Secure Code Warrior, AI로 DevSecOps 교육 범위 확대

출처: DevOps.com

Secure Code Warrior는 이번 주에 인공지능(AI) 에이전트의 기능을 확장하여 애플리케이션 개발자가 코드를 작성하는 실시간에 관련 교육 인사이트를 제공할 수 있게 했습니다.

가트너 보안 및 위험 관리 서밋에서 발표된 Adaptive Learning 기능은 회사의 학습 플랫폼에 추가되어 각 개발자가 사용하는 AI 도구를 커밋한 코드 라인까지 감지하고, 관련 교육을 자동으로 제공하여 개발자가 컴플라이언스 문제를 식별하고 코드 저장소에서 발견된 취약점을 해결할 수 있게 합니다.

SCW Trust Agent는 Checkmarx, SonarQube, Parasoft의 API 데이터를 가져오고 정적 분석 결과 교환 형식(SARIF) 파일을 업로드함으로써 이러한 취약점을 발견할 수 있습니다.

DevSecOps 팀은 취약점을 저장소와 기여자에 매핑하고 할당 및 완료된 작업을 추적하여 애플리케이션 개발자의 진행 상황을 시간에 따라 평가할 수 있습니다.

마지막으로, 발견된 취약점을 기반으로 특정 개발자에게 목표 마이크로 교육을 자동으로 할당하도록 정책을 설정할 수 있습니다.

Secure Code Warrior의 CTO인 Matias Madou는 SCW Trust Agent에 대한 이번 확장이 조직이 예를 들어, 나중에 운영 환경에서 해결해야 할 수 있는 애플리케이션 보안 문제를 처음부터 발생하지 않도록 방지하는 고도로 개인화된 교육을 제공할 수 있게 만든다고 말했습니다.

AI가 애플리케이션 품질에 어떤 영향을 미칠지는 아직 판단하기 이릅니다. AI가 생성한 코드의 첫 물결은 다양한 출처에서 가져온 종종 결함이 있는 코드 예시를 기반으로 생성되기 때문에 해결해야 할 취약점이 더 많이 발생하고 있습니다. 그러나 코드를 생성하는 대형 언어 모델(LLM)의 추론 능력이 향상됨에 따라, 과거 인간과 기계가 흔히 만들던 많은 취약점이 점차 감소하고 있습니다.

Madou는 SCW Trust Agent가 코드가 개발되는 동안 문제를 식별하도록 특별히 훈련된 AI 에이전트를 추가함으로써 그 능력을 다음 논리적 단계로