Cisco Systems Inc. ha introdotto Project CodeGuard, un framework open source progettato per proteggere il software sviluppato con agenti di codifica di intelligenza artificiale. Il sistema integra controlli di sicurezza lungo tutto il ciclo di vita del software per rafforzare il codice fin dalla sua creazione iniziale. Il framework è progettato per essere unificato e indipendente dal modello, consentendogli di funzionare con vari strumenti di intelligenza artificiale. Mira a fornire un codice “sicuro per impostazione predefinita” intrecciando guardrail in più fasi di sviluppo. Lo ha specificato Cisco Progetto CodeGuard non è inteso come sostituto del giudizio tecnico ma funge da “livello di difesa aggiuntivo in profondità”. Questo approccio integra il controllo umano anziché sostituirlo, rafforzando la sicurezza durante tutto il processo di codifica assistito dall’intelligenza artificiale. Al momento del lancio, CodeGuard include un set di regole fondamentali derivato da linee guida consolidate del settore, tra cui Open Worldwide Application Security Project (OWASP) e Common Weakness Enumeration (CWE). Questo set iniziale mira a difetti software ricorrenti. Le vulnerabilità specifiche affrontate includono segreti hardcoded, convalida dell’input mancante o inadeguata, l’uso di metodi crittografici obsoleti e dipendenze da componenti software che hanno raggiunto la fine del loro ciclo di vita. Queste regole vengono applicate in fasi distinte di sviluppo per garantire un’applicazione continua della sicurezza. Durante la fase di pianificazione e specifica, indirizzano gli agenti di intelligenza artificiale verso modelli di codifica più sicuri. Mentre il codice viene generato attivamente, il framework può bloccare in tempo reale la creazione di snippet non sicuri. Successivamente alla generazione, le regole vengono utilizzate per una revisione e una convalida complete. Project CodeGuard fornisce inoltre un set di regole guidato dalla comunità, traduttori per i più diffusi agenti di codifica AI e validatori per assistere i team nell’automazione di queste misure di sicurezza. Cisco ha sottolineato che questa metodologia in più fasi è fondamentale perché gli assistenti AI sono sempre più coinvolti nell’intero ciclo di vita del software, dalla stesura dei progetti iniziali e dei servizi di scaffolding alla proposta di correzioni del codice. Una singola regola, ad esempio quella che regola la convalida dell’input o la gestione dei segreti, è progettata per influenzare ogni passaggio. Ciò include il suggerimento di alternative più sicure durante la generazione, la segnalazione di costrutti rischiosi non appena appaiono e, infine, la verifica che il codice completato esternalizzi correttamente i segreti e sanitizzi tutti gli input. I rappresentanti dell’azienda hanno affermato che CodeGuard non garantisce risultati perfettamente sicuri e che restano necessari la revisione tra pari umani e controlli di sicurezza standard. L’obiettivo principale del framework è ridurre la probabilità che le vulnerabilità “low-hanging” vengano introdotte negli ambienti di produzione mentre l’intelligenza artificiale accelera i programmi di consegna del software. La tabella di marcia dell’azienda per il progetto include una copertura linguistica più ampia, adattatori per piattaforme di codifica AI aggiuntive, convalida automatizzata delle regole e cicli di feedback per perfezionare le regole in base all’utilizzo della comunità. Per supportare questa evoluzione, Cisco invita ingegneri della sicurezza, sviluppatori e ricercatori di intelligenza artificiale a contribuire al progetto. L’azienda ha richiesto l’invio di nuove regole, la creazione di traduttori aggiuntivi e miglioramenti basati sulla telemetria attraverso il suo archivio pubblico.
