97 % der Entwicklerteams nutzen KI-Coding-Assistenten – nur 30 % haben Governance
97 % der Entwicklerteams setzen KI Coding Assistenten ein – aber nur 30 % haben eine vollständig geregelte Governance. Drei Engpässe bremsen neun von zehn Teams aus: manuelles Code Review (52 %), Sicherheitstests (51 %) und Nachbesserung von KI Code (48 %).
What does the Black Duck "State of AI-Powered Software Development" report reveal about the adoption, bottlenecks, governance gaps, and suppThe governance gap between AI code generation and security review has become the defining challenge for engineering teams in 2026.
KI-Prompt
Create a landscape editorial hero image for this Studio Global article: What does the Black Duck "State of AI-Powered Software Development" report reveal about the adoption, bottlenecks, governance gaps, and supp. Article summary: *Near-universal adoption, but governance is the exception.** Black Duck reported that **97% of software development teams are actively using AI coding assistants**, while only **30% have a fully governed approach to over. Topic tags: general, government, general web, user generated, academic. Reference image context from search candidates: Reference image 1: visual subject "AI-Tools, Architecture & Methods, Build & Ship, Community & Culture, Cybersecurity & Development, Editorial, Features, Industry Insights, Legal, Governance & Compliance, Low- & No-" source context "Black Duck: AI coding demands modern supply chain governance" Reference image 2: visual subjec
openai.com
KI-Coding-Assistenten sind innerhalb von weniger als zwei Jahren von der experimentellen Spielerei zum Branchenstandard geworden. Der Bericht State of AI-Powered Software Development 2026 von Black Duck beziffert diesen Wandel mit einer drastischen Zahl: 97 % aller Softwareentwicklungsteams nutzen aktiv KI-Coding-Tools. Doch unter dieser Headline verbirgt sich ein weitaus unangenehmerer Befund: Die Infrastruktur, um all diesen Code zu prüfen, abzusichern und zu steuern, hinkt dramatisch hinterher.
Nur 30 % der Organisationen verfolgen einen vollständig geregelten Governance-Ansatz zur Überwachung von KI-generiertem Code . Bei den übrigen 70 % produziert die KI Code mit einer Geschwindigkeit, die bestehende Arbeitsabläufe nicht mehr absorbieren können. Das Ergebnis ist das, was Black Duck ein „wachsendes Governance-Defizit“ nennt – und es frisst die Produktivitätsgewinne, die diese Tools eigentlich liefern sollten, unbemerkt wieder auf .
Die drei Engpässe, die Code-Produktionsgewinne auffressen
Der Bericht identifiziert ein klares Muster: KI-Tools beschleunigen das von Code, aber diese Geschwindigkeit erzeugt Druckstellen an anderer Stelle. . Diese Probleme treten nicht zufällig auf. Sie konzentrieren sich auf drei nachgelagerte Aktivitäten, die zusammen die Zeitersparnis aus der Programmierphase absorbieren:
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Wie lautet die kurze Antwort auf „97 % der Entwicklerteams nutzen KI-Coding-Assistenten – nur 30 % haben Governance“?
97 % der Entwicklerteams setzen KI Coding Assistenten ein – aber nur 30 % haben eine vollständig geregelte Governance.
Was sind die wichtigsten Punkte, die zuerst validiert werden müssen?
97 % der Entwicklerteams setzen KI Coding Assistenten ein – aber nur 30 % haben eine vollständig geregelte Governance. Drei Engpässe bremsen neun von zehn Teams aus: manuelles Code Review (52 %), Sicherheitstests (51 %) und Nachbesserung von KI Code (48 %).
Was soll ich als nächstes in der Praxis tun?
Governance ist der Rendite Hebel: 90 % der Teams mit vollständiger Governance berichten von großen Effizienzgewinnen – ohne Governance sind es nur 44 %.
Neun von zehn Teams berichten von Problemen mit KI-generiertem Code irgendwo in ihrem Workflow
Manuelles Code-Review (52 %) – Reviewer müssen heute eine größere Menge an KI-generiertem Code verarbeiten als menschengeschriebenen Code, und diese Menge wächst stetig .
Sicherheitstests (51 %) – KI-generierter Code bringt neue Schwachstellenklassen mit sich, die im handgeschriebenen Pendant so nicht vorkamen, besonders im Bereich Dependency Injection, hartcodierte Zugangsdaten und veraltete Bibliotheks-Empfehlungen .
Nachbesserung des generierten Codes (48 %) – fast die Hälfte aller Teams wendet signifikante Zeit für Reparaturen, Refactoring oder Neuschreiben von KI-Output auf, bevor es ausgeliefert werden kann .
Für dieses Phänomen gibt es inzwischen einen Namen: Toil Shift (Mühsal-Verlagerung). Statt Arbeit zu eliminieren, verschiebt KI sie von der Erstellungsphase in die Verifikations-, Test- und Korrekturphasen . Black Duck formuliert es unverblümt: „Die meisten Organisationen produzieren KI-Code schneller, als sie ihn prüfen, absichern oder steuern können“ .
Governance: Der wahre Rendite-Multiplikator
Falls es eine Erkenntnis aus dem Bericht gibt, die Führungskräfte sofort umsetzen sollten, dann diese: Governance ist der Rendite-Multiplikator (ROI Multiplier). Der Unterschied zwischen Teams, die KI-Nutzung aktiv steuern, und jenen, die es nicht tun, ist nicht marginal – er ist der Unterschied zwischen echten Effizienzgewinnen und einem Produktivitäts-Leck.
Black Duck fand heraus, dass Organisationen mit vollständigen Governance-Frameworks zu 90 % von großen Effizienzgewinnen berichteten. Bei Teams ohne strukturierte Aufsicht liegt dieser Wert bei nur 44 %.
Governance bedeutet in diesem Kontext nicht Bürokratie. Es bedeutet, definierte Richtlinien dafür zu haben, welche Tools genutzt werden dürfen, wie KI-generierter Code zu prüfen ist, welche Sicherheitsfreigaben durchlaufen werden müssen und wer die Verantwortung für das Ergebnis trägt. Es ist der Unterschied zwischen „Entwickler nutzen, was sie wollen“ und „Entwickler nutzen freigegebene Werkzeuge innerhalb einer strukturierten, auditierbaren Pipeline.“
Das Schatten-KI-Problem
Erschwerend zur Governance-Problematik kommt die Zunahme von Shadow AI – Entwickler, die KI-Tools entgegen oder außerhalb der Unternehmensrichtlinien einsetzen. Black Duck fand heraus, dass 18 % der Organisationen Shadow AI als signifikantes, ungesteuertes Risiko betrachten. Wenn Tools wie Cursor, Windsurf oder Claude Code auf individueller Entwicklerebene eingeführt werden, ohne Einkaufs- oder Sicherheitsprüfungen zu durchlaufen, verliert die Organisation den Überblick über ihre Angriffsfläche .
Lieferketten-Risiken: Was KI-generierter Code erbt
Die Implikationen für die Software-Lieferkette sind der Punkt, an dem Governance-Lücken zu konkreten Schwachstellen werden. Die Arbeit von Black Duck – inklusive des zugehörigen 2026 OSSRA-Berichts – zeigt drei miteinander verbundene Risiken auf, die spezifisch für KI-Coding-Assistenten sind:
Lizenz-Verwässerung (License Laundering). KI-Assistenten, die mit Open-Source-Archiven trainiert wurden, können Code-Schnipsel aus Copyleft-Quellen generieren, ohne die ursprünglichen Lizenzinformationen beizubehalten . Der 2026 OSSRA-Bericht fand heraus, dass zwei Drittel aller geprüften Codebasen Lizenzkonflikte enthalten – der höchste Wert in der Geschichte dieser Studie . Organisationen liefern möglicherweise Code aus, für den sie keine Nutzungsrechte besitzen, ohne es zu wissen.
Abhängigkeits-Explosion. Die Anzahl der Open-Source-Komponenten pro Codebasis stieg im Jahresvergleich um 30 %, und die durchschnittliche Anzahl von Schwachstellen pro Codebasis schnellte um 107 % in die Höhe . KI-Coding-Assistenten beschleunigen diesen Trend, weil sie Lösungen schneller und aus breiteren Trainingskorpora komponieren – jede KI-generierte Funktion kann also Abhängigkeiten nach sich ziehen, die der Entwickler nicht explizit ausgewählt hat.
Die Compliance-Lücke. Nur 24 % der Organisationen führen umfassende Prüfungen in den Bereichen IP, Lizenz, Sicherheit und Qualität des KI-Codes durch. Das bedeutet, drei Viertel aller Organisationen können die Frage nicht zuverlässig beantworten: „Welchen rechtlichen und sicherheitstechnischen Verpflichtungen haben wir uns gerade unterworfen?“
Entwickler-Vertrauen: Die Nutzung steigt, während das Vertrauen sinkt
Die Black-Duck-Daten stehen nicht allein. Mehrere unabhängige Umfragen, die im selben Zeitraum veröffentlicht wurden, untermauern das Bild mit granularen Vertrauensdaten:
Sonars 2026 State of Code Developer Survey (über 1.100 Entwickler) ergab, dass 96 % der Entwickler der funktionalen Korrektheit von KI-generiertem Code nicht vollständig vertrauen. Dennoch verifizieren ihn nur 48 % immer vor dem Commit – das bedeutet, dass Code, dem die Entwickler selbst misstrauen, regelmäßig in Produktion geht .
Stack Overflows 2025 Developer Survey (49.009 Befragte) zeigte einen Vertrauensverlust in die KI-Genauigkeit von 40 % auf 29 % innerhalb eines Jahres. Das aktive Misstrauen stieg auf 46 %, während die positive Einstellung von 72 % auf 60 % sank .
Harness' State of AI-Driven Software Releases 2026 (500 Engineering-Leiter) fand heraus, dass 57 % immer noch eine „Human-in-the-Loop“-Prüfung für jede Zeile KI-generierten Codes fordern und 29 % mehr Zeit für Code-Reviews aufwenden als vor der Einführung der KI-Assistenten .
Der Konsens aus diesen Umfragen ist bemerkenswert konsistent: Entwickler können ohne KI-Tools nicht arbeiten, aber sie können ihnen auch nicht vollständig vertrauen. Die Lücke zwischen Generierung und Verifikation ist zum neuen Flaschenhals geworden.
Diana Kelley, CISO bei Noma Security, bringt die zentrale Spannung auf den Punkt: „Schnellerer Code ist nicht dasselbe wie sichererer Code“.
Wie echte Governance aussieht
Die Handlungsempfehlung von Black Duck ist nicht abstrakt. Der Bericht zeigt eine Reihe konkreter Maßnahmen auf, die die 30 % mit vollständiger Governance vom Rest unterscheiden:
Strukturierte KI-Governance-Frameworks – keine informellen Leitlinien, sondern dokumentierte, durchgesetzte Richtlinien zu Tool-Zulassung, Output-Prüfung und Verantwortlichkeit .
Pipeline-integrierte Prüfschranken – weg von manuellen, oftmals noch per Ticket getriebenen Sicherheitstest-Übergaben (die 46 % der Unternehmen immer noch nutzen), hin zu automatisierten Qualitäts- und Sicherheits-Checks, die bei jedem KI-unterstützten Commit greifen .
Kontinuierliche Überwachung auch nach der Bereitstellung – Black Duck betont, dass eine reine „Shift-Left“-Strategie (Sicherheit früher in den Prozess zu verlagern) nicht mehr ausreicht. Risiken entstehen, werden entdeckt und müssen über den gesamten Lebenszyklus der Softwareentwicklung hinweg gemanagt werden .
Bereinigung der Security-Toolchain – über 71 % der Befragten berichteten von Tool-Wildwuchs als Haupt-Reibungsquelle. Die Konsolidierung auf weniger, besser integrierte Tools ist eine Grundvoraussetzung für sicheres Skalieren von KI .
Das Fazit
Der Black-Duck-Bericht argumentiert nicht gegen den Einsatz von KI-Coding-Assistenten. Er argumentiert, dass ihr Einsatz ohne angemessene Governance selbstzerstörerisch ist. Wenn 97 % der Teams Code in nie dagewesener Geschwindigkeit generieren, aber nur 30 % über die Steuerungsinfrastruktur verfügen, um diesen zu managen, dann stellt die Branche kollektiv Wechsel aus, die sie nicht einlösen kann.
Die Korrelation zwischen Governance und Effizienzgewinnen – 90 % versus 44 % – macht den Business Case eindeutig: Organisationen, die zuerst die Leitplanken aufbauen, werden die Produktivität ernten, die KI verspricht. Wer das nicht tut, wird wiederholt feststellen, dass die an der Tastatur eingesparte Zeit in der Review-Warteschlange draufgeht.
Comments
0 comments