Cisco开源人工智能生成程序代码安全框架Project CodeGuard,将默认即安全的规则嵌入规划、生成与生成后审查3个阶段,目标是在不拖慢开发节奏下,降低写死密钥、缺少输入验证与依赖终止维护的相依组件等常见风险的发生机率。官方提到,此框架定位为纵深防御的一环,并非取代工程判断与同侪审查。
CodeGuard提供3项重点内容,分别是依据OWASP与CWE等既有指南整理的核心安全规则,将规则转换为主流人工智能程序开发代理可用格式的自动化脚本,以及协助采用与贡献的文件。Cisco强调规则可在设计与规格拟定阶段引导安全模式,在程序产生中即时避免不安全程序代码片段,并在生成后辅助查看与验证,文章中点名Cursor、GitHub Copilot、Codex、Windsurf与Claude Code可于生成后的程序代码审查流程使用。
CodeGuard中的规则可跨流程发挥作用,以输入验证为例,规则在程序代码生成中建议安全处理样式,在互动过程即时标示可疑输入流程,生成后再确认是否具有适当的过滤与验证。秘密管理则避免产生写死的凭证,侦测敏感数据样式,并验证凭证是否外部化与安全配置。官方提醒规则并不保证个别输出绝对安全,标准工程实务仍应并行。
Cisco现已于GitHub创建project-codeguard组织并公开存储库rules,读我文件说明涵盖范畴包含密码学与后量子密码学、输入验证、身份验证与授权、供应链与SBOM、云计算与Kubernetes实务、平台与API安全与数据保护等,并提供规则转换与验证工具。授权模式采双授权,规则与文件采CC BY 4.0,工具与源码采Apache 2.0。
Cisco邀请社交媒体提交新规则、撰写转换器与反馈,以扩展语言支持、集成更多人工智能程序开发平台并推进自动化规则验证。
