官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
在当今的互联网行业,AI 编程助手(如Cursor、Claude 等)无疑是一场革命。它们像不知疲倦的程序员,极大地提升了我们的开发效率。但正如那句老话:“能力越大,责任越大”,这种速度的飞跃也带来了新的安全风险。当我们沉浸于 AI 带来的便捷时,AI可能会不经意间写出有漏洞的代码。
根据 WIZ 的报告,五分之一的组织面临 Vibe-Coded 应用的系统性风险。问题来了:我们如何在享受 AI 带来的编程“加速度”的同时,确保代码的“安全性”? 思科(Cisco)给出了一个开源答案:CodeGuard。
什么是 CodeGuard?
CodeGuard项目是思科内部开发的框架,现已开源,它是一个AI模型无关的安全框架和规则集。项目的目标是将默认安全实践嵌入到AI编程工作流中(包括代码生成和审查),从而使安全的AI编程成为默认选项,同时不减慢开发人员的速度。
以 Cursor 为例,CodeGuard 提供了一批规则(.cursor目录下),从而约束AI生成的代码。
CodeGuard的工作原理与使用方法
CodeGuard作为一个安全框架,提供了一个社区驱动的规则集、针对主流AI编程助手的翻译器和帮助团队自动强制执行安全的验证器。
该框架的运行机制如下:
- 安全规则以统一的 Markdown 格式编写。
- 转换工具将这些规则翻译成IDE和AI助手的特定格式。
- Cursor这类AI助手在生成或审查代码时引用这些规则。
- 由此,无需开发人员干预,即可自动生成更安全的代码。
使用也很简单:
- 从CodeGuard规则发布页面下载规则
- 复制到项目- 将特定于 IDE 的规则放入仓库中
- 开始编程- AI 助手将自动遵循安全最佳实践
CodeGuard贯穿开发生命周期的集成
CodeGuard可以无缝集成到整个AI编程生命周期中。确保安全贯穿整个开发过程,而不是作为事后补救。
规则的应用阶段包括:
- 代码生成之前:CodeGuard规则可用于产品设计或规范驱动的工程任务。在AI编程助手的“规划阶段”使用规则,可以从一开始就引导模型倾向于安全的模式。
- 代码生成期间:CodeGuard规则可以帮助AI助手在编写代码时,实时防止安全问题的引入。
- 代码生成之后:CodeGuard规则可用于代码审查,在产品发布之前发现漏洞。这种方法使用户能够分层防御安全风险并尽量在业务部署前发现问题,而不会牺牲业务上线速度。
CodeGuard覆盖的安全领域
CodeGuard的规则已经涵盖了八个重要的安全领域:
| 领域 | 覆盖内容 |
|---|---|
| 加密技术 | 安全算法、安全密钥管理、证书验证。 |
| 输入验证 | SQL注入防护、XSS保护、命令注入防御。 |
| 身份验证 | MFA最佳实践、OAuth/OIDC、安全会话管理。 |
| 授权 | RBAC/ABAC、访问控制、防止IDOR。 |
| 供应链 | 依赖项安全、SBOM生成、漏洞管理。 |
| 云安全 | IaC加固、容器安全、Kubernetes最佳实践。 |
| 平台安全 | 移动应用、Web服务、API安全。 |
| 数据保护 | 隐私、静止/传输中加密、安全存储。 |
CodeGuard的核心价值
- 让vibe coding更“懂安全”我们都喜欢 AI 带来的效率,但没人希望因为 AI 生成的漏洞而导致线上事故。CodeGuard 就像是给你的 AI 编程助手加装了一个“安全大脑”,让AI在编程时,能自动规避低级安全漏洞。
- 标准化的 AI 安全基线对于团队或企业来说,如何统一管理所有开发者使用各类AI编程助手的安全性?而对于使用同一款企业版本的AI编程助手,一般可以设置Team Rules,这样就可以确保无论成员使用什么 AI 编程工具,都能遵循同样的安全标准。
CodeGuard项目地址:https://github.com/project-codeguard/rules
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)