本文强调AI是DevSecOps的强大盟友而非替代品。为有效利用AI,组织需加强协作学习与知识共享,培养具备跨领域判断力的“自给自足”开发者,实现人机协同的未来。
译自:One developer, team power: The future of AI-driven DevSecOps
作者:Bryan Ross
关于软件交付中 AI 的每一次对话都会回到同一个核心思想:给工程师更好的 AI 工具,他们需要的队友就会越少。这是一个引人入胜但具有误导性的说法。
AI 提高了单个开发者能够完成的任务标准,同时也提高了对该开发者所需知识的期望。使用 AI 生成基础设施代码的工程师仍然需要评估其安全性。使用 AI 进行安全扫描的工程师仍然需要了解所扫描内容背后的业务逻辑。
AI 处理得越多,验证其输出所需的判断力就越广。
“更好的软件不是来自更好的工具,而是来自更好的团队。”
从 AI 投资中获益最多的组织将有意识地加强其协作流程,包括跨职能代码审查、知识共享机会和结构化指导,以便单个工程师能够培养 AI 所需但无法独立提供的多领域专业知识。
更好的软件不是来自更好的工具,而是来自更好的团队。
协作基础推动成功
DevSecOps 的主要目标是建立一种涵盖整个软件交付生命周期的协作工程文化,从业务策略到技术实现。这种文化强调可重用性和最佳实践,直接增强开发人员生产力和交付效率。组织通过双重门禁系统实现这一点:
- 基于人类共识的代码审查确保知识转移并维护跨学科的质量标准。
- 自动化质量和安全门禁在问题到达生产环境之前捕获它们。
这种方法平衡了速度与控制。它减轻了软件变更管理中的风险,同时确保加速不会以牺牲稳定性或安全性为代价。
大多数组织止步于此。他们实施流程,安装工具,并衡量速度的改进。然而,他们错过了表面之下正在发生的更深刻的变革。
知识共享系统
协作模型从根本上实现了大规模的学习和知识增长。教育心理学研究,特别是布鲁姆学习分类法,表明向他人教授概念能够培养最高水平的能力。
这就是双重门禁系统展现其更深层价值的地方。代码审查成为结构化的知识转移会话。每个人都在自己的领域内作为知识专家,同时从相邻领域学习:
- 审查代码的安全工程师教授安全开发实践,同时了解业务需求
- 架构师了解产品优先级,同时分享关于技术约束的知识
- 初级开发者从高级开发者那里学习模式,同时为工具带来新的视角
这产生了一种网络效应,每个人的知识都提升了其他人的能力。专业知识在组织内向各个方向流动。这种协作文化创建了一个学习型组织,其中每一次互动都成为教学机会并加速成长。
“这就是某些工程师与众不同的地方:他们通过多年的协作互动,内化了来自相邻领域的知识。”
当你通过这个视角审视 DevSecOps 时,代码审查就成了教学时刻。安全扫描提供了学习机会。系统中的每一次互动都促成了知识转移和专业知识发展。这就是某些工程师与众不同的地方:他们通过多年的协作互动,内化了来自相邻领域的知识。
自给自足的开发者:AI 是盟友,而非替代品
这种协作模型的自然演变是“自给自足的开发者”,一位由 AI 增强的知识工作者,能够实现前所未有的自主性和效率。这个承诺仍然引人入胜。每位工程师都获得了 AI 盟友,可以处理较低级别的工作,例如记忆、理解和应用基本概念。教会代理执行这些重复性任务极大地降低了认知负荷,释放了心智能力用于更高层次的思维,包括分析、评估和创造性解决问题。
这就是 AI 如何放大人类能力而不是取代它们的方式。GitLab 最新研究发现,尽管 83% 的 DevSecOps 专业人士认为 AI 将在未来五年内显著改变他们的角色,但 76% 的人同意 AI 将创造更多工程师的需求,而不是减少。
然而,在高管圈子中,一种危险的反向叙事正在形成。一些领导者认为有能力的 AI 代理可以完全取代知识工作者。这代表了对人们如何发展专业知识的根本性误解。
即使有了高性能的 AI,你仍然需要人类专家,他们能够:
- 评估跨多个学科的输出
- 建立对 AI 推荐的信任
- 提供特定领域的判断
- 对生产系统承担责任
事实上,GitLab 的研究发现,40% 的 DevSecOps 专业人士同意 AI 解决方案实际上将加速初级开发者的职业成长。
“‘我们不再需要初级开发者’的论点忽略了一个事实,即仍然需要有人审查、验证并对 AI 的产出负责。”
“我们不再需要初级开发者”的论点忽略了一个事实,即仍然需要有人审查、验证并对 AI 的产出负责。初级开发者不只是编写代码;他们正在学习评估跨多个领域的代码,并建立验证 AI 输出所需的判断力。
相反的论点,即 AI 可能会取代经验丰富的架构师和高级开发者,也同样有问题。这种逻辑建议我们完全跳过基础学习,并重组计算机科学教育,只专注于提示 AI 代理。但是,如果毕业生不了解安全、基础设施和业务领域中的优秀代码是什么样子,他们如何知道 AI 输出是否正确?这两种极端都偏离了重点。
关键差距:集体智慧不足
主要的限制不是 AI 的能力。而是缺乏能够真正作为“自给自足的开发者”运作的人。你需要具备跨多个领域足够技能的工程师,才能有效评估 AI 在安全、基础设施、质量和业务逻辑方面的输出。你还需要了解如何培养这些多技能实践者的教育者。
“自给自足的开发者不是一个孤立工作的人。”
来自最初 DevSecOps 目标的协作模型仍然至关重要,因为它是人们发展广博知识的机制。自给自足的开发者不是一个孤立工作的人。这些个体已经内化了跨职能团队的集体智慧,现在可以在 AI 增强下运作,同时保持只有人类专业知识才能提供的判断力和责任感。
前进的道路
组织面临一个关键选择。诱人的道路将 AI 视为一种成本削减策略,用更便宜的工具和能够操作它们的人取代昂贵的高级人才。这条道路会导致脆弱的系统、技术债务,并最终走向失败。
可持续的道路认识到 AI 是一种工具,可以放大现有能力,但不能取代源于深刻跨职能理解的判断力。
获胜的公司是那些在加大协作学习力度的同时,投资 AI 增强的公司。他们明白,要培养自给自足的开发者,首先需要建立一个能够跨多个领域教导每个个体的团队。他们认识到代码审查流程提供了有效使用 AI 工具所需的知识。他们投资于构建知识转移系统,通过从集体学习中培养出能够自主操作的工程师。
“获胜的公司是那些在加大协作学习力度的同时,投资 AI 增强的公司。”
这展示了软件交付中 AI 时代的悖论。随着我们的 AI 工具变得越来越强大,协作学习的价值变得更加至关重要。培养能够有效驾驭这些工具的人才的唯一途径是通过 DevSecOps 实现的跨职能知识转移。
目标没有改变。我们仍然需要提高生产力,提高效率,并降低风险。改变的是我们认识到,要大规模实现这些目标,需要协作学习和 AI 增强两者兼顾,而不是二选一。
未来属于那些建立起人人教学、人人学习、人人都能在 AI 增强下成为自给自足开发者的文化的组织。最终,真正的竞争优势不是 AI;而是那些知道如何有效应用 AI 的人。
