Sonatype випустила рішення для безпеки AI-кодування… усунуто 27% фальшивих програмних пакетів

Із розвитком інструментів AI для допомоги у програмуванні, швидкість розробки зростає, але водночас посилюються й ризики безпеки. Спеціалізована компанія з безпеки програмного ланцюга постачання Sonatype запропонувала нове рішення для цих викликів. 9 червня (за місцевим часом) Sonatype офіційно представила “Sonatype Guide”, який покликаний допомогти розробникам за допомогою AI створювати більш безпечне та якісне програмне забезпечення з відкритим кодом. Платформа автоматично інтегрується з AI-інструментами допомоги в кодуванні, допомагає виключати вразливі або неіснуючі пакети, використовуючи лише перевірені надійні залежності.

Sonatype зазначає, що існуючі AI-моделі зазвичай навчаються на відкритих репозиторіях, які оновлювались місяці або навіть роки тому, і часто пропонують нереалістичний, хибний код або “фіктивні пакети”. Згідно з дослідженням Sonatype, яке незабаром буде опубліковано, основні генеративні AI-моделі рекомендують неіснуючі компоненти з відкритим кодом у 27% випадків. Це може призвести до перевитрат часу на доопрацювання, марнування токенів LLM, а подекуди навіть створити загрози безпеці.

Sonatype Guide вирішує ці проблеми за допомогою отримання надійних посилань на початкових етапах розробки та автоматизованого керування залежностями. Попереднє тестування на підприємствах показало, що безпекова ефективність підвищилася більш ніж на 300%, а ресурси, необхідні для виправлення вразливостей, значно скоротилися. Водночас, порівняно з існуючими рішеннями, вартість оновлення залежностей зменшилася більше ніж у 5 разів.

Генеральний директор Sonatype, Бхагват Сваруп, підкреслив: “Для всіх організацій, які прагнуть до максимізації продуктивності, AI — це привабливий інструмент, але не варто жертвувати безпекою чи підтримуваністю. Guide додає AI-інструментам кодування ‘очі’, дозволяючи їм приймати обдумані рішення. Це стане проривною точкою для цілої індустрії”.

Sonatype Guide сумісний із провідними AI-платформами для кодування, такими як GitHub Copilot, Google Antigravity, AWS Q, Juni на базі IntelliJ тощо, і не потребує зміни поточних робочих процесів чи середовищ розробки (IDE). Його основна технологія — “сервер протоколу контексту моделі (MCP)”, який у реальному часі перехоплює рекомендації щодо програмних пакетів під час написання коду та спрямовує розробників до використання перевірених, безпечних пакетів. Також доступний корпоративний пошук по відкритому коду та повна підтримка API, що дозволяє гнучко впроваджувати рішення для підприємств різного масштабу та архітектури.

Guide, представлений цього разу, побудований на основі технології “Sonatype Intelligence” і може активно виявляти вразливості, шкідливі пакети, застарілі проєкти завдяки аналізу даних у реальному часі. Інтелектуальний рушій вбудований у процес прийняття рішень AI, допомагаючи розробникам робити безпечніші та надійніші технічні вибори на ранніх етапах.

Із поширенням AI-розробки продуктивність програмістів виходить на новий рівень, але водночас зростає занепокоєння щодо безпеки й якості. На цьому тлі Sonatype Guide має потенціал стати стратегічним рішенням, яке допоможе компаніям подолати труднощі впровадження AI, забезпечити безпечний код і постійно впроваджувати інновації.