第1章 AI駆動開発革命のセキュリティ
この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている:translation-feedback@oreilly.com
ソフトウェア開発における人工知能の活用は、もはや開発者の生産性向上だけにとどまらない。今やソフトウェアの記述、保守、実行を積極的に担っている。アプリケーション構築方法におけるこの革命は、驚異的なスピードと効率性をもたらす一方で、既存のアプリケーションセキュリティ(AppSec)手法では対応しきれないセキュリティ上の課題も生み出している。生成AIやエージェント型システムがソフトウェア開発ライフサイクル(SDLC)に組み込まれるにつれ、セキュリティ戦略は新たなリスクに適応する必要がある。
本レポートでは、ソフトウェア開発におけるAIコーディングアシスタント、エージェント型サービス、自律的ワークフローの普及から生じるセキュリティ課題を探る。焦点は、AIモデル自体のセキュリティ確保(これは別途レポートが必要だ)という同様に厄介な問題ではなく、AIが作成し、ますますその一部となりつつあるソフトウェア自体のセキュリティにある。
プラットフォームテレメトリ、開発者アンケート、実世界のセキュリティスキャンデータに基づき、AI生成コードがもたらすリスクと従来型アプリケーションセキュリティ手法の限界について、データに裏打ちされた視点で検証する。 読者は、開発者の自律性と拡張可能なアプリケーションセキュリティのバランスを取るために、「AI信頼」という概念を中心とした新たな戦略が不可欠である理由を学ぶ。本レポートの終わりまでに、AI加速型およびAIネイティブ型ソフトウェア開発がもたらす中核的な脆弱性、現代のワークフローを保護するために必要な調整、そして先進企業が開発者体験にリアルタイムセキュリティをいかに成功裏に統合しているかを理解できるだろう。
本章では、AIコーディングアシスタントの普及がもたらす影響を探った後、AI加速ソフトウェアの次の進化段階である「エージェント型システム」を検証する。これは意思決定、ワークフローの開始、他エージェントとのコミュニケーションが可能な自律的AIエージェントとして動作するアプリケーション構成要素である。これによりAI加速はソフトウェア開発から本番環境で稼働するアプリケーションへと移行する。
AIコーディング共同作成者の台頭
Google Gemini、GitHub Copilot、Amazon CodeWhispererなどの大規模言語モデル(LLMs)に基づく生成AIコーディングアシスタントは、膨大なオープンソースコードリポジトリで訓練され、開発者の統合開発環境(IDE)にディレクトリ統合されている。これらのツールは、反復的なコーディング作業を削減し、リアルタイムのコード提案やドキュメントを提供し、複雑なアプリケーションのプロトタイピングやスケルトン作成まで行うことで、既存の開発ワークフローを加速させている。
こうした大きな利点と、効率性を最適化しようとするソフトウェアエンジニアの本能を考えれば、AIコーディングツールの採用が急増しているのは当然と言える:
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Read now
Unlock full access