Компанія Sonar, окрім додавання можливостей генеративного штучного інтелекту (AI) до своєї основної платформи для виправлення вразливостей, також представила інструмент, який ідентифікує вразливості у коді, створеному платформами штучного інтелекту. Про це повідомляє DevOps.com.
AI Code Assurance використовує основний двигун Sonar, розроблений для аналізу коду, щоб виявляти проблеми у коді, створеному такими платформами, як ChatGPT.
Водночас Sonar додає AI CodeFix, інструмент, який використовує великі мовні моделі (LLM) для надання рекомендацій щодо покращення коду, який команди розробників можуть затвердити перед його автоматичним застосуванням.
Генеральний директор Sonar Тарік Шаукат зазначив, що обидва інструменти, доступні на платформах SonarQube та SonarCloud, підвищать загальну якість коду незалежно від того, створений він машиною чи розробником.
Зокрема, AI Code Assurance вже доступний на SonarQube і буде загальнодоступним на SonarCloud до кінця жовтня. AI CodeFix доступний для раннього доступу у версіях SonarQube Enterprise Edition, SonarQube Data Center Edition і планах SonarCloud Team й Enterprise.
Вже були випадки, коли код, згенерований машинами, призводив до збоїв, які виникали через код, написаний платформами генеративного штучного інтелекту. Ці платформи навчаються на прикладах коду різної якості з усього інтернету. Не дивно, що код, згенерований такими платформами, може бути дефектним, включно з відомими вразливостями.
Багато розробників замість того, щоб сканувати й перевіряти цей код, занадто довіряють результатам, згенерованим такими платформами, зазначив Шаукат. AI Code Assurance надає командам DevSecOps інструмент для виявлення цих проблем, який можна інтегрувати в наявні робочі процеси DevSecOps. Код, перевірений за допомогою AI Code Assurance, отримує позначку, яка підтверджує, що він пройшов суворі перевірки.
Завдяки зростанню генеративного штучного інтелекту (GenAI) обсяг коду, який потрібно сканувати, ймовірно, зросте експоненційно. Невідомо, чи є згенерований код більш або менш безпечним порівняно з кодом, створеним людьми-розробниками, які часто самі не мають достатньої кібербезпекової експертизи. Однак незалежно від того, як створений код, ніхто не може бути впевненим у його безпеці, не перевіривши його.
Sonar застосовує штучний інтелект для виправлення коду, згенерованого ШІ-платформами, використовуючи платформу, якою вже користуються понад 7 мільйонів розробників, які працюють в організаціях, таких як Міністерство оборони США, Microsoft, NASA, MasterCard, Siemens та T-Mobile.
Викликом є забезпечення проведення сканування в умовах, коли розробники часто забувають проаналізувати код або не хочуть цим займатися. Однак подобається це розробникам чи ні, коли пізніше виявляється, що код, який вони або машина написали, є причиною кіберінцидентів, це швидко стає проблемою для всіх.
Читайте також на ProIT: Опитування показує зростання інвестицій в інструменти та платформи DevOps.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
