Как угнаться за скоростью генерации кода, сохраняя принципы безопасной разработки?
ИИ-агент в первую очередь закрывает бизнес-сценарий, а защитная логика без отдельного требования часто остаётся на втором плане. Поэтому проверка такого кода становится отдельной задачей.
👨💻 Дмитрий Богачев, главный эксперт по безопасной разработке, собрал список того, на что обратить внимание в коде от ИИ:
✅ Границы доверия Откуда приходят данные, что считается доверенным, где нужны валидация, нормализация, экранирование и ограничение доступа к объектам.
✅ Авторизация Имеет ли пользователь право на конкретное действие с конкретным объектом с учётом ролей, принадлежности данных и допустимости перехода состояния.
✅ Опасные операции Всё, что связано с получением чужих данных, изменением состояния, работой с файлами, токенами, сессиями и внешними сервисами.
Больше подробностей о типовых уязвимостях, которые создаёт ИИ-код, читайте в статье на Тпрогер.
