この生成AI時代において、ソフトウェアリスク管理に対する企業のアプローチには目覚ましい転換が見られます。ソフトウェアエンジニアリングチームはAIコーディングアシスタントの導入を急速に進めています。その一方で、法務およびリスク管理チームは自社開発コードにオープンソースライブラリの断片が埋め込まれるのを懸念しています。企業はどのように法的コンプライアンスとデベロッパーエクスペリエンス(開発者体験:DevEX)のバランスを取ることができるでしょうか?
オープンソースソフトウェア(OSS)のスニペット検出機能を備えたソフトウェア構成解析ソリューションがその答えとなります。しかし、検出方法やワークフローはソリューションによって大きく異なり、最適なソリューションを探し出して選択するのを困難にしています。
「迅速に動いて壊す」時代の終わり
それほど遠くはない過去、「迅速に動いて壊す」ことがイノベーションプロセスにポジティブな影響を与えるとして賞賛された時代がありました。時代は急速に移り変わって今日に至り、AI支援型ソフトウェア開発が開発ワークフローを作り変え、「迅速に動きながら壊さない」が新しくアップデートされたモットーとなりました。現在では、高いレベルのデューデリジェンスを実践して信頼とセキュリティを維持しながら法的義務を満たすことが求められます。
AIコーディングのリスク
この2年ほどの間に、生成AIツールが開発者の生産性を何倍にも向上させるものとして浮上してきましたが、同時に次のような特有のリスクをもたらしました。
(a) コードの出所をあいまいにする
(b) 潜在的なライセンスコンプライアンスの問題を入り込ませる
(c) 隠れたセキュリティ脆弱性の脅威を浮上させる
結果として、企業はソフトウェア構成解析 (SCA) 戦略を進化させ、スニペットレベルの検出という高精細のソリューションを取り入れて開発ワークフローに統合 (シフトレフト) し、開発サイクルのできるだけ早期にコンプライアンスおよびセキュリティチェックを行う必要に迫られています。
AI生成コードに対処する際の疑問点
ライセンス情報が付帯しているオープンソースのパッケージやファイルとは異なり、AI生成のスニペットには作成者の情報や出所に関する詳細、ライセンス情報がありません。そこで次のような疑問が生まれます。
- コードの出所はどこか?
- このコードスニペットはモデルのトレーニングデータの一部がそのままコピーされたものではないか?
- AIが提示したこのコードにはどんなライセンスが適用されるか?
- ライセンスは厳格なコピーレフト要件などの義務を課しているか?
- 元のコードに意図せず脆弱性が入り込んだり、脆弱性をわかりにくくするような変更が加えられていないか?
スニペットレベル検出の重要性
企業は従来のコンポーネントレベルまたはファイルレベルのスキャンからスニペットレベルの検出という高精細のソリューションにSCA戦略をシフトしています。従来のSCAツールはオープンソースコンポーネント全体とその依存関係の管理に重点を置き、AI生成のコードに対しては能力不足であることが露呈しています。そこでスニペット検出が必要不可欠になります…
AI生成コードシリーズ Tips集のご案内
続きは こちらから 資料のダウンロードをお願いします。
このシリーズ記事では、AI生成コードの活用とその課題からトピックスを読み解いて、開発チームの邪魔をすることなく法務およびコンプライアンスチームを満足させるソリューションを選択するためのガイドを提供します。
