам варто впроваджувати автоматизоване сканування саме на етапі написання коду (Shift Left), а не після деплою.

Часті запитання

Які основні причини випуску небезпечного коду розробниками?: Основні причини включають віру в те, що існуючі засоби контролю зможуть нівелювати ризики, сподівання на те, що вразливість не буде виявлена зовнішніми сторонами (30%), а також необхідність дотримання дедлайнів бізнесу, функціональних вимог або графіків релізу (27%).
Як використання AI впливає на кібербезпеку згідно з дослідженням?: Швидке масштабування AI-технологій не супроводжується зміцненням протоколів безпеки. З розвитком передових моделей AI стає простіше як знаходити вразливості, так і створювати шкідливе ПЗ для їх експлуатації, що призводить до експоненціального зростання ризиків для бізнесу.

Свіжі новини у нашому Telegram

Отримуйте миттєві сповіщення про нові публікації в рубриці «Код»

@procodeandevenmore