- Veracode State of Software Security 2024レポートによると、アプリケーションコードは「負債に溺れている」とされ、AIが生成したコードは人間が書いたものと同程度のセキュリティであるが、一般的なソフトウェアの弱点(CWEs)でトレーニングされたAIはコード修正を加速できる。
- 1,000,000のアプリケーションを横断した約13,000,000のコードスキャンに基づくこの報告書によると、63%のアプリケーションには第一者コードの欠陥があり、70%には第三者コードの欠陥がある。
- プログラミング言語によってセキュリティの問題が異なり、最悪なのはVB6、Perl、COBOLであり、Pythonアプリケーションはセキュリティ負債が少ない。
- AI生成コードはセキュリティにおいても優れたわけではないが、特定のCWEsでトレーニングされたLLMsを使用することでコード修正の加速が可能。
- アプリケーションの年齢とサイズが重要で、大規模なアプリケーションほどセキュリティ負債が多く、アプリケーションが古くなると修正のペースが緩やかになる。
私の考え:セキュリティの重要性がますます高まっており、AIを活用してコード修正を迅速化する可能性がある点は興味深いです。特に、特定の脆弱性にトレーニングされたAIを使用するアプローチは有望です。また、脆弱性の高いコンポーネントを早急に修正するためには、セキュリティをソフトウェア開発ライフサイクルに統合し、定期的な更新を行うことが重要だと感じました。