A Sonatype lança solução de segurança para codificação com IA… remove 27% dos pacotes de software falsos

Com a evolução das ferramentas de assistência à codificação baseadas em IA, a velocidade de desenvolvimento tem aumentado, mas, ao mesmo tempo, os riscos de segurança também crescem. Em resposta a este cenário, a Sonatype, empresa especializada em segurança da cadeia de fornecimento de software, apresentou uma nova solução. A Sonatype lançou oficialmente, no dia 9 (hora local), o “Sonatype Guide”, com o objetivo de ajudar os programadores a utilizar IA para construir software open source mais seguro e de alta qualidade. Esta plataforma integra-se automaticamente com ferramentas de assistência à codificação por IA, ajudando a eliminar pacotes vulneráveis ou inexistentes e garantindo apenas a utilização de dependências comprovadamente fiáveis.

A Sonatype salienta que os modelos de IA existentes são geralmente treinados com base em repositórios open source de meses ou anos atrás, frequentemente sugerindo código irrealista com erros ou “pacotes fantasmas”. Segundo uma pesquisa da Sonatype a ser publicada em breve, a percentagem de recomendações de componentes open source inexistentes por parte dos modelos generativos de IA mais populares pode atingir até 27%. Isto pode resultar em retrabalho para os programadores, desperdício de tokens LLM e, inclusive, originar ameaças de segurança.

O Sonatype Guide resolve estes problemas ao fornecer referências fiáveis desde a fase de conceção e através da gestão automatizada de dependências. Os testes preliminares realizados em empresas indicam um aumento superior a 300% no desempenho de segurança e uma redução significativa nos recursos necessários para aplicar patches de segurança. Além disso, o custo de atualização de dependências é mais de cinco vezes inferior ao das soluções atuais.

Bhagwat Swaroop, CEO da Sonatype, destacou: “Para todas as organizações que pretendem maximizar a produtividade, a IA é, sem dúvida, uma ferramenta apelativa, mas não deve ser utilizada à custa da segurança ou da manutenibilidade. O Guide dá ‘olhos’ às ferramentas de programação com IA, permitindo escolhas informadas e prudentes. Isto representa um ponto de viragem revolucionário para o setor.”

O Sonatype Guide é compatível com plataformas de codificação assistida por IA líderes como GitHub Copilot, Google Antigravity, AWS Q e Juni baseada em IntelliJ, sem necessidade de alterar o fluxo de trabalho ou o ambiente IDE existente. A sua tecnologia central é o “servidor de protocolo de contexto de modelo (MCP)”, capaz de intercetar em tempo real as sugestões de pacotes enquanto o programador escreve código, orientando-o para a utilização de pacotes verificados, seguros e fiáveis. Oferece ainda pesquisa open source a nível empresarial e suporte API completo, adaptando-se de forma flexível a empresas de qualquer dimensão ou arquitetura.

O Guide agora lançado baseia-se na tecnologia “Sonatype Intelligence”, podendo identificar proativamente vulnerabilidades, pacotes maliciosos, projetos descontinuados e outros riscos através de análise de dados em tempo real. Ao integrar o motor inteligente no processo de decisão da IA, orienta os programadores para escolhas tecnológicas mais seguras e fiáveis desde as fases iniciais do desenvolvimento.

Com a crescente adoção do desenvolvimento de software assistido por IA, a produtividade dos programadores está a entrar numa nova era, mas as preocupações com segurança e qualidade também aumentam. Neste contexto, o Sonatype Guide promete tornar-se uma solução estratégica para ajudar as empresas a superar os desafios da aplicação da IA, permitindo inovar continuamente com base em código seguro.