アリババクラウドは12月2日、公式ブログでAI時代におけるコードベースを保護するためのセキュリティ対策について記事を公開した。

同記事によれば、AIは「開発者を支援するだけでなく、システムへの侵入を試みる攻撃者の役にも立つ」ものだ。また、開発者にとってAIは「フレンドリーなアシスタントになるだけではなく、ミスを増幅する力になる」とする。

コードベースのウィークポイントは、時間とともに複雑化し、情報漏えいを招きやすくなる点にある。APIトークンやデータベースパスワード、コミットに紛れ込んだ秘密署名鍵なとが公開リポジトリや内部リポジトリに公開され、コピーされるリスクが生じる。

また、サードパーティのライブラリへの依存もウィークポイントとなる。メンテナンスされていない古いパッケージには脆弱性が潜みやすくなる。さらに、コードへのアクセス制限が不適切な点も課題となる。ブランチへの書き込み権限を持つ人が多すぎたり、ビルドサーバーに必要以上の権限を与えることが新たな落とし穴になる。コードベースがメンテナンスされていないことも問題だ。

こうした弱点を補うためにアリババクラウドでは、コードに対する基本的なセキュリティ対策を徹底することをアドバイスしている。

1つめは、コード署名。コードが信頼できるソースから提供され、途中で変更されていないことを証明できる。

2つめは、セキュアなビルドパイプライン。コード署名のための秘密鍵をサーバーから外部に持ち出さず、誰もコピーできないマネージドキーサービスに保存する。

3つめは、AIモデルとAI生成コードの保護。AI開発が普及するなか、従来のコードベースと同様にモデルと生成コードを保護する必要がある。

4つめは、鍵の管理。パスワード、トークン、サービス認証情報などをコード内で管理しないことはもちろん、安全な保管庫や管理されたシークレットストアで管理する。

5つめは、継続的な監視と早期検出。コードスキャナーや依存関係チェッカー、静的解析ツールなどで継続的に問題を監視し、検出できるようにする。

【参考】：How to Secure Your Codebase in the AI Era - Alibaba Cloud Community