Sonatype выпускает решение для обеспечения безопасности AI-кодирования… удалено 27% поддельных пакетов программного обеспечения

С развитием инструментов AI для помощи в программировании скорость разработки увеличивается, но вместе с этим растут и риски безопасности. Профессиональная компания в области безопасности программных цепочек поставок Sonatype представила новое решение для этих задач. 9 числа Sonatype официально объявила о запуске “Sonatype Guide”, который призван помочь разработчикам использовать ИИ для создания более безопасного и качественного открытого ПО. Платформа автоматически интегрируется с инструментами AI для программирования, помогая исключить уязвимые или несуществующие пакеты и использовать только проверенные зависимости.

Sonatype отмечает, что существующие AI-модели обычно обучаются на открытых репозиториях, актуальных на месяцы или даже годы назад, поэтому часто генерируют ошибочный код или “несуществующие пакеты”. По предстоящему исследованию Sonatype, до 27% рекомендаций популярных генеративных AI-моделей приходится на реально несуществующие компоненты с открытым исходным кодом. Это может привести к дополнительной работе для разработчиков, пустой трате LLM-токенов и даже созданию угроз безопасности.

Sonatype Guide решает эти задачи за счёт получения доверенных референсов на ранних этапах проектирования и автоматизации управления зависимостями. По результатам предпродажного тестирования в компаниях, повышение показателей безопасности превысило 300%, а ресурсы, необходимые для установки патчей, существенно сократились. При этом стоимость обновления зависимостей снизилась более чем в 5 раз по сравнению с существующими решениями.

Генеральный директор Sonatype Бхагват Сваруп подчеркнул: “Для всех организаций, стремящихся к максимальной производительности, ИИ — это привлекательный инструмент, но нельзя жертвовать безопасностью или поддерживаемостью. Guide даёт AI-инструментам для программирования ‘глаза’, чтобы они могли принимать взвешенные и осторожные решения. Это станет переломным моментом для отрасли”.

Sonatype Guide совместим с такими популярными AI-платформами для программирования, как GitHub Copilot, Google Antigravity, AWS Q, Juni на базе IntelliJ и другими, не требуя изменений существующих рабочих процессов или среды IDE. Его ключевая технология — “сервер протокола контекста модели (MCP)”, который в реальном времени перехватывает рекомендации пакетов при написании кода, направляя разработчика к безопасным и проверенным пакетам. Также предоставляются корпоративный поиск по открытому ПО и полноценная поддержка API, что обеспечивает гибкость для компаний любого масштаба и архитектуры.

Выпущенный Guide основан на технологии “Sonatype Intelligence” и способен за счёт анализа данных в реальном времени проактивно выявлять уязвимости, вредоносные пакеты, заброшенные проекты и прочее. Встраивание интеллектуального ядра в процесс принятия AI-решений позволяет разработчикам делать более безопасный и надёжный выбор на ранних этапах.

С распространением AI-ориентированной разработки ПО формируется новая парадигма производительности, но растёт и тревога по поводу безопасности и качества. На этом фоне Sonatype Guide может стать стратегическим решением, помогающим компаниям преодолеть сложности внедрения AI, обеспечивать непрерывные инновации на базе безопасного кода.