Sonatype lanza solución de seguridad para codificación con IA... elimina el 27% de los paquetes de software falsos

A medida que evolucionan las herramientas de asistencia de codificación basadas en IA, la velocidad de desarrollo aumenta, pero también lo hacen los riesgos de seguridad. La empresa especializada en la seguridad de la cadena de suministro de software, Sonatype, ha lanzado una nueva solución para abordar este problema. El 9 de este mes (hora local), Sonatype presentó oficialmente “Sonatype Guide”, una plataforma destinada a ayudar a los desarrolladores a utilizar la IA para construir software de código abierto más seguro y de mayor calidad. Esta plataforma se integra automáticamente con las herramientas de asistencia de codificación con IA, ayudando a eliminar paquetes de software vulnerables o inexistentes y garantizando el uso exclusivo de dependencias verificadas por su fiabilidad.

Sonatype señala que los modelos de IA existentes suelen entrenarse con repositorios de código abierto de hace meses o incluso años, lo que a menudo da lugar a recomendaciones de código erróneo o “paquetes fantasma”. Según una investigación próximamente publicada por Sonatype, la proporción de componentes de código abierto inexistentes recomendados por los principales modelos generativos de IA puede alcanzar hasta el 27%. Esto puede suponer una carga de retrabajo para los desarrolladores, desperdiciar tokens de LLM e incluso generar amenazas para la seguridad.

Sonatype Guide aborda estos problemas obteniendo referencias confiables en las primeras fases del diseño y gestionando las dependencias de forma automatizada. Las pruebas previas realizadas en empresas muestran que el rendimiento en seguridad se ha incrementado en más de un 300% y que los recursos necesarios para aplicar parches de seguridad se han reducido considerablemente. Además, el coste de actualización de dependencias es más de cinco veces menor en comparación con las soluciones existentes.

El CEO de Sonatype, Bhagwat Swaroop, destacó: “Para todas las organizaciones que buscan maximizar la productividad, la IA es una herramienta atractiva, pero no debe usarse a costa de la seguridad o la mantenibilidad. Guide proporciona ‘ojos’ a las herramientas de codificación con IA, permitiéndoles tomar decisiones más inteligentes y prudentes. Esto supondrá un punto de inflexión revolucionario para el sector”.

Sonatype Guide es compatible con las principales plataformas de codificación con IA, como GitHub Copilot, Google Antigravity, AWS Q y Juni basado en IntelliJ, sin necesidad de modificar los flujos de trabajo o entornos IDE existentes. Su tecnología central es el “servidor de protocolo de contexto de modelo (MCP)”, que intercepta en tiempo real las recomendaciones de paquetes mientras el desarrollador escribe código, guiando el uso de paquetes verificados y seguros. También ofrece búsqueda de código abierto a nivel empresarial y soporte completo de API, adaptándose de forma flexible a empresas de diferentes tamaños y arquitecturas.

La Guide presentada en esta ocasión se basa en la tecnología “Sonatype Intelligence”, que puede identificar de forma proactiva vulnerabilidades, paquetes maliciosos y proyectos abandonados mediante análisis de datos en tiempo real. Al incorporar el motor inteligente en el flujo de decisiones de la IA, se guía a los desarrolladores para tomar decisiones técnicas más seguras y fiables desde las primeras etapas.

Con la popularización del desarrollo de software impulsado por IA, la productividad de los desarrolladores está configurando un nuevo paradigma, pero también aumentan las preocupaciones sobre la seguridad y la calidad. En este contexto, Sonatype Guide se perfila como una solución estratégica que puede ayudar a las empresas a superar los desafíos de la adopción de IA y a innovar de forma continua sobre una base de código seguro.