Sonatype发布AI编码安全解决方案…移除27%的虚假软件包

随着AI编码辅助工具的演进，开发速度加快的同时安全风险也在增大，软件供应链安全专业公司Sonatype针对此推出了新的解决方案。Sonatype于9日（当地时间）正式发布了"Sonatype Guide"，旨在帮助开发者利用AI构建更安全、高质量的开源软件。该平台与AI编码辅助工具自动集成，帮助排除脆弱或不存在的软件包，仅使用经过可靠性验证的依赖项。

Sonatype指出，现有AI模型通常基于数月或数年前的开源仓库进行训练，经常提出脱离现实的错误代码或"虚幻软件包"。根据Sonatype即将发布的研究，主流生成式AI模型推荐实际不存在的开源组件的比例最高达27%。这可能给开发者带来返工负担、浪费LLM令牌，甚至引发安全威胁。

Sonatype Guide通过在设计初期获取可信参考、自动化依赖管理来解决这些问题。针对企业进行的预测试显示，安全绩效提升了300%以上，并大幅减少了安全补丁所需的资源。同时，相比现有解决方案，依赖项升级成本降低了5倍以上。

Sonatype首席执行官Bhagwat Swaroop强调：“对于所有追求生产力最大化的组织而言，AI虽是有吸引力的工具，但不应以牺牲安全性或可维护性为代价。Guide为AI编码工具装上了’眼睛’，使其能做出明智审慎的选择。这将成为行业飞跃般的转折点。”

Sonatype Guide兼容GitHub Copilot、Google Antigravity、AWS Q、基于IntelliJ的Juni等主流AI编码平台，且无需改变现有工作流或IDE环境。其核心技术是"模型上下文协议服务器（MCP）"，能在开发者编写代码时实时拦截软件包推荐，引导使用安全可靠的验证软件包。同时提供企业级开源搜索功能和完整API支持，可灵活适用于不同企业规模和架构。

本次发布的Guide基于"Sonatype Intelligence"技术，可通过实时数据分析主动识别漏洞、恶意软件包、停运项目等。将智能引擎嵌入AI决策流程，引导开发者在早期做出更安全可靠的技术选择。

随着基于AI的软件开发普及，开发生产力正形成新范式，但对安全与质量的担忧也日益加剧。在此背景下，Sonatype Guide有望成为帮助企业化解AI应用困境、在安全代码基础上持续创新的战略性解决方案。