Relatório de prontidão organizacional para IA da Snyk

Segundo o Relatório de segurança de código gerado por IA – 2023 da Snyk, 96% dos codificadores usam ferramentas de IA generativa nos fluxos de trabalho. As organizações que desenvolvem software entendem que precisam adotar essas ferramentas para acompanhar a concorrência e atrair e reter talentos. A introdução de ferramentas de codificação baseadas em IA no ciclo de vida do desenvolvimento de software apresenta vários desafios operacionais e de segurança. Qual o nível de prontidão dos líderes e equipes de tecnologia para a nova era das ferramentas de codificação baseadas em IA? E como estão se preparando para essa mudança significativa no desenvolvimento de software? 

A Snyk fez a mais de 400 especialistas em tecnologia uma série de perguntas criadas para medir a prontidão para IA das organizações e para avaliar as percepções sobre as ferramentas de codificação baseadas em IA. A pesquisa englobou três grupos: executivos de tecnologia, equipes de segurança de aplicativos e desenvolvedores/engenheiros. Esses grupos manifestaram opiniões distintas sobre a segurança das ferramentas de codificação baseadas em IA e do código gerado por essas ferramentas, a eficácia das políticas de segurança de código gerado por IA e a prontidão das organizações para a codificação baseada em IA. Neste relatório, destacamos as constatações mais notáveis da pesquisa.

Em todos os três tipos de função, a maioria dos participantes afirmou que sua organização estava “extremamente pronta” ou “muito pronta” para a adoção de ferramentas de codificação baseadas em IA. Menos de 4% disseram que suas organizações não estavam prontas. No entanto, os executivos participantes têm mais confiança do que os demais grupos na preparação e prontidão de suas organizações para a implantação e adoção de ferramentas de codificação baseadas em IA. Nesse grupo, 40,3% classificaram sua organização como “extremamente pronta” em comparação com apenas 26% dos membros de equipes de AppSec e 22,4% dos desenvolvedores. Não houve diferença significativa entre CISOs e CTOs, o que parece um contrassenso, dado o foco dos CISOs em segurança e risco. O motivo pode ser a intensa pressão sobre a liderança de tecnologia para lançar rapidamente ferramentas de codificação baseadas em IA e acelerar os processos de desenvolvimento de software. Provavelmente, a relutância dos outros grupos reflete preocupações práticas sobre questões específicas de prontidão relacionadas a segurança, treinamento, qualidade do código e outros detalhes de implementação.

Pronta ou não? Geralmente, os participantes têm uma opinião positiva sobre o estado de prontidão de suas organizações para ferramentas de codificação baseadas em IA. Eles avaliam que suas políticas de segurança são suficientes e que o código gerado por IA é seguro. No geral, eles acreditam que estão prontos para a adoção de IA. No entanto, continuam divergindo sobre a segurança das ferramentas de codificação baseadas em IA. Em todas as funções, os receios sobre a segurança são percebidos como a maior barreira para a entrada de ferramentas de codificação baseadas em IA. Em termos de processos práticos para a preparação, menos de um quinto dos entrevistados afirmaram que suas organizações realizaram PoCs, uma etapa básica essencial para a adoção de novas tecnologias. E menos da metade dos participantes disseram que a maioria dos desenvolvedores tinha sido treinada em ferramentas de codificação baseadas em IA. Essas contradições podem indicar falta de planejamento e estratégia, bem como inexistência de estrutura em relação à adoção de IA. 

Em um exame mais minucioso, os participantes da pesquisa demonstraram uma divergência consistente por função em suas percepções sobre qualidade do código, segurança das ferramentas e preparação geral da organização. A opinião sobre ferramentas de codificação baseadas em IA e prontidão para IA entre os executivos foi mais positiva que a dos que trabalham mais próximos do código ou dos processos e políticas de segurança. Especificamente, os membros da equipe de segurança tinham uma visão mais negativa da segurança das ferramentas de codificação baseadas em IA, o que implica que esse grupo influente está exposto a mais problemas gerados pela codificação baseada em IA e reage em função disso. 

As contradições acima implicam planejamento ou estratégia coesa insuficiente para a adoção de ferramentas de codificação baseadas em IA, bem como falta de estrutura na determinação e cumprimento das pré-condições necessárias, possivelmente causada pela falta de visibilidade consistente em toda a organização. Isso pode ter acontecido porque, assim como no caso de smartphones e alguns produtos de software para consumidores, a adoção começou de forma rápida e descontrolada antes de ser institucionalizada pelas organizações de TI. Nesse sentido, os lançamentos podem ter sido inicialmente caóticos e se tornou um desafio controlá-los posteriormente. No entanto, o ponto principal é que as organizações devem considerar uma abordagem mais estruturada para a adoção e segurança de ferramentas de codificação baseadas em IA e que se aproxime dos processos de adoção de outros tipos de software empresarial. Essa abordagem também deve resolver os receios de segurança e lidar com preocupações exageradas de desenvolvedores e equipes de segurança. Para isso, é preciso implementar melhores controles e verificações e definir uma abordagem mais holística, metódica e programática para implantar uma mudança fundamental no processo de desenvolvimento de software.

Para este relatório, entrevistamos 406 profissionais de TI de todo o mundo. A Snyk limitou a pesquisa a participantes que descreveram suas funções como “CTO”, “CISO”, “desenvolvedor”, “engenheiro”, “segurança” ou “appsec”. A Snyk pretende continuar coletando dados para esta pesquisa em eventos online e offline ao longo de 2024 para montar um quadro ainda mais abrangente da prontidão para IA e das diferenças nas percepções dos riscos, prontidão e desafios da IA nas empresas.