Sonatype發佈AI編碼安全解決方案…移除27%的虛假軟體包

隨著AI編碼輔助工具的演進，開發速度加快的同時安全風險也在增大，軟體供應鏈安全專業公司Sonatype針對此推出了新的解決方案。Sonatype於9日（當地時間）正式發佈了"Sonatype Guide"，旨在幫助開發者利用AI建構更安全、高品質的開源軟體。該平台與AI編碼輔助工具自動整合，協助排除脆弱或不存在的軟體包，僅使用經過可靠性驗證的相依項。

Sonatype指出，現有AI模型通常基於數月或數年前的開源倉庫進行訓練，經常提出脫離現實的錯誤程式碼或"虛幻軟體包"。根據Sonatype即將發佈的研究，主流生成式AI模型推薦實際不存在的開源組件的比例最高達27%。這可能給開發者帶來返工負擔、浪費LLM權杖，甚至引發安全威脅。

Sonatype Guide透過在設計初期獲取可信參考、自動化相依管理來解決這些問題。針對企業進行的預測試顯示，安全績效提升了300%以上，並大幅減少了安全修補所需的資源。同時，相較於現有解決方案，相依項升級成本降低了5倍以上。

Sonatype執行長Bhagwat Swaroop強調：“對於所有追求生產力最大化的組織而言，AI雖是有吸引力的工具，但不應以犧牲安全性或可維護性為代價。Guide為AI編碼工具裝上了’眼睛’，使其能做出明智審慎的選擇。這將成為產業飛躍般的轉折點。”

Sonatype Guide相容GitHub Copilot、Google Antigravity、AWS Q、基於IntelliJ的Juni等主流AI編碼平台，且無需改變現有工作流程或IDE環境。其核心技術是"模型上下文協議伺服器（MCP）"，能在開發者編寫程式碼時即時攔截軟體包推薦，引導使用安全可靠的驗證軟體包。同時提供企業級開源搜尋功能和完整API支援，可靈活適用於不同企業規模和架構。

本次發佈的Guide基於"Sonatype Intelligence"技術，可通過即時數據分析主動識別漏洞、惡意軟體包、停運專案等。將智慧引擎嵌入AI決策流程，引導開發者在早期做出更安全可靠的技術選擇。

隨著基於AI的軟體開發普及，開發生產力正形成新範式，但對安全與品質的擔憂也日益加劇。在此背景下，Sonatype Guide有望成為協助企業化解AI應用困境、在安全程式碼基礎上持續創新的策略性解決方案。