AI đang được tích hợp ngày càng sâu vào quy trình phát triển phần mềm. Công nghệ này mang lại năng suất vượt trội, hỗ trợ tự động hóa và cải thiện chất lượng sản phẩm. Tuy nhiên, cùng với lợi ích, AI cũng đưa vào hệ thống nhiều rủi ro bảo mật mới mà doanh nghiệp cần đánh giá và kiểm soát chặt chẽ.
Báo cáo mới nhất của Black Duck mang tên “Balancing AI Usage and Risk in 2025 – The Global State of DevSecOps” cung cấp góc nhìn toàn diện về thực trạng sử dụng AI trong lĩnh vực phát triển phần mềm và cách các doanh nghiệp trên thế giới đang điều chỉnh chiến lược DevSecOps để đảm bảo an toàn.
Những điểm chính từ báo cáo của Black Duck
Báo cáo nhấn mạnh rằng việc ứng dụng AI trong phát triển phần mềm đang diễn ra nhanh chóng, nhưng mức độ sẵn sàng về bảo mật của doanh nghiệp vẫn chưa theo kịp. Một số vấn đề nổi bật gồm:
• mô hình AI có thể vô tình đưa mã độc hại hoặc mã vi phạm bản quyền vào dự án
• dữ liệu đầu vào của AI có thể chứa thông tin nhạy cảm và bị khai thác
• thiếu quy trình kiểm soát và đánh giá rủi ro khi sử dụng công cụ AI
• đội ngũ phát triển thường phụ thuộc vào AI nhưng không được hướng dẫn về bảo mật
• nhu cầu tích hợp DevSecOps trở nên quan trọng hơn bao giờ hết
Báo cáo chỉ ra rằng các doanh nghiệp tiên phong đang triển khai quy trình kết hợp giữa tự động hóa, kiểm soát mã nguồn mở và đánh giá bảo mật liên tục để giảm thiểu rủi ro khi ứng dụng AI.
AI mang lại lợi ích nhưng cũng tạo ra thách thức mới
AI giúp nâng cao tốc độ phát triển phần mềm, hỗ trợ kiểm thử, phân tích lỗ hổng và tự động hóa nhiều thao tác lập trình. Tuy nhiên, nếu không có biện pháp bảo vệ phù hợp, doanh nghiệp có thể gặp rủi ro như:
• Rò rỉ dữ liệu khi AI xử lý thông tin nhạy cảm
• Sinh mã không an toàn, chứa lỗ hổng dễ khai thác
• Sử dụng thư viện mã nguồn mở không đạt chuẩn bảo mật
• Mở ra bề mặt tấn công mới từ chuỗi cung ứng phần mềm
Các tổ chức đang chuyển hướng sang mô hình DevSecOps để tích hợp bảo mật vào toàn bộ vòng đời phát triển, từ lập kế hoạch, viết mã, kiểm thử đến triển khai. DevSecOps giúp doanh nghiệp:
• Đảm bảo mã do AI gợi ý hoặc tạo ra luôn được kiểm tra bảo mật
• Tự động hóa quy trình phát hiện và khắc phục lỗ hổng
• Quản lý rủi ro từ mã nguồn mở bằng cách sử dụng công cụ phân tích thành phần phần mềm (SCA)
• Xây dựng chính sách rõ ràng khi áp dụng các công cụ AI trong phát triển phần mềm
• Duy trì tính minh bạch và kiểm soát trong toàn bộ chuỗi cung ứng phần mềm
Đây là lý do Black Duck tiếp tục là một trong những giải pháp hàng đầu được lựa chọn trong chiến lược DevSecOps toàn diện.
ASIC Cybersecurity cung cấp dịch vụ tư vấn và triển khai các giải pháp DevSecOps của Black Duck tại Việt Nam. Với đội ngũ kỹ sư chuyên môn cao và kinh nghiệm triển khai thực tế, ASIC giúp doanh nghiệp:
• Đánh giá rủi ro trong quá trình sử dụng AI
• Xây dựng quy trình DevSecOps phù hợp với nhu cầu nội bộ
• Tích hợp công cụ SCA và kiểm thử bảo mật vào quy trình phát triển
• Tăng cường khả năng bảo vệ chuỗi cung ứng phần mềm
Doanh nghiệp có thể liên hệ ASIC Cybersecurity để nhận bản báo cáo Black Duck cùng tư vấn chi tiết về giải pháp DevSecOps và chiến lược ứng dụng AI an toàn.
