大手ソフトウェア企業であるJFrog(ジェイフロッグ)は、SCA(ソフトウェアコンポジションアナリシス)の大幅な機能強化となるAI生成コード検証機能の提供開始を発表した。この新機能は、従来のSCAスキャナーをすり抜けてしまう未追跡コードへの懸念の高まりに対応するために設計されている。未追跡コードは、「バイブコーディング」などのペースの速いワークフローにおいてプロジェクトに入り込む可能性がある。バイブコーディングでは、開発者はAIを用いてコード生成を行い、ソースコード検証よりも迅速な結果の検証に重点を置いている。この未追跡コードは、AIによって生成されたものであれ、手動でコピー&ペーストされたものであれ、標準的なチェックでは検出されず、重大なリスクをもたらす可能性がある。
追跡されていないAI生成コードの主な危険性の一つは、「ウイルス性」ライセンス侵害のリスクだ。開発者は、GNU一般公衆利用許諾書(GPL)などの「ウイルス性」オープンソースライセンスでライセンスされている機能を、知らず知らずのうちに独自のコードベースにコピーしてしまう可能性がある。これにより、企業は独自のアプリケーション全体のソースコードを公開する法的義務を負うことになり、知的財産に対する深刻な脅威となる。さらに、追跡されていないコードは脆弱性を隠蔽する可能性があり、開発者は既知の重大な脆弱性を持つリポジトリーからコピーしたコードを知らず知らずのうちに使う可能性がある。これは、アプリケーションに目に見えないバックドアを作成する可能性がある。さらに、完全な監査証跡を作成するには、全てのコード行の出所が不可欠だ。これがなければ、ソフトウェアのセキュリティーを証明し、セキュリティーレビューに合格することは不可能になる。
これらの問題に対処するため、JFrogのAI生成コード検証は、よりインテリジェントなコード分析手法であるセマンティックマッチングを採用している。単にテキストを照合するのではなく、コードの根底にあるロジックと機能を分析する。これにより、見た目だけでなく、コードの動作や意図をより深く理解できる。このアプローチはソフトウェアの整合性を確保し、コードの出所を潜在的な盲点から検証可能な強みへと変化させる。LLMを使う他のソリューションは速度が遅く、多くのリソースを消費する可能性があるが、JFrogのアプローチは、速度とパフォーマンスを維持しながら、隠れたリスクを高い精度で検出する。
JFrogのセマンティックマッチング技術は、セキュリティーガードレールとして開発者のワークフローに直接統合されている。開発者が、企業のセキュリティーまたはライセンスポリシーに違反するAI生成またはコピーされたスニペットを含むプルリクエストをマージしようとした場合、そのアクションはブロックされる。この予防的制御により、リスクをソースで阻止し、追跡されていないコードによる脅威に直接対処する。知的財産権とコンプライアンスを強化し、リアルタイムの脆弱性を防止し、監査証跡を強制的に維持する。JFrogは、ディープソース分析を基盤となるSCAスキャナーに直接統合することで、この盲点を制御ポイントへと変革し、ソフトウェアサプライチェーンのセキュリティーを確保する。
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。
