最近想看一下 AI 工具预测 DevSecOps 发展趋势的结果是什么,于是选择了 Deepseek、ChatGPT、Gemini 三款产品,使用了如下提示词:

1

假设您是一位在 DevSecOps 领域工作了10年的资深工程师,而且对于软件安全研发有很深的认知和实践,之前每年您都会做一个下一年的 DevSecOps 10大趋势预测。那请您预测一下 2025年的 10 大 DevSecOps 趋势!

下面来看一下不同 AI 工具的预测结果。

Deepseek

  1. AI驱动的威胁建模与漏洞修复(AI for Threat Intelligence)
  • 预测:AI将深度集成到DevSecOps工具链,自动生成威胁模型并推荐修复方案。例如,结合LLM(大语言模型)分析代码上下文,生成针对性修复建议。
  • 驱动因素:GitHub Copilot等AI工具的安全增强版将普及,解决传统静态扫描工具误报率高的问题。
  1. 软件供应链安全的强制合规(Software Supply Chain Hardening)
  • 预测:SBOM(软件物料清单)标准化(如SPDX、CycloneDX)成为法规强制要求,企业需证明开源组件全链路可追溯。
  • 落地场景:CI/CD流水线集成Sigstore、Cosign等签名工具,实现从代码到镜像的“不可篡改证明”。
  1. 云原生运行时保护的智能化(CNAPP 2.0)
  • 预测:云原生应用保护平台(CNAPP)将融合Kubernetes行为分析与AI异常检测,实时拦截零日攻击。
  • 关键技术:eBPF技术用于低开销的运行时安全监控,替代传统Agent模式。**
  1. 开发者原生安全(Developer-First Security)
  • 预测:安全工具进一步“左移”至IDE,开发者通过VS Code插件直接修复漏洞,避免上下文切换。
  • 案例:Snyk、Semgrep等工具深度集成IDE,提供“一键修复”建议。
  1. 策略即代码的标准化(Policy-as-Code Unification)
  • 预测:Open Policy Agent(OPA)成为策略定义的事实标准,覆盖基础设施、API、数据访问的全局治理。
  • 扩展场景:跨云、边缘计算场景的统一策略执行,避免碎片化配置。
  1. 隐私工程自动化(Privacy Engineering Automation)
  • 预测:GDPR、CCPA等合规要求推动隐私设计(Privacy by Design)工具链成熟,自动识别PII数据流并生成合规报告。
  • 工具演进:数据分类工具(如TruffleHog)与隐私合规引擎(OneTrust)深度集成。
  1. 攻击面管理的实时化(ASM+EASM融合)
  • 预测:攻击面管理(ASM)与外部攻击面管理(EASM)工具融合,结合漏洞情报实现动态风险评分。
  • 落地价值:企业可通过工具(如CrowdStrike Falcon Surface)实时监控暴露在公网的API、云存储桶等资产。
  1. 低代码/无代码平台的安全治理(Low-Code Security)
  • 预测:随着低代码平台(如OutSystems、Mendix)的普及,企业需建立针对低代码组件的安全审查流程。
  • 挑战:传统SAST/DAST工具难以适配低代码生成的“黑盒”应用,需新型检测技术。
  1. 后量子密码学迁移加速(Post-Quantum Cryptography)
  • 预测:NIST后量子密码标准(如CRYSTALS-Kyber)进入落地阶段,企业启动加密算法迁移规划。
  • 影响范围:TLS证书、代码签名、KMS系统需全面升级,传统RSA/ECC算法逐步淘汰。
  1. 安全团队的重构(Security-as-Enabler Culture)
  • 预测:安全团队从“审计者”转型为“赋能者”,通过内部安全平台(如Backstage集成安全模块)提供服务。
  • 组织变革:安全工程师嵌入产品团队的比例提升,考核指标从“漏洞数量”转向“修复效率”和“风险降级”。

ChatGPT(o1-mini)

  1. 自动化安全测试的普及:随着CI/CD管道的成熟,自动化安全测试工具将成为标准配置,帮助团队在开发过程中早期发现并修复安全漏洞。
  2. AI和机器学习在安全中的应用:AI和机器学习将更深入地融入安全领域,用于识别异常行为、预测潜在威胁以及自动化应对措施。
  3. 基础设施即代码(IaC)安全性增强:随着IaC的广泛应用,围绕IaC的安全工具和最佳实践将得到更多关注,以确保基础设施配置的安全性。
  4. 供应链安全的加强:在SolarWinds等事件的影响下,软件供应链的安全性将继续成为焦点。更多企业将投资于保护其软件供应链的完整性。
  5. 零信任架构的普及:零信任的理念将更加深入地融入到DevSecOps流程中,确保每个组件和操作都经过验证和授权。
  6. 微服务和容器安全的提升:随着微服务和容器化应用的普及,针对这些环境的专门安全措施和工具将不断发展。
  7. 安全文化的全面融入:企业将更加重视安全文化的建设,以确保安全理念深入每个开发人员和运维工程师的日常工作中。
  8. 隐私和合规性的自动化管理:随着数据隐私法规的复杂性增加,自动化工具将被广泛采用以确保持续合规性。
  9. 跨团队协作的增强:DevSecOps的成功依赖于开发、运营和安全团队的紧密合作,更多的工具和流程将被引入以促进这种协作。
  10. 云原生安全策略的强化:云原生应用的安全性将成为重点,企业将采用专门的策略和工具来保护其云环境。

Gemini 2.0

  1. AI 驱动的安全自动化

人工智能(AI)和机器学习(ML)将在 DevSecOps 中发挥越来越重要的作用。AI 驱动的工具将能够自动执行安全测试、漏洞扫描和威胁检测,从而提高效率并减少人为错误。

  1. 软件供应链安全

随着软件供应链攻击的增加,企业将更加重视软件供应链安全。DevSecOps 将关注确保第三方组件和开源软件的安全性,并实施更严格的供应链安全措施。

  1. 云原生安全

云原生应用程序的普及将推动云原生安全的发展。DevSecOps 将与云平台紧密集成,以确保云原生应用程序在整个生命周期中的安全性。

  1. 零信任安全

零信任安全模型将成为主流。DevSecOps 将实施零信任原则,确保每个用户和设备都经过身份验证和授权,无论其位置如何。

  1. 自动化安全编排

随着安全工具和流程的复杂性增加,自动化安全编排将变得至关重要。DevSecOps 将使用编排工具来自动化安全任务,并确保安全流程的一致性和可重复性。

  1. 开发者安全培训

开发人员的安全意识和技能将受到更多关注。DevSecOps 将提供更多的安全培训和教育,以帮助开发人员编写更安全的代码。

  1. 威胁情报

威胁情报将成为 DevSecOps 的关键组成部分。企业将利用威胁情报来了解最新的安全威胁,并及时采取措施来应对这些威胁。

  1. 持续安全验证

持续安全验证将成为标准实践。DevSecOps 将实施持续安全测试和监控,以确保应用程序和基础设施的安全性。

  1. 安全左移

安全左移将继续是 DevSecOps 的核心原则。企业将尽早将安全纳入软件开发生命周期,以减少漏洞和安全风险。

  1. DevSecOps 平台

集成化的 DevSecOps 平台将出现,以简化安全工具和流程的管理。这些平台将提供全面的安全功能,并与开发工具和流程无缝集成。

可以看出,三款工具给出的结果不尽相同,但是都提到了以下几个关键字:

  • AI 赋能安全
  • 软件供应链安全
  • 云原生安全

关于软件供应链和云原生安全,过去几年其实讲的非常多,有很多专业的工具来帮助进行落地时间。而 AI 对安全的赋能也不是新思路,之前就有,甚至有人提出过 AISecOps 的概念。但是彼时的 AI 和现在的 AI 不是同一个层级的,用 AI 赋能安全估计也会按照生成式 AI 的方式进行,这一部分还是很值得期待的。我相信,生成式 AI 能够在代码漏洞挖掘、漏洞解决上给予开发者很大的帮助,能够在很大程度上降低漏洞修复的门槛,让一直提的安全左移真正落地实现。

这几个 AI 工具到底哪个说得更准确,年底回头再来看以下!