コグニションのデプロイエンジニア、イアン・モリッツと、Aikido マッケンジー・ジャクソンを迎え、AI支援コーディングに関するライブマスタークラスを開催しました。
目的は新しいツールを誇大宣伝することではなかった。AIが開発者の傍らでコードの記述、テスト、セキュリティ対策を開始する中で、開発者がいかに主導権を握り続けられるかについて議論することだった。
AIコーディングは良いものでも悪いものでもない。その使い道次第だ。
AIコーディングがセキュリティに有益か有害かという問いに対し、イアンはどちらの立場も取らなかった。彼は、結局のところ使い方次第だと説明した。
「どちらの主張も成り立つ。重要なのは改善のスピードだ。モデルは脆弱性を回避する能力を高めており、我々はそれらを責任を持って活用する方法を学んでいる」 - イアン・モリッツ(Cognition誌)
彼はAIを電動工具に例えた。便利だが、不注意なら危険だ。
「AIは電動工具のように扱え。意図と制御と検証が依然として必要だ」 ― イアン・モリッツ(Cognition誌)
AIは開発を加速させているが、方向性を定め、作業を確認するには依然として人間が必要である。
システムを見極めることが勝負の半分を決める
優れたセキュリティは、アプリが実際にどのように動作するかを理解することから始まります。
Windsurfは、開発者にその可視性を提供するために構築されました。
「データがシステム内をどのように移動するかを理解することが、セキュリティの半分を占める。残りの半分は、データが行くべきでない場所を知ることだ」 - イアン・モリッツ、コグニション
Deep Wikiと コードマップを活用することで、開発者は関数の接続方法、データの移動経路、変更時の影響範囲を追跡できます。
何千行ものコードを掘り下げる代わりに、フローを可視化して弱点を素早く発見できます。
構築する場所に存在するセキュリティ
デモの中で、マッケンジーはAikidoのWindsurAikido拡張機能がIDE内部のセキュリティ問題を検出する様子を示した。
ファイルを保存するとすぐに、漏洩した秘密情報、脆弱な依存関係、欠落しているセキュリティヘッダーをフラグ付けします。
「セキュリティはここにこそあるべきだ。IDEの内側、誰かの問題になる前に。」 - マッケンジー・ジャクソン、Aikido
開発者のワークフローに組み込めるフィードバックです。CIスキャンやセキュリティ監査を待つ必要はありません。問題を早期に発見し、迅速に修正し、開発を継続できます。
あなたのコードをテストするエージェント
イアンは、WindsurfやDevinといったツールの今後の展開について共有した。
彼は、AIが単にコードを書くだけでなく、それをテストする未来を見据えている。
「高品質なテストのコストは急速に低下している。テストは減らすのではなく、増やすつもりだ」 ― イアン・モリッツ(Cognition)
Devinはバックグラウンドでレッドチームのように動作するよう設計されています。コードベースを分析し、攻撃をシミュレートし、デプロイ前にリスクの高いロジックをフラグ付けできます。
開発者は、本番環境で脆弱性が現れるのを待つ代わりに、自身の作業を自動的に負荷テストできるようになる。
将来の開発者
イアンは、AIツールの活用を学ぶ開発者に向けた助言で締めくくった。
「少し時間をかけてGitを学ぼう。作業を小さな単位に分割する。残りはエージェントに任せる。」 - イアン・モリッツ、コグニション
開発者はコードを記述する時間を減らし、AIシステムのレビュー、テスト、指導に時間を割くようになる。最も重要なスキルはスピードではない。それは認識力だ。自分のコードが何をし、なぜ存在し、どこで壊れる可能性があるのかを理解することである。
AI支援コーディングは開発者を置き換えるものではない。ビルダーにより優れたツールを提供することであり、それは素早く思考するが、依然として人間の判断を必要とするものである。
最高の開発者とは、自らのコードに密着し、システムを深く理解し、決して制御を委ねない者たちである。
今すぐソフトウェアを保護しましょう
.avif)
