ブラック・ダックのソリューションによって、AIを活用したパイプラインに開発者が求める速度で、リスクを管理しながらAI生成コードを最大限活用できるようになります。
現在、AIコーディング・アシスタントは開発者ワークフローに大量に組み込まれており、一般的なIDEおよびCIプラットフォーム内で、プラグインとしてもAPI経由でも利用できます。AIコード生成ツールは、何千ものオープンソース・プロジェクトと何百万行もの一般公開ソース・コードを使用して学習した大規模言語モデル(LLM)を利用するため、弱点のある脆弱で法的に問題のある膨大な数のコード・スニペットも参照します。
AIコード生成ツールに簡単なプロンプトを入力することで、サードパーティ・コードの問題が意図せずお客様のコードの問題になってしまう恐れがあります。
ほとんどのAIコーディング・ツールは、学習コードに含まれるセキュリティや品質の問題を検出できません。また、開発者がスピードを重視することで、よくある弱点を見落としたり、AI生成コード内で宣言された脆弱なコンポーネントに気づかないことが多々あります。
AIコード生成ツールは、ライセンス供与されたオープンソース・プロジェクトからコピーしたコードをそのまま生成する場合があります。この場合、お客様が潜在的なIP侵害または使用要件のリスクにさらされる可能性があります。開発者には法律に関する専門知識がなく、AI生成コードの元となるソースも確認できないため、通常ここで開発者が助けになることはありません。
AIコード生成ツールには、セキュリティ・リスクの認識もソフトウェア・ライセンスの理解も欠如しているため、絶対的な信頼は避けましょう。ブラック・ダックのソリューションがあれば、開発者は、DevSecOps向けのクローズド・ループ・システムを含むAppSecチームの要望と基準を反映し、自動化した安全策を確立しながら、自由にAIコーディング・アシスタントを実行することができます。
AIコーディング・アシスタントの出力をコードベースに投入する前に、これがセキュアかつ高品質で、お客様のリスク許容基準に準拠していることを確認しましょう。Black Duck Polaris™ Platformは以下を実現します。
開発者がAppSecテストを避け、AIコーディング・アシスタントから大量のセキュリティ・バックログが溢れるようではAppSecテストの意味がありません。最前線でソフトウェア・セキュリティに貢献する開発者は、より良いコードを作成し、プロジェクトの期日までに問題を修正するのに役立つツールを使用すべきです。Black Duck® Polaris Assist™は以下を実現します。
AIコーディング・アシスタントやお客様の開発者が、著作権で保護されたオープンソース・プロジェクトから小さなコード部分を取り込む場合があります。コード・スニペット解析は、開発者に法律の専門知識がない場合もプロジェクトを保護できる最善の方法です。Black Duckのオープンソース・スニペットAPIは以下を実現します。
AppSec、開発者、AIの間に生じる摩擦を軽減します。既存のワークフロー内でセキュアなコードがプロジェクトのデフォルトになるようなリソースを提供します。Code Sight™ IDE Plug-inは以下を実現します。
確実に言えることとして、開発者とAIコーディング・アシスタントが連携することで、より速く、より多くのコードを作成できるようになりますが、トリアージが必要な脆弱性のバックログも大きくなります。セキュリティ・チームが対応できない時も、AppSecのリスク態勢を見失うことなく介入できる、自動化されたセキュリティ・ゲートをSDLCとCI/CDパイプライン全体にわたって組み込むことです。
ブラック・ダック製品を用い、スケーラブルなセキュリティをDevOpsワークフローに組み込むことで、セキュリティを維持しながらAIによる開発の加速を実現できます。
Gartner Hype Cycle for Artificial Intelligence 2023
ブラック・ダックがオープンソース・コンポーネントをどのように可視化しているかをご覧ください