GitLabの新しいセキュリティ機能はAIを使って開発者に脆弱性を説明します

開発者プラットフォームの GitLab は本日、大規模な言語モデルを使用して開発者に潜在的な脆弱性を説明する新しい AI 駆動型セキュリティ機能を発表しました。将来的にはこれを拡張し、AI を使用してこれらの脆弱性を自動的に解決する予定です。

今月初め、同社は開発者向けにコードを説明する新しい実験的ツール（GitLabが発表した新しいセキュリティ機能に類似）と、課題コメントを自動で要約する新しい実験的機能を発表しました。この点で注目すべきは、GitLabが既にコード補完ツール（現在GitLab UltimateおよびPremiumユーザーに利用可能）と、昨年MLベースのレビュー担当者候補機能をリリースしていることです。

新機能「この脆弱性を説明」は、コードベースのコンテキスト内で脆弱性を修正するための最適な方法を見つけるための支援を提供します。このコンテキストこそが、このツールが脆弱性に関する基本情報とユーザーのコードから得られる具体的な洞察を組み合わせることができる点であり、このツールが違いを生み出します。これにより、これらの問題の修正がより容易かつ迅速になります。

同社は、AI 機能追加の全体的な哲学を「ガードレール付きの速度」と呼んでいます。つまり、同社のフルスタック DevSecOps プラットフォームに支えられた AI コードとテスト生成を組み合わせることで、AI が生成するものが何であれ安全に展開できることを保証するということです。

GitLabはまた、同社のAI機能はすべてプライバシーに配慮して構築されていることを強調した。「もし我々 の知的財産であるコードに触れる場合は 、それをGitLabsのモデル、あるいはGitLabのクラウドアーキテクチャ内にあるモデルにのみ送信します」と、GitLabのCPOであるDavid DeSanto氏は語った。「これが我々にとって重要な理由は、そしてこれはエンタープライズDevSecOpsにも関係しますが、我々の顧客が厳しく規制されているからです。我々の顧客は通常、セキュリティとコンプライアンスに非常に敏感で、サードパーティのAIにデータを送信することを必要とするコード提案ソリューションを構築することはできないと我々は認識していました。」また、GitLabは顧客の個人データをモデルのトレーニングに使用しないとも述べた。 

デサント氏は、GitLabのAIイニシアチブにおける全体的な目標は効率を10倍にすることだと強調しました。これは個々の開発者の効率だけでなく、開発ライフサイクル全体の効率性向上を意味します。彼が正しく指摘したように、たとえ開発者の生産性を100倍にできたとしても、そのコードのレビューや本番環境への導入といった下流工程における非効率性が、その成果を簡単に打ち消してしまう可能性があります。

「開発がライフサイクルの20%だとしたら 、たとえ開発を50%効率化しても、実感できる効果はないでしょう」とデサント氏は述べた。「セキュリティチーム、運用チーム、コンプライアンスチームの効率も向上させれば、組織としてその効果を実感できるはずです。」