Kunstmatige intelligentie (AI) verandert de DevSecOps-praktijk ingrijpend door beveiliging dichter bij het schrijven van code te brengen. AI-tools maken het mogelijk dat beveiligings- en ontwikkelingsteams vanaf het begin van het ontwikkelproces effectiever beveiligingsmaatregelen in software kunnen integreren. Volgens Siddardha Vangala, senior AI-engineer bij MasTec, verschuift DevSecOps hierdoor van reactieve validatie naar continue, intelligente handhaving, waarbij automatisering steeds meer parallel aan de ontwikkelworkflow plaatsvindt in plaats van pas na de uitrol.

Katie Norton, onderzoekmanager bij IDC gespecialiseerd in DevSecOps en software supply chain security, benoemt drie belangrijke gebieden waarop AI de DevSecOps-processen vernieuwt. Ten eerste wordt AI ingezet voor veilig coderen, waarbij beveiligingscontroles direct in de codeergeneratoren en assistenten worden ingebouwd. Dit betekent dat beveiliging niet langer alleen na of naast het coderen plaatsvindt, maar dat AI-systemen zelf worden aangestuurd om veilige code te genereren. Hierdoor verschuift de rol van beveiliging naar het beheren van het gedrag van AI-systemen, niet alleen dat van menselijke ontwikkelaars.

Daarnaast worden grote taalmodellen (LLM's) steeds vaker gebruikt voor het scannen van code, configuraties en API's op kwetsbaarheden. Deze modellen kunnen contextueel redeneren en zo logische fouten en onveilige patronen detecteren die traditionele scanners vaak missen. Bovendien worden deze scans steeds autonomer, waarbij analyses automatisch kunnen starten, bevindingen bevestigen en naadloos in ontwikkelprocessen kunnen worden geïntegreerd zonder handmatige tussenkomst.

Een derde gebied betreft geautomatiseerde suggesties en uitvoering van oplossingen. AI genereert steeds vaker concrete fixes voor kwetsbaarheden, zoals codewijzigingen, updates van afhankelijkheden en configuratieaanpassingen. Deze aanbevelingen worden direct in ontwikkeltools zoals pull requests en geïntegreerde ontwikkelomgevingen aangeboden, wat de tijd tot herstel verkort en de benodigde expertise verlaagt.

De impact van AI op DevSecOps is dat de afstand tussen het schrijven van code, het vinden van kwetsbaarheden en het oplossen ervan kleiner wordt. Dit maakt DevSecOps niet alleen continu, maar ook meer door machines gestuurd. De belangrijkste uitdaging is nu het valideren van door machines gegenereerde code, bevindingen en voorgestelde oplossingen gedurende de gehele ontwikkelcyclus.