程式碼生成含安全漏洞
Design & Development
Risk Description English translation pending
AI 程式碼助手生成包含已知安全漏洞的程式碼。依據相關研究顯示,使用 AI 程式碼助手的開發者產出的程式碼中安全漏洞比例反而更高,且他們更傾向認為自己的程式碼是安全的。常見問題包括 SQL Injection、硬編碼密碼、不安全的隨機數生成、缺少輸入驗證等。
Framework Mappings
iso 23894R2
owasp llmLLM02
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)
Controls English translation pending
- AI 程式碼安全審查
- SAST 整合
Implementation Steps English translation pending
- 對 AI 生成的程式碼強制執行靜態應用安全測試(SAST)
- 在 CI/CD pipeline 中加入自動化安全掃描關卡
- 建立 AI 程式碼審查 checklist(OWASP Top 10 項目)
- 培訓開發者對 AI 生成程式碼保持懷疑態度並進行安全審查