Veracode
PulseAugur coverage of Veracode — every cluster mentioning Veracode across labs, papers, and developer communities, ranked by signal.
3 天有情绪数据
-
研究发现AI代码助手生成的代码不安全
像GitHub Copilot这样的AI代码助手经常生成存在安全漏洞的代码,研究表明约有40-45%的AI生成代码存在缺陷。这些模型是在包含不安全模式的庞大公共代码库上训练的,导致了SQL注入和跨站脚本等问题。使用这些工具的开发人员也倾向于对其代码的安全性过于自信,造成了危险的信任差距。一种独特的AI风险是包幻觉,即模型建议不存在的包,攻击者可以通过“slopsquatting”来利用这些包。为了减轻这些风险,AI生成的代码应被视为不…
-
新数据集训练 AI 生成安全代码,涵盖 Web 和 AI/ML 漏洞
研究人员推出了 SecureCode,这是一个旨在训练 AI 模型生成更安全代码的新数据集。该数据集同时解决了传统的 Web 应用程序安全问题(涵盖 OWASP Top 10 2021)和 OWASP LLM Top 10 2025 中概述的 AI/ML 特定安全问题。它包含 2,185 个多轮对话示例,结构化用于指令调优,重点关注跨各种框架和语言的实际应用。该数据集已通过严格的质量保证,并在 Hugging Face 上提供,同时附…
-
自动化安全测试工具对现代 DevSecOps 至关重要
文章讨论了自动化安全测试工具在现代 DevSecOps 环境中的关键作用。文章强调了代码开发和部署的快速节奏如何需要这些工具来在漏洞进入生产环境之前识别它们。文章引用了 Verizon 的 2025 数据泄露调查报告,以强调对此类安全措施日益增长的压力。
-
人工智能加速软件熵增,需要运行时验证
人工智能在软件开发中的日益普及正在加速熵增,导致代码量增加而人为监督减少。这会造成脆弱性,因为安全和可靠性方面的差距可能直到运行时才显现。组织面临着在限制人工智能采用(这会牺牲竞争速度)或接受风险并随之解决问题之间做出选择。更有效的方法是将人工智能生成的代码默认视为不受信任的,并在生产环境中实施持续验证,这类似于零信任网络安全原则。
-
AI 编码助手获得实时策略防护栏
两篇文章讨论了模型上下文协议(MCP)系统的实施和安全性,该系统为大型语言模型(LLM)提供实时组织上下文。第一篇文章详细介绍了一个开源的“架构师防护栏”,旨在将公司策略注入到 Cursor 和 Claude 等 AI 编码助手,防止生成不合规或不安全的代码。第二篇文章侧重于 MCP 系统的基本安全防护栏,强调输入验证、授权、工具限制、提示注入防御、输出清理以及关键操作的确认,以将 LLM 视为不可信的助手。