思科系统公司有 介绍 CodeGuard 项目是一个开源框架,旨在保护使用人工智能编码代理开发的软件。该系统集成了整个软件生命周期的安全控制,以从最初的创建开始就强化代码。该框架被设计为统一且与模型无关,使其能够与各种人工智能工具一起运行。它旨在通过将护栏编织到多个开发阶段来提供“默认安全”的代码。思科指出 项目代码卫士 并不是要取代工程判断,而是作为“附加的深度防御层”。这种方法补充而不是取代人类监督,从而增强了整个人工智能辅助编码过程的安全性。发布时,CodeGuard 包含源自既定行业指南的核心规则集,包括开放全球应用程序安全项目 (OWASP) 和常见弱点枚举 (CWE)。该初始设置针对的是反复出现的软件缺陷。解决的具体漏洞包括硬编码秘密、输入验证缺失或不充分、使用过时的加密方法以及对已达到使用寿命的软件组件的依赖。这些规则应用于不同的开发阶段,以提供持续的安全实施。在规划和规范阶段,他们引导人工智能代理采用更安全的编码模式。当代码正在积极生成时,框架可以实时阻止不安全片段的创建。生成后,规则将用于全面审查和验证。 Project CodeGuard 还提供社区驱动的规则集、流行 AI 编码代理的翻译器以及帮助团队自动化这些安全措施的验证器。思科强调,这种多阶段方法至关重要,因为人工智能助手越来越多地参与整个软件生命周期,从起草初始设计和脚手架服务到提出代码修复建议。单个规则(例如管理输入验证或秘密管理的规则)旨在影响每个步骤。这包括在生成过程中建议更安全的替代方案,在出现风险结构时对其进行标记,最后验证已完成的代码是否正确地外部化了秘密并清理了所有输入。公司代表表示,CodeGuard 不能保证输出完全安全,人工同行评审和标准安全控制仍然是必要的。该框架的主要目标是随着人工智能加快软件交付进度,降低生产环境中引入“容易出现的”漏洞的可能性。该公司的项目路线图包括更广泛的语言覆盖范围、其他人工智能编码平台的适配器、自动规则验证以及根据社区使用情况细化规则的反馈循环。为了支持这一发展,思科邀请安全工程师、开发人员和人工智能研究人员为该项目做出贡献。该公司已要求提交新规则、构建额外的翻译器以及通过其公共存储库进行遥测通知的改进。
