Cisco Systems Inc. ma wprowadzony Project CodeGuard, platforma typu open source przeznaczona do zabezpieczania oprogramowania opracowanego przy użyciu agentów kodujących sztucznej inteligencji. System integruje kontrolę bezpieczeństwa w całym cyklu życia oprogramowania, aby wzmocnić kod od momentu jego początkowego utworzenia. Struktura została zaprojektowana tak, aby była ujednolicona i niezależna od modelu, co umożliwi jej współpracę z różnymi narzędziami sztucznej inteligencji. Ma na celu dostarczenie „domyślnie bezpiecznego” kodu poprzez wplatanie barier ochronnych w wiele etapów rozwoju. Cisco to określiło Projekt CodeGuard nie ma na celu zastąpienia oceny inżynieryjnej, ale służy jako „dodatkowa warstwa zapewniająca dogłębną obronę”. Podejście to uzupełnia nadzór człowieka, a nie go zastępuje, wzmacniając bezpieczeństwo w całym procesie kodowania wspomaganego sztuczną inteligencją. W chwili premiery CodeGuard zawiera podstawowy zestaw reguł wywodzący się z ustalonych wytycznych branżowych, w tym Open Worldwide Application Security Project (OWASP) i Common Weakness Enumeration (CWE). Ten początkowy zestaw ma na celu powtarzające się wady oprogramowania. Konkretne luki, które usuwają, obejmują zakodowane na stałe sekrety, brakującą lub nieodpowiednią walidację danych wejściowych, stosowanie przestarzałych metod kryptograficznych oraz zależności od komponentów oprogramowania, których żywotność dobiegła końca. Zasady te są stosowane na różnych etapach rozwoju, aby zapewnić ciągłe egzekwowanie bezpieczeństwa. Na etapie planowania i specyfikacji kierują agentów AI w stronę bezpieczniejszych wzorców kodowania. Podczas aktywnego generowania kodu framework może blokować tworzenie niepewnych fragmentów w czasie rzeczywistym. Po wygenerowaniu reguły służą do kompleksowego przeglądu i walidacji. Project CodeGuard zapewnia także zestaw reguł kierowany przez społeczność, tłumacze dla popularnych agentów kodujących AI i walidatory pomagające zespołom w automatyzacji tych środków bezpieczeństwa. Cisco podkreśliło, że ta wieloetapowa metodologia ma kluczowe znaczenie, ponieważ asystenci AI są coraz bardziej zaangażowani w cały cykl życia oprogramowania, od opracowywania wstępnych projektów i usług tworzenia rusztowań po proponowanie poprawek kodu. Pojedyncza reguła, na przykład regulująca sprawdzanie poprawności danych wejściowych lub zarządzanie sekretami, ma wpływać na każdy krok. Obejmuje to sugerowanie bezpieczniejszych alternatyw podczas generowania, oznaczanie ryzykownych konstrukcji w miarę ich pojawiania się i wreszcie sprawdzanie, czy ukończony kod prawidłowo ujawnia sekrety i oczyszcza wszystkie dane wejściowe. Przedstawiciele firmy oświadczyli, że CodeGuard nie gwarantuje całkowicie bezpiecznego wydruku i że konieczna jest w dalszym ciągu weryfikacja przez człowieka i standardowe kontrole bezpieczeństwa. Głównym celem frameworku jest zmniejszenie prawdopodobieństwa wprowadzenia „łatwo wiszących” luk w środowiskach produkcyjnych, gdy sztuczna inteligencja przyspiesza harmonogramy dostarczania oprogramowania. Plan działania firmy dotyczący projektu obejmuje szerszy zakres języków, adaptery dla dodatkowych platform kodowania AI, automatyczną weryfikację reguł i pętle informacji zwrotnej w celu udoskonalenia reguł w oparciu o wykorzystanie społeczności. Aby wesprzeć tę ewolucję, Cisco zaprasza inżynierów bezpieczeństwa, programistów i badaczy sztucznej inteligencji do udziału w projekcie. Firma poprosiła o przesłanie nowych zasad, budowę dodatkowych tłumaczy i ulepszenia oparte na telemetrii za pośrednictwem swojego publicznego repozytorium.
