Skip to main content

Relatório de prontidão organizacional para IA da Snyk

Uma pesquisa entre os membros das equipes de tecnologia constatou que a maioria acreditava na prontidão das organizações para ferramentas de codificação baseadas em IA, mas se preocupava com a introdução de riscos de segurança por essas ferramentas. As organizações não adotavam etapas básicas de preparação, como realizar uma prova de conceito ou treinar os desenvolvedores. Os participantes expostos diretamente a ferramentas de codificação baseadas em IA e código gerado por IA nos fluxos de trabalho demonstraram maior preocupação com a qualidade e os riscos do código gerado por IA.

Introdução

Segundo o Relatório de segurança de código gerado por IA – 2023 da Snyk, 96% dos codificadores usam ferramentas de IA generativa nos fluxos de trabalho. As organizações que desenvolvem software entendem que precisam adotar essas ferramentas para acompanhar a concorrência e atrair e reter talentos. A introdução de ferramentas de codificação baseadas em IA no ciclo de vida do desenvolvimento de software apresenta vários desafios operacionais e de segurança. Qual o nível de prontidão dos líderes e equipes de tecnologia para a nova era das ferramentas de codificação baseadas em IA? E como estão se preparando para essa mudança significativa no desenvolvimento de software? 

A Snyk fez a mais de 400 especialistas em tecnologia uma série de perguntas criadas para medir a prontidão para IA das organizações e para avaliar as percepções sobre as ferramentas de codificação baseadas em IA. A pesquisa englobou três grupos: executivos de tecnologia, equipes de segurança de aplicativos e desenvolvedores/engenheiros. Esses grupos manifestaram opiniões distintas sobre a segurança das ferramentas de codificação baseadas em IA e do código gerado por essas ferramentas, a eficácia das políticas de segurança de código gerado por IA e a prontidão das organizações para a codificação baseada em IA. Neste relatório, destacamos as constatações mais notáveis da pesquisa.

Parte 1

As organizações e, principalmente, suas lideranças estão confiantes na prontidão para IA

No geral, as organizações se sentem confiantes de que estão prontas e preparadas para adotar a IA. Em resposta a perguntas que questionam de forma direta ou indireta a prontidão para IA, a maioria das organizações está se movimentando rapidamente para adotar a IA a ponto de abreviar a análise de casos de uso e o teste de produtos padrão antes da implantação. Por sua vez, os executivos participantes têm mais certeza da preparação de suas organizações para adotar IA e da segurança de suas ferramentas de IA.

Executivos estão mais confiantes de que suas organizações estão prontas para ferramentas de codificação baseadas em IA

Qual o nível de prontidão da sua organização para as ferramentas de codificação baseadas em IA?

CTO/CISO

AppSec/Sec

Dev/Eng

50%

40%

30%

20%

10%

0%

0%

10%

20%

30%

40%

50%

Extremamente pronta

Muito pronta

Pronta

Parcialmente pronta

Não está pronta

Prontidão excelente para IA? CISOs e CTOs 2 vezes mais confiantes que desenvolvedores

Em todos os três tipos de função, a maioria dos participantes afirmou que sua organização estava “extremamente pronta” ou “muito pronta” para a adoção de ferramentas de codificação baseadas em IA. Menos de 4% disseram que suas organizações não estavam prontas. No entanto, os executivos participantes têm mais confiança do que os demais grupos na preparação e prontidão de suas organizações para a implantação e adoção de ferramentas de codificação baseadas em IA. Nesse grupo, 40,3% classificaram sua organização como “extremamente pronta” em comparação com apenas 26% dos membros de equipes de AppSec e 22,4% dos desenvolvedores. Não houve diferença significativa entre CISOs e CTOs, o que parece um contrassenso, dado o foco dos CISOs em segurança e risco. O motivo pode ser a intensa pressão sobre a liderança de tecnologia para lançar rapidamente ferramentas de codificação baseadas em IA e acelerar os processos de desenvolvimento de software. Provavelmente, a relutância dos outros grupos reflete preocupações práticas sobre questões específicas de prontidão relacionadas a segurança, treinamento, qualidade do código e outros detalhes de implementação.

CTOs e CISOs são os maiores defensores da adoção de ferramentas de codificação baseadas em IA o mais rápido possível

Entre os executivos participantes, 32,5% acreditam que a rápida adoção de ferramentas de codificação baseadas em IA é “crucial”. Isso significa que eles são quase duas vezes mais propensos a considerar a adoção urgente em comparação com os participantes de AppSec. Os desenvolvedores demonstraram mais entusiasmo que os participantes de AppSec, mas ainda assim ficaram abaixo dos executivos. É provável que essa intensidade reflita fortes demandas do conselho de administração e dos CEOs para que os CTOs agilizem a adoção da IA.

Para a sua organização, qual a importância da adoção de ferramentas de codificação baseadas em IA no menor tempo possível?

CTO/CISO

AppSec/Sec

Dev/Eng

40%

30%

20%

10%

0%

0%

10%

20%

30%

40%

Extremamente importante

Maioria dos participantes acredita na qualidade das políticas de segurança das ferramentas de codificação baseadas em IA

Em todos os três grupos de resposta, a maioria dos participantes, incluindo mais de dois terços dos executivos e desenvolvedores participantes, considerou adequadas as políticas de ferramentas de codificação baseadas em IA de sua organização. Apenas uma pequena porcentagem considerou as políticas excessivamente restritivas. No entanto, uma porcentagem muito maior de profissionais de segurança considerou as políticas insuficientes, indicando que os participantes de AppSec e segurança ainda percebem riscos nas práticas de segurança de código gerado por IA em suas organizações.

Como você descreve as políticas de segurança da sua organização para ferramentas de codificação baseadas em IA?

CTO/CISO

AppSec/Sec

Dev/Eng

80%

60%

40%

20%

0%

0%

20%

40%

60%

80%

Insuficientes

Adequadas

Excessivas

Para 63,3%, a segurança do código gerado por IA é alta

Cerca de dois terços dos participantes classificaram a segurança do código gerado por IA como “excelente” ou “boa”. Somente 5,9% atribuíram a classificação “ruim”. O sentimento em relação ao código gerado por IA é positivo em toda a amostra, revelando sentimentos positivos sobre as políticas que controlam o uso e a adoção de ferramentas de codificação baseadas em IA.

Como você avalia a segurança do código gerado por IA?

Ruim

5%

OK

30%

Boa

44%

Excelente

19%

Parte 2

Organizações temem pela segurança da codificação baseada em IA, mas não se preparam adequadamente

Apesar das respostas fortemente positivas sobre prontidão organizacional, políticas de segurança, qualidade do código gerado por IA e risco, os participantes ainda citam a segurança como a maior barreira para a adoção de ferramentas de codificação baseadas em IA. Em uma aparente contradição a esse sentimento, as organizações também falham na tomada de medidas básicas de redução de risco e preparação, como realizar PoCs e treinar desenvolvedores em ferramentas de codificação baseadas em IA.

Receios sobre a segurança continuam sendo as maiores barreiras para as ferramentas de codificação baseadas em IA

Cerca de 58% entre os três tipos de participantes concordaram que os receios sobre a segurança são a maior preocupação de suas organizações sobre a adoção de ferramentas de codificação baseadas em IA. Por outro lado, menos da metade dos participantes considerou a falta de adesão executiva como uma barreira. Essa constatação é coerente com os pontos de vista gerais dos profissionais de AppSec e, em menor grau, dos desenvolvedores. Ainda assim, se opõe à visão geralmente positiva das ferramentas de codificação baseadas em IA e da prontidão para essas ferramentas demonstrada pela maioria dos participantes.

Quais as barreiras enfrentadas pela sua organização na adoção de ferramentas de codificação baseadas em IA?

CTO/CISO

AppSec/Sec

Dev/Eng

60%

40%

20%

0%

0%

20%

40%

60%

Falta de adoção executiva

Receios sobre a segurança

Baixa adoção pelos desenvolvedores

Falta de preparação e treinamento

Menos de 20% das organizações realizaram PoCs de ferramentas de IA

O processo padrão de introdução de novas tecnologias e ferramentas em uma organização é realizar uma análise de funcionalidades e custos e depois fazer um exercício de “prova de conceito” com uma pequena parcela da equipe. Foi assim que a equipe de engenharia de plataforma do Pinterest abordou a adoção de ferramentas de codificação baseadas em IA. Nossa pesquisa constatou que menos de 20% das organizações realizaram PoCs durante as etapas de preparação para adotar ferramentas de codificação baseadas em IA. Entre todas as etapas de preparação, as PoCs foram de longe as menos utilizadas. As organizações eram aproximadamente um terço menos propensas a usar um PoC em comparação com outros métodos. 

Possivelmente, os PoCs eram considerados supérfluos pelas organizações. Além disso, essa constatação se aplicou igualmente a participantes de AppSec, CTO/CISO e Dev/Eng. A maioria dos participantes indicou que sua organização adicionou mais ferramentas e verificações de segurança como preparação para as ferramentas de codificação baseadas em IA, mas mais de um terço das organizações não tomou essa precaução. Isso significa que elas se sentiram suficientemente seguras com suas práticas de desenvolvimento de software existentes para cobrir todos os novos desafios trazidos pela IA ou que as ferramentas de codificação baseadas em IA não necessariamente adicionam riscos ao ciclo de vida do desenvolvimento de software.

Quais as etapas de preparação realizadas pela sua organização antes de adotar ferramentas de codificação baseadas em IA?

CTO/CISO

AppSec/Sec

Dev/Eng

80%

60%

40%

20%

0%

0%

20%

40%

60%

80%

PoC

Revisão de segurança

Treinamento em ferramentas de IA

Criação de políticas e procedimentos de IA

Adicionar verificações, ferramentas e revisões de segurança de código

Nenhuma das opções anteriores

Apenas 44,8% das organizações treinaram a maioria dos desenvolvedores em ferramentas de codificação baseadas em IA

O treinamento adequado é essencial para a adoção de qualquer nova tecnologia que possa introduzir riscos de segurança consideráveis. No entanto, uma parcela consideravelmente inferior à metade de todos os participantes afirmou que suas organizações treinaram a maioria dos desenvolvedores em ferramentas de codificação baseadas em IA. Isso pode refletir a facilidade de uso das ferramentas ou que muitas dessas ferramentas já trazem a verificação de segurança como parte do fluxo de trabalho. Dito isso, as ferramentas de codificação não oferecem treinamento sobre como os usuários podem detectar os erros cometidos por elas, embora esses erros de segurança sejam comuns e bem documentados.

Porcentagem de desenvolvedores treinados em ferramentas de codificação baseadas em IA

0% a 25%

20%

26% a 50%

34%

51% a 75%

30%

76% a 100%

14%

Parte 3

Quem trabalha mais diretamente com o código tem mais dúvidas sobre questões de segurança

As equipes de AppSec tendem a ter uma visão mais negativa dos riscos de segurança da IA e de como são tratados pelas suas organizações. Isso inclui uma opinião mais desfavorável sobre a segurança do código gerado por IA, uma maior percepção de riscos nas ferramentas de IA e uma visão mais negativa da suficiência das políticas de segurança de IA das organizações.

Equipe de AppSec é 3 vezes mais propensa de avaliar a segurança do código gerado por IA como “ruim”

Embora representem uma pequena porcentagem do total de respostas, os profissionais de AppSec e segurança foram 3 vezes mais propensos do que os executivos participantes e significativamente mais propensos do que os desenvolvedores a afirmar que o código gerado por IA era “ruim”.  Essa divergência implica que os responsáveis por corrigir e proteger o código podem estar mais alertas para as falhas das ferramentas de IA do que os desenvolvedores, que nem sempre percebem as vulnerabilidades e erros do código, e os executivos, que não costumam ter contato com o código. No extremo oposto, CTOs e CISOs foram consideravelmente mais propensos do que os desenvolvedores que trabalham diariamente com código gerado por IA a acreditar que a qualidade do código gerado é “excelente”. Provavelmente, isso indica que os desenvolvedores são mais realistas sobre a qualidade real do código gerado por IA e estão mais expostos às falhas e aos problemas que são comuns nesse código, conforme constatações da própria Snyk e pesquisas acadêmicas.

Essas constatações levantam várias questões. Primeiro, as organizações subestimam em grande medida o risco das ferramentas de codificação baseadas em IA? Na média, participantes de todas as funções atribuíram notas altas à qualidade do código gerado por IA. Isso apesar de diversos artigos de pesquisa acadêmica determinarem que o código gerado por IA introduz consistentemente riscos de segurança e exige revisões adicionais de código e correções. (Assista a este webinar da Snyk para um ver um exploit em uma sessão ao vivo de hacking de código gerado por IA). Segundo, se CTOs e CISOs superestimam a qualidade do código gerado por IA, qual é o motivo? Eles recebem informações inexatas ou têm pouco contato direto com os que trabalham com as ferramentas? E por que eles divergem dos desenvolvedores?

Como você avalia a segurança do código gerado por IA?

CTO/CISO

AppSec/Sec

Dev/Eng

30%

20%

10%

0%

0%

10%

20%

30%

Excelente

Executivos são 2 a 5 vezes menos propensos a ver riscos de segurança nas ferramentas de codificação baseadas em IA

Os participantes concordaram em grande parte que as ferramentas de codificação baseadas em IA não criam um amplo risco, mas houve uma grande disparidade entre os que acreditam que a IA não oferece nenhum risco. Em nossa pesquisa, 19,4% dos executivos participantes afirmaram que as ferramentas de codificação baseadas em IA “não oferecem nenhum risco”, com a concordância de apenas 4,1% dos membros da equipe de AppSec. Os desenvolvedores estavam mais próximos das opiniões de AppSec, com 8,8% dos participantes de Dev/Eng dizendo que as ferramentas de codificação baseadas em IA oferecem risco mínimo. Por outro lado, 38,3% dos profissionais de AppSec classificaram as ferramentas de codificação baseadas em IA como “muito arriscadas” ou pior, enquanto apenas 29,8% dos executivos participantes concordaram. Uma possível interpretação dessa constatação é que as equipes de AppSec, muito próximas da correção diária de defeitos e vulnerabilidades no código, percebem um número consideravelmente maior de problemas de segurança gerados pelas ferramentas de IA do que os executivos, que tendem a estar mais distantes das atividades diárias de segurança e codificação.

Como você avalia o risco de segurança da sua organização decorrente do uso de ferramentas de codificação baseadas em IA?

CTO/CISO

AppSec/Sec

Dev/Eng

20%

15%

10%

5%

0%

0%

5%

10%

15%

20%

Não oferecem nenhum risco

Profissionais de AppSec são 3 vezes mais propensos a afirmar que as políticas de segurança de IA são insuficientes

Os profissionais de AppSec não confiam nas políticas de segurança das organizações para ferramentas de codificação baseadas em IA. Em comparação com o número de participantes de CTO e CISO com a mesma opinião, cerca do triplo de participantes com funções de AppSec descreveu as políticas de ferramentas de codificação baseadas em IA como “insuficientes”. Já desenvolvedores e engenheiros ficam em uma posição intermediária: apenas 19% dos participantes afirmam que as políticas de IA de sua organização são insuficientes, frente aos 30,1% dos membros de AppSec. Em outras palavras, quanto maior a distância dos processos de segurança na organização de tecnologia, menor a probabilidade de aprovação das políticas de segurança de IA. Isso pode indicar que as equipes de AppSec percebem mais riscos. Outro possível significado é que elas acreditam que as políticas de segurança de IA precisam ser desenvolvidas de uma forma lógica que funcione com os requisitos de segurança de aplicativos. Os executivos participantes foram os mais propensos a considerar essas políticas excessivas. Essa opinião pode refletir o forte desejo de acelerar a adoção de ferramentas de codificação baseadas em IA, conforme demonstrado em outras perguntas desta pesquisa.

Como você descreve as políticas de segurança da sua organização para ferramentas de codificação baseadas em IA?

CTO/CISO

AppSec/Sec

Dev/Eng

80%

60%

40%

20%

0%

0%

20%

40%

60%

80%

Insuficientes

Adequadas

Excessivas

Conclusão

As organizações continuam tendo visões conflitantes sobre seu estado de prontidão para IA e não tomam medidas básicas rumo à prontidão e preparação para IA

Pronta ou não? Geralmente, os participantes têm uma opinião positiva sobre o estado de prontidão de suas organizações para ferramentas de codificação baseadas em IA. Eles avaliam que suas políticas de segurança são suficientes e que o código gerado por IA é seguro. No geral, eles acreditam que estão prontos para a adoção de IA. No entanto, continuam divergindo sobre a segurança das ferramentas de codificação baseadas em IA. Em todas as funções, os receios sobre a segurança são percebidos como a maior barreira para a entrada de ferramentas de codificação baseadas em IA. Em termos de processos práticos para a preparação, menos de um quinto dos entrevistados afirmaram que suas organizações realizaram PoCs, uma etapa básica essencial para a adoção de novas tecnologias. E menos da metade dos participantes disseram que a maioria dos desenvolvedores tinha sido treinada em ferramentas de codificação baseadas em IA. Essas contradições podem indicar falta de planejamento e estratégia, bem como inexistência de estrutura em relação à adoção de IA. 

Em um exame mais minucioso, os participantes da pesquisa demonstraram uma divergência consistente por função em suas percepções sobre qualidade do código, segurança das ferramentas e preparação geral da organização. A opinião sobre ferramentas de codificação baseadas em IA e prontidão para IA entre os executivos foi mais positiva que a dos que trabalham mais próximos do código ou dos processos e políticas de segurança. Especificamente, os membros da equipe de segurança tinham uma visão mais negativa da segurança das ferramentas de codificação baseadas em IA, o que implica que esse grupo influente está exposto a mais problemas gerados pela codificação baseada em IA e reage em função disso. 

As contradições acima implicam planejamento ou estratégia coesa insuficiente para a adoção de ferramentas de codificação baseadas em IA, bem como falta de estrutura na determinação e cumprimento das pré-condições necessárias, possivelmente causada pela falta de visibilidade consistente em toda a organização. Isso pode ter acontecido porque, assim como no caso de smartphones e alguns produtos de software para consumidores, a adoção começou de forma rápida e descontrolada antes de ser institucionalizada pelas organizações de TI. Nesse sentido, os lançamentos podem ter sido inicialmente caóticos e se tornou um desafio controlá-los posteriormente. No entanto, o ponto principal é que as organizações devem considerar uma abordagem mais estruturada para a adoção e segurança de ferramentas de codificação baseadas em IA e que se aproxime dos processos de adoção de outros tipos de software empresarial. Essa abordagem também deve resolver os receios de segurança e lidar com preocupações exageradas de desenvolvedores e equipes de segurança. Para isso, é preciso implementar melhores controles e verificações e definir uma abordagem mais holística, metódica e programática para implantar uma mudança fundamental no processo de desenvolvimento de software.

Os líderes de tecnologia que ouvirem os sinais desta pesquisa podem se beneficiar das seguintes ações:

Estabelecer um processo formal de PoC para a adoção de ferramentas de IA.

Atribuir mais importância às recomendações dos que estão expostos mais diretamente a questões de segurança de código e riscos das ferramentas.

Documentar e auditar toda a utilização de ferramentas de geração de código baseadas em IA para oferecer melhor embasamento aos processos de segurança e QA.

Pesquisar regularmente os três grupos sobre tópicos de codificação baseada em IA.

Considerar a adoção de orientações especializadas sobre práticas recomendadas de IA.

Promover a adesão executiva com ferramentas que demonstrem o ROI das ferramentas de segurança de IA.

Adotar ferramentas de segurança para prevenir e corrigir incidentes de segurança já no início do ciclo de desenvolvimento.

Adotar ferramentas e práticas de segurança de IA voltadas a desenvolvedores que não prejudiquem sua produtividade e se encaixem nos fluxos de trabalho existentes.

Aumentar a educação e o treinamento sobre código gerado por IA e ferramentas baseadas em IA para melhorar a conscientização e o discernimento. Usar um assistente de codificação baseada em IA (Google Gemini) que se integre diretamente ao Snyk e sua ampla base de conhecimento.

Metodologia

Para este relatório, entrevistamos 406 profissionais de TI de todo o mundo. A Snyk limitou a pesquisa a participantes que descreveram suas funções como “CTO”, “CISO”, “desenvolvedor”, “engenheiro”, “segurança” ou “appsec”. A Snyk pretende continuar coletando dados para esta pesquisa em eventos online e offline ao longo de 2024 para montar um quadro ainda mais abrangente da prontidão para IA e das diferenças nas percepções dos riscos, prontidão e desafios da IA nas empresas.