全球应用安全巨头Checkmarx近日宣布推出更新版的Checkmarx One平台,旨在应对所谓“代理开发”(Agentic Development)模式的兴起。据行业媒体SD Times报道,这一举措标志着软件开发周期正从传统模式向由AI驱动的新模式转变。在新的开发范式下,安全不再是独立的检查步骤,而是贯穿整个开发流程的持续环节。
Checkmarx指出,传统的应用安全(AppSec)已难以跟上当今软件开发的节奏与规模。过去开发周期长达数月,而AI如今能在短时间内生成海量代码。这导致安全检测往往滞后,直到代码进入CI/CD流程时才被审查,此时风险已显著增加。公司强调,安全应前移至编码环境,在开发阶段即介入。若AI生成的代码未经验证便与现有遗留系统合并,漏洞将迅速蔓延,导致风险在代码流转过程中不断累积。
新版Checkmarx One平台专为管理这种动态环境而设计,它融合了AI驱动的安全技术与自主智能体架构。该平台利用智能体实时监控代码、依赖项、AI组件及运行环境,并在开发周期的多个关键节点设置检查点,确保风险能被尽早识别和处置。在美国等软件产业发达地区,随着生成式AI的普及,企业正面临开发效率与代码质量的双重挑战,这种“安全左移”的策略已成为行业共识。
在速度与安全的平衡上,Checkmarx管理层认为,AI加速了开发,也加速了漏洞的积累,唯有将安全提升至同等速度与规模才能填补这一鸿沟。平台引入了多项AI新功能:系统能根据上下文和实际利用可能性,自动判定漏洞优先级,而非仅依赖静态评分;开发者甚至在代码合并前就能获得自动生成的修复方案。此外,平台还强化了对AI供应链本身的安全管控,能够映射模型、数据集和提示词等组件,并检测其使用与执行风险,同时扩展了对AI生成编程语言的检测能力,弥补了传统工具的不足。
通过这一系列举措,Checkmarx旨在将安全模式从“被动响应”转向“以治理为核心”。通过在全流程中持续自动应用安全策略,企业有望在提升开发速度的同时不增加风险。新功能已率先在企业版中上线,并将分阶段推广至其他版本。对于中国软件企业而言,随着国内大模型应用的爆发,如何构建适配AI原生开发的安全体系,将是未来技术架构升级的关键课题。