Uit het rapport ‘State of AI-Powered Software Development’ van Black Duck blijkt dat AI-codeertools bij grote bedrijven vrijwel altijd worden gebruikt. De adoptie zou momenteel zelfs 97 procent hebben bereikt. Toch heeft slechts een derde van de teams governance geïmplementeerd. De teams die hier hun huiswerk hebben gedaan op dit gebied, melden een hogere efficiëntie en, niet geheel verrassend, minder securityproblemen.
Om de resultaten wat de nuanceren: de ondervraagde ontwikkelaars werken allemaal bij organisaties met minstens 500 werknemers. De bedrijven in kwestie zijn meestal (78 procent) actief in de tech- en SaaS-sector, waarbij de respondenten vooral voortkomen uit C-level of het hogere management (52 procent).
Hoe dan ook, het lijkt erop dat AI-codeerassistenten nu vrijwel overal worden gebruikt bij de ontwikkeling van bedrijfssoftware, in ieder geval bij grote bedrijven. In het rapport zijn daar een aantal goede redenen voor te vinden. AI-tools besparen ontwikkelaars gemiddeld acht uur per week. Aan die productiviteit zit echter een addertje onder het gras. Negentig procent van de respondenten ondervindt een vorm van problemen met door AI gegenereerde code.
De knelpunten zijn verschoven van het schrijven van code naar het valideren ervan. Handmatige controle (52 procent), securitytests (51 procent) en het aanpassen van code (48 procent) stapelen zich allemaal op. Dat is een groeiende zorg. Het is ook niet dat AI-code zonder controle waarschijnlijk veilig is. Dat is al gebleken uit het feit dat bijna de helft van de door AI gegenereerde code kwetsbaarheden bevat.
De bezorgdheid over security neemt toe
Het securitybeeld is minstens net zo belangrijk als de algehele adoptie. Men kan zich gemakkelijk voorstellen dat AI-gedreven softwarefouten de komende jaren een kopzorg gaan blijven. 64 procent van de respondenten zei matig of zeer bezorgd te zijn over het feit dat door AI gegenereerde code kwetsbaarheden introduceert. Gevraagd naar de gewenste oplossingen, wil 56 procent een speciale agent om de AI-code weer te checken, logischerwijs los van de coderingstool zelf. En 84 procent van de respondenten geeft nog steeds de voorkeur aan menselijk toezicht, in het rapport omschreven als “een cruciale controle in de AI-ondersteunde SDLC”.
Ervan uitgaan dat AI AI kan beschermen, veronderstelt dat de technologie robuust genoeg is om de door zichzelf veroorzaakte problemen op te lossen. Dit is ook het geval als er verschillende LLM’s worden gebruikt; ze kennen allemaal dezelfde soort foutgevoeligheid. We zien wel dat de ondervraagden zich op zijn minst bewust zijn van het probleem; we zijn er alleen niet zeker van dat ze allemaal op korte termijn op weg zijn naar een permanente oplossing.
Governance is de onderscheidende factor
Ontwikkelaars hoeven niet op hun eigen mening te vertrouwen, of ze zouden in ieder geval enkele algemene best practices moeten hanteren om de nadelen van AI hier te bestrijden. Het grote probleem dat in het rapport wordt gesignaleerd, is dat governance-processen simpelweg geen gelijke tred hebben gehouden met de hoeveelheid code die wordt geproduceerd.
Slechts een derde van de teams heeft volledige governance over hun AI-codeertools. Of, nou ja, ze beweren dat ze die hebben. Andere statistieken pleiten overtuigend voor investeringen in dergelijke governance. Ontwikkelaars die zeggen dat hun teams volledige governance hebben, melden 55 procent vaker een aanzienlijke verbetering in efficiëntie. En 68 procent van alle respondenten zegt dat een geautomatiseerd systeem voor het volgen van de implementatie van door AI gegenereerde code uiterst belangrijk is.
Jason Schmitt, CEO van Black Duck, zegt: “AI-codeerassistenten hebben de economische aspecten van softwareontwikkeling voorgoed veranderd, en de productiviteitscijfers maken dat onmiskenbaar. Maar de gegevens laten ook duidelijk zien dat snelheid zonder governance een risico is, geen voordeel.”
Lees ook: De AI die duizenden kwetsbaarheden vond