S0038Significant

程式碼生成含安全漏洞

Design & Development

Risk Description English translation pending

AI 程式碼助手生成包含已知安全漏洞的程式碼。依據相關研究顯示,使用 AI 程式碼助手的開發者產出的程式碼中安全漏洞比例反而更高,且他們更傾向認為自己的程式碼是安全的。常見問題包括 SQL Injection、硬編碼密碼、不安全的隨機數生成、缺少輸入驗證等。

Framework Mappings

iso 23894R2
owasp llmLLM02
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)

Controls English translation pending

  • AI 程式碼安全審查
  • SAST 整合

Implementation Steps English translation pending

  1. 對 AI 生成的程式碼強制執行靜態應用安全測試(SAST)
  2. 在 CI/CD pipeline 中加入自動化安全掃描關卡
  3. 建立 AI 程式碼審查 checklist(OWASP Top 10 項目)
  4. 培訓開發者對 AI 生成程式碼保持懷疑態度並進行安全審查