GitHub Copilot 会扩大代码的不安全性
开发者安全公司 Snyk 发文指出,GitHub Copilot 可以复制代码中现有的安全问题。即当用户现有的代码库存在安全问题时,GitHub Copilot 可能会基于此提供一些不安全的代码建议;“这意味着,项目中现有的安全债务会让使用 Copilot 的不安全开发变得更不安全。”
另一方面,如果代码库已经高度安全,则 Copilot 生成存在安全问题的代码的可能性就会较小,因为它可以利用的不安全代码上下文较少。这也极大地激励了人们投入时间来减少现有代码库中的漏洞,从而减少未来通过生成式 AI 编码助手引入的问题。
Snyk 表示, GitHub Copilot、Amazon CodeWhisperer 和 ChatGPT 等生成式 AI编码助手在生产力和代码效率方面实现了重大飞跃。但这些工具不理解代码语义,因此无法对其进行判断。
GitHub Copilot 根据从大量现有代码存储库中学到的模式和结构生成代码片段。虽然这种方法有优点,但在安全方面也存在明显的缺点。Copilot 的代码建议可能会无意中复制邻接文件中存在的现有安全漏洞和不良做法,导致不安全的编码实践,并为一系列安全漏洞打开大门。
为了减少 AI 助手生成的代码中重复出现现有的安全问题,Snyk 建议采取以下措施:
- 开发人员应该对代码进行手动审查。
- 安全团队应该建立 SAST(security application security testing)护栏,包括策略。
- 开发人员应遵守安全编码指南。
- 安全团队应该为开发团队提供培训和意识,并对每个团队积压的问题进行优先级和分类。
- 执行团队应强制要求设置安全护栏。
更多详情可查看官方博客。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
国内首部文生视频 AI 动画片将在央视开播
由中央广播电视总台制作的中国首部文生视频 AI 动画片《千秋诗颂》,将于 2 月 26 日起在总台央视综合频道(CCTV-1)18:40 档开播,首次推出六集。 《千秋诗颂》是国内首部以我国自主 AIGC 技术支撑制作的系列动画片,依托中央广播电视总台“央视听媒体大模型”,运用 AI 技术聚焦统编语文教材 200 多首诗词,转化为唯美的国风动画片。 节目综合运用可控图像生成、人物动态生成、文生视频等最新技术成果,支持了从美术设计到动效生成,再到后期成片的各个环节,实现了“有声言诗和无声画意”的有机融合。 根据介绍,在同等预算条件下,按照传统动画制作流程计算,《千秋诗颂》至少需要8个月时间,依托大模型后,制作周期缩短至4个月。目前,这项应用仍处于产研结合阶段,未来大模型研发成熟后,制作周期和动画精细度都会加速迭代升级。 节目的技术总指导、上海人工智能实验室领军科学家林达华介绍称,《千秋诗颂》通过科学家和艺术家的跨界合作,不断突破技术与艺术之间的界限,为AI技术和媒体创作深度融合的探索迈出了重要一步。
- 下一篇
基于 Qt5 的 Windows 截图工具,可代替微信和搜狗截图
代码拉取完成,页面将自动刷新
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2全家桶,快速入门学习开发网站教程
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- 设置Eclipse缩进为4个空格,增强代码规范
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装