ブラック・ダック・ソフトウェアは2024年11月27日、ソフトウェア・セキュリティに影響を与えるトレンド、課題、機会を分析した「世界のDevSecOpsの現状 2024」レポートを発表した。回答者の90%以上は、ソフトウェア開発プロセスにおいて何らかの形でAIを利用している。また、回答者の67%は、AIが生成したコードのセキュリティ確保に懸念を示している。
ブラック・ダック・ソフトウェアは、ソフトウェア・セキュリティに影響を与えるトレンド、課題、機会を分析したレポート「世界のDevSecOpsの現状 2024」を発表した。市場調査会社の英Censuswideの協力を得て、世界中のITプロフェッショナル1000人以上を対象に調査を実施している。
調査によると、回答者の90%以上は、ソフトウェア開発プロセスにおいて、何らかの形でAIを利用している。この結果は、「開発ライフサイクル全体を通して適切なセキュリティ対策を講じることの重要性を示している」(ブラック・ダック)という。
また、回答者の67%は、AIが生成したコードのセキュリティ確保に懸念を示している。「AIは、適切なセキュリティ対策を重視すれば恐れるべきものではない」(同社)。
調査では、教育、銀行/金融、ヘルスケア、メディア、保険、輸送、公益事業など各分野にわたる業界でAIの導入率が高く、セキュリティ対策の仕組みを整えることの重要性を裏付けている。リソースが限られている非営利団体においても、調査した組織の半数がAIを使っていた。また、組織の規模が大きいほど、ソフトウェア開発においてAIを大規模に導入している可能性が高いという。
主な調査項目の結果は以下のとおりである。
(1)AIが生成したコードの妥当性に対して十分な自信がない
85%の回答者は、AIが生成したコードが抱える、知的財産、著作権、ライセンスに関する課題に対処するため、少なくとも何らかの対策を講じている。しかし、コードを調べるポリシーとプロセスに「強い自信がある」と回答したのは24%しかいない。
(2)セキュリティと開発速度は引き続き対立
61%の回答者は、セキュリティテストによって、開発速度がある程度または大幅に低下していると報告している。
(3)テスト結果にノイズが含まれる
82%の組織は、6~20種類のセキュリティテストツールを使っている。テスト結果を効果的に統合・相関付けするのに苦労しており、本当の問題と誤検知の区別が困難になっている。
なお、米ブラック・ダック・ソフトウェア(Black Duck Software)は2024年10月1日、米シノプシス(Synopsys)のソフトウェアインテグリティグループから独立し、アプリケーションセキュリティ専業ベンダーとして事業を開始。同時に日本法人もブラック・ダック・ソフトウェア合同会社として始動している。
