ブラック・ダックのソリューションによって、AIを活用したパイプラインに開発者が求める速度で、リスクを管理しながらAI生成コードを最大限活用できるようになります。

ソフトウェアの長所だけでなく短所も引き出すAIコーディング・アシスタント

現在、AIコーディング・アシスタントは開発者ワークフローに大量に組み込まれており、一般的なIDEおよびCIプラットフォーム内で、プラグインとしてもAPI経由でも利用できます。AIコード生成ツールは、何千ものオープンソース・プロジェクトと何百万行もの一般公開ソース・コードを使用して学習した大規模言語モデル(LLM)を利用するため、弱点のある脆弱で法的に問題のある膨大な数のコード・スニペットも参照します。

AIコード生成ツールに簡単なプロンプトを入力することで、サードパーティ・コードの問題が意図せずお客様のコードの問題になってしまう恐れがあります。

不具合と脆弱性

ほとんどのAIコーディング・ツールは、学習コードに含まれるセキュリティや品質の問題を検出できません。また、開発者がスピードを重視することで、よくある弱点を見落としたり、AI生成コード内で宣言された脆弱なコンポーネントに気づかないことが多々あります。

著作権とライセンスのリスク

AIコード生成ツールは、ライセンス供与されたオープンソース・プロジェクトからコピーしたコードをそのまま生成する場合があります。この場合、お客様が潜在的なIP侵害または使用要件のリスクにさらされる可能性があります。開発者には法律に関する専門知識がなく、AI生成コードの元となるソースも確認できないため、通常ここで開発者が助けになることはありません。
ブラック・ダックでAIコーディング・ツールの信頼性とセキュリティを確保

AIコード生成ツールには、セキュリティ・リスクの認識もソフトウェア・ライセンスの理解も欠如しているため、絶対的な信頼は避けましょう。ブラック・ダックのソリューションがあれば、開発者は、DevSecOps向けのクローズド・ループ・システムを含むAppSecチームの要望と基準を反映し、自動化した安全策を確立しながら、自由にAIコーディング・アシスタントを実行することができます。

AIコーディング・ツールに必要な速度と規模でAppSecを展開

AIコーディング・アシスタントの出力をコードベースに投入する前に、これがセキュアかつ高品質で、お客様のリスク許容基準に準拠していることを確認しましょう。Black Duck Polaris™ Platformは以下を実現します。

  • IDE、SCMレポジトリ、CI/CDパイプライン内で強力なSASTおよびSCA機能を提供
  • 開発者に明確な修正ガイダンスを提供
  • ワークフロー・トリガーとポリシーに基づき、自動化されたスキャンと問題管理ワークフローを提供

 

もっと学ぶ
Fix
Polaris Assist AI generated code reporting

開発者が使いたいAIセキュリティ・ツールを採用

開発者がAppSecテストを避け、AIコーディング・アシスタントから大量のセキュリティ・バックログが溢れるようではAppSecテストの意味がありません。最前線でソフトウェア・セキュリティに貢献する開発者は、より良いコードを作成し、プロジェクトの期日までに問題を修正するのに役立つツールを使用すべきです。Black Duck® Polaris Assist™は以下を実現します。

  • AIコーディング・ツールと一緒に拡張・実行できるAIセキュリティ・ツールを使用
  • 問題を明確化し、修正を生成し、解決までの時間(TTR)を短縮
  • IDE、開発ワークフロー、CI/CDパイプラインにAIを利用した修正を組み込む
もっと学ぶ

AI生成コードのIPリスクを管理

AIコーディング・アシスタントやお客様の開発者が、著作権で保護されたオープンソース・プロジェクトから小さなコード部分を取り込む場合があります。コード・スニペット解析は、開発者に法律の専門知識がない場合もプロジェクトを保護できる最善の方法です。Black Duckのオープンソース・スニペットAPIは以下を実現します。

  • サードパーティのコード・スニペットと関連するライセンス義務を特定
  • 知的財産を保護し、費用のかかる訴訟からビジネスを守る
  • IDE、SCMレポジトリ、CI/CDパイプラインから解析をトリガー
もっと学ぶ
Detect open Source snippets in AI generated code
A visual of Code Sight dashboard that shows team view of SAST issues.

AIコーディング・ツールのセキュアな採用を後押し

AppSec、開発者、AIの間に生じる摩擦を軽減します。既存のワークフロー内でセキュアなコードがプロジェクトのデフォルトになるようなリソースを提供します。Code Sight IDE Plug-inは以下を実現します。

  • Rapid SASTやRapid SCAを自動実行、またはIDE内でオンデマンド実行
  • 明確なパッチおよび修正ガイダンスを開発者に提供し、解決までの時間(TTR)を短縮
  • AppSecチームと開発チームの協調、一元的なポリシーやリスク・レポートへの準拠を維持
もっと学ぶ
AIコーディング・ツールがパイプラインを進めるペースでAppSecを加速

確実に言えることとして、開発者とAIコーディング・アシスタントが連携することで、より速く、より多くのコードを作成できるようになりますが、トリアージが必要な脆弱性のバックログも大きくなります。セキュリティ・チームが対応できない時も、AppSecのリスク態勢を見失うことなく介入できる、自動化されたセキュリティ・ゲートをSDLCとCI/CDパイプライン全体にわたって組み込むことです。

ブラック・ダック製品を用い、スケーラブルなセキュリティをDevOpsワークフローに組み込むことで、セキュリティを維持しながらAIによる開発の加速を実現できます。

もっと学ぶ
生成AIはソフトウェア・コーディングに大きな変革をもたらすでしょう。開発自動化技術と組み合わせることで、プログラマーの作業の最大30%を自動化できます。”

Gartner Hype Cycle for Artificial Intelligence 2023

AIのリスク管理に関する詳細はこちら

Webinar

ソフトウェア開発におけるAIの台頭

もっと学ぶ
Report

AIによりセキュリティと開発のギャップが拡大

もっと学ぶ
Report

ガートナー・マジック・クアドラントのアプリケーション・セキュリティ・テスト部門

もっと学ぶ
video

OSSのセキュリティ、品質、ライセンス・リスクを理解する

ブラック・ダックがオープンソース・コンポーネントをどのように可視化しているかをご覧ください