著者:ブライアン・スミッチェス、Windsurfパートナーデプロイエンジニアリング責任者 |ジン・ウォン、Windsurf パートナーデプロイエンジニア | タラク、Aikidoグロース担当
現代の開発チームは、単にコードを書くだけにとどまらない。今やAIの助けを借りて、ソフトウェア開発組織はこれまで以上に大規模な規模で、その作成、保守、提供を調整している。
Cognition社のWindsurfやDevinといったツールは、コード記述が可能な多段階推論エージェントで人間を支援することで、ソフトウェア開発ライフサイクル(SDLC)全体にわたる開発者を支援します。WindsurfはローカルマシンのIDE上でコードベースを直接操作するのを支援し、Devin(世界初のAIソフトウェアエンジニア)は自律エージェント群への作業委任を支援し、最終的にエンジニア1人あたりの生産量を飛躍的に増加させます。
開発速度の向上はこれらのAIツールの価値提案の中核ですが、セキュリティを重視する顧客は、AIツールの使用が追加リスクをもたらさないことを確実にしたいと考えています。設定ミス、脆弱性、悪用といった意図しない結果を軽減することは、イノベーションのスピードでセキュリティを維持するために極めて重要です。Aikido のような専用の開発者向けセキュリティプラットフォームが活躍します。
本記事では、Windsurf(AI搭載IDE)、Aikido 開発者中心のセキュリティ)、Devin(自律エージェント)といったツールを活用し、AI対応のSDLC(ソフトウェア開発ライフサイクル)および開発パイプラインにセキュリティを直接組み込む方法を考察します。適切なツール、人材、プロセスを組み合わせることで、高いセキュリティ態勢を維持しながら効率的にソフトウェアを開発することが可能となります。
なぜSDLCにセキュリティファーストの基盤が必要なのか
強固なセキュリティ体制が整っていない場合、組織はAIツールの有無にかかわらずリスクに直面します。これには以下が含まれますが、これらに限定されません:
- データ侵害
- 内部脅威
- ソフトウェア・サプライチェーン攻撃
- 敵対的エクスプロイト
多くの企業は、開発パイプライン全体にセキュリティ慣行を組み込むため、DevSecOpsまたはSecDevOpsプロセスを採用している。セキュリティ対策を後付けではなく事前に考慮することで、金銭的損失、規制上の罰則、評判の毀損から保護される。
適切なコンテキスト認識とプロンプト設計を組み込むことで、AIシステムは非常に高い知能を発揮します。WindsurfやDevinといったAIソリューションは、セキュリティ上の懸念事項に事前・事後対応できるよう、AIのカスタマイズされた動作を定義することを可能にします。Aikidoセキュリティソリューションから得られるコンテキストやツールでAIエージェントを強化することで、セキュリティの早期対応化、自律エージェントによるリアルタイム脆弱性トリアージ、DevSecOpsパイプライン全体の成熟化といったメリットを実現できます。
AI搭載IDE:セキュア開発の始まり
Windsurfは、共同作業型AIエージェント「Cascade」をIDEに直接統合し、通常の開発プロセスへの影響を最小限に抑えます。このエージェントは、Windsurfエディター(VS Codeベース)で利用可能であり、JetBrainsのIDEスイート向けプラグインとしても使用できます。
.gif)
Cascadeはコードベースの文脈を理解し、複数ファイルにわたる編集を計画・実行し、インラインでのコード提案を提供します。重要なのは、Windsurfの中核には「人間が関与する」という哲学が組み込まれており、従来の手作業中心の開発環境において完全自律型AIの介入を防ぐ仕組みとなっている点です。
開発者が自身のワークフローとAIとの連携方法を掌握することで、制御を放棄することなくエージェント型ソフトウェア開発の利点を実感できます。人間はAIが提案した変更をコードスニペット単位で確認でき、必要に応じて会話の過去のチェックポイントに遡ることも可能です。人間開発者とコーディングエージェントのシームレスな連携は、セキュリティと効率性を向上させる直感的なフローを生み出します。
ウィンドサーフは、ユーザーが日常の開発において独自の基準やセキュリティ慣行をAIエージェントに定義する仕組みを提供することで、カスケードをさらに強化します。ウィンドサーフのカスタマイズにより、カスケードはチーム固有のガイドライン、コーディング規範、実装の詳細に適応します。ウィンドサーフルールではワークスペース全体のスタイルと構造を体系化でき、ウィンドサーフワークフローでは反復的なプロンプトパターンを再利用可能な共有プレイブックに変換します。
さらにカスタマイズされ、Aikido プラグインのようなセキュリティツールを備えたAIは、ユーザーが作成したソフトウェアがセキュリティ基準とベストプラクティスに準拠するよう支援します。
自律エージェント:追加のAIソフトウェアエンジニアを活用する方法
ミッションクリティカルな業務や創造的なタスクには常に開発者が必要ですが、デビンのような自律エージェントは、範囲が明確で反復的な業務においてますます人気を集めています。デビンは、ソフトウェア開発の需要の変化に応じて弾力的に拡張する、ジュニアソフトウェアエンジニアに相当するAIと考えることができます。
デヴィンを通じて、顧客は記録的な速さで大規模な移行を実行し、終わりのないバグや機能リクエストのバックログを徐々に解消し、フラグが立てられた脆弱性を自動的にトリアージしています。
全体として、Devinは既存の開発チームの負担を軽減することで組織のスピード向上を支援し、プルリクエストを送信する前にテストやローカルセキュリティスキャンツールを確実に実行するその勤勉さを通じて、組織からの信頼を得ています。
Devinは1対多の形で動作するよう設計されているため、Jira、Slack、Linearなどの既存のワークコラボレーションシステムに統合され、割り当てられたタスクを受け取ることができます。Devinがタスクを完了すると、プルリクエストと、すべての調査および作業の監査ログを作成するため、開発者はセッションを確認できます。 さらに、Aikido などのセキュリティツールを用いてソースコード管理ツールで生成されたプルリクエストをレビューすることで、出力されたコードのリリースに対する信頼性を高めるAikido 。
これにより、エンジニアは曖昧なタスクや高リスクな課題に集中できる一方、エージェント群が機能リクエストやバグ、Aikidoなどのセキュリティシステムから特定された脆弱性に対応します。
Aikido 役割
AI搭載のIDEで高速開発を進め、自律エージェントによるソフトウェア開発を調整する中でも、Aikido スピードがセキュリティを犠牲にしないことをAikido 。
あらゆる開発環境において、AIで強化された環境でさえ、セキュリティ脆弱性は必然的に発生します。 コミットされた設定ファイルにテスト用APIキーが含まれる可能性がある。ローカルテスト用のDockerfileがステージング環境で広範なネットワークアクセスを意図せず公開する恐れがある。足場構築用のAI生成ルートが認証なしで本番環境に到達する危険性がある。Infrastructure-as-Codeテンプレートが過剰なアクセス権限を付与する可能性がある。詳細なスタックトレースやハードコードされたテスト認証情報といった些細な要素さえ、現実の脆弱性につながる。
Aikido 、構築・ホスト・実行するあらゆる場所でソフトウェアを保護し、あらゆる規模の脆弱性をインシデント化する前に捕捉するという前提でAikido
実際には、Aikido パイプラインからビルド成果物やクラウドインフラに至る開発ツールや環境にAikido 、継続的に脆弱性をチェックします。コミット前のシークレット検出、重大な問題発生時のCIビルド停止、プルリクエスト内の依存関係リスクの可視化など、既存ワークフロー内で直接フィードバックを提供します。Aikido 独自のAikido 、ノイズのフィルタリング、影響度の高い発見事項の優先順位付け、SDLC全体での脆弱性自動修正を支援します。
開発者が普段作業する環境でAikido 、開発フローを中断せずに容易に対Aikido 。各工程で、さらにはリアルタイムで問題を早期に捕捉することで、チームは真価を発揮できる領域——優れたソフトウェアの提供——に集中できます。AI駆動開発の全速度で進めながら、記述・生成・出荷するコードのセキュリティを確信できるのです。
ウィンドサーフィンとAikido活用方法
Aikido WindsurfとDevinを拡張する場合、複雑な設定や統合はAikido 。Aikido リモートリポジトリに既に接続Aikido 、コードがWindsurfで開発されたものか、Devinで開発されたものか、あるいはNotepad++で開発されたものかを問わず、コミットとプルリクエストを監視します。
2つのツールを組み合わせて活用する方法はこちら:
1.IDE内での活用:よりスマートで安全なコーディング
WindsurfはIDEにAIを導入します。Aikido そこにセキュリティもAikido 。コードが開発者自身によるものであれAIエージェントによるものであれ、Aikido 以下を支援することで作業ツリーがリアルタイムでセキュリティ基準を満たすことをAikido :
- トークンや認証情報などの漏洩した機密情報を、コミットされる前に検出する
- 生のSQL、シェル呼び出し、脆弱な入力検証など、リスクの高いロジックをフラグ付けする
- オープンソースライブラリなどの脆弱な依存関係を強調表示する
IDEにAikido により、コンテキストスイッチなしで即時フィードバックを得られ、作業の流れを維持しながらセキュリティも向上します。
2. CIとプルリクエストにおける「第二の目」
コードがエディタから離れた後、Aikido CIパイプラインとプルリクエストをAikido 。コードの作者や作成方法に関わらず、すべての変更をスキャンし、以下の支援を行います:
- コードおよび依存関係における既知の脆弱性を再確認する
- インフラストラクチャまたはサービス設定の変更を検証する
- 重大な問題が発見された場合、ブロックはマージされる
- 重要でないノイズをフィルタリングし、必要な情報だけを表示する
プルリクエスト内またはCIステータスチェックに検出結果が表示されます。以上です。追加の設定は不要です!
3. ビルド時:出荷するものを検査する
セキュリティはソースコードを超えた領域にまで及びます。コンテナやパッケージをビルドする際、Aikido 焦点を実際の生成物へとAikido 。具体的には:
- システムパッケージの旧バージョンと一般的な脆弱性に関するスキャン
- コード生成またはコピーされた例によって導入されたフラグ付けライブラリ
- リリース前のバンドルコードのライセンスリスク確認
- AI生成であることを宣言する必要なく動作します
ここで問題が表面化することが多いのは、サードパーティ製アプリケーションの依存関係から来る自動包含パッケージやテンプレートベースのスキャフォールディングである。
4. デプロイ後: Cloud
Aikido 環境アプリAikido 実行される環境をAikido 、以下の方法で設定における一般的なミスをチェックします:
- AWS、GCP、Azureにおけるクラウド環境の検証
- 公開されているサービス、パブリックバケット、および脆弱な権限の検出
- Kubernetes、ネットワーク、およびデプロイメント設定の確認
- エージェント不要、インストール不要
AIによって生成されたインフラストラクチャコードが、再確認されることなくステージング環境や本番環境に投入される場合に特に有用である。
5. 稼働環境でのテスト:攻撃者の視点で検証
Aikido 、ユーザーや攻撃者が実際に行うように、アプリケーションが稼働している状態で実環境テストAikido 。Aikido :
- 有効な認証情報を使用してルートと機能をテストする
- インジェクションリスク、公開されたエンドポイント、および不足しているアクセス制御を発見する
- 文書化されていない、または意図せず公開されたAPIを検出する
- 有効化されている場合、実行時に不審なトラフィックをブロックする
コードレビューでは見つけられなかった問題が、アプリが稼働した際の動作に現れるのをここで発見します。
結局のところ、セキュリティ脆弱性の原因が何であれ、セキュリティを可能な限り左側にシフトさせる合理化された対応計画が必要です。Aikido 問題を可視化し、Windsurf Editorなどのアプリケーションでソースコードを手動更新するか、Devinを介して更新することでリスクに対処する手助けAikido 。
次のステップ
これらのアイデアを実践に移す準備が整ったら、AIの能力を活用して安全なソフトウェアやアプリケーションを開発する方法を理解するための以下の出発点を推奨します:
- ウィンドサーフィンを始めよう:https://www.windsurf.com/university
- Aikidoコードをスキャン:https://integrations.aikido.dev/integrations/windsurf
- deepwiki.comで公開リポジトリに関するデヴィンのDeepWiki特集をご覧ください
- Devinをapp.devin.aiで始めましょう
- Aikidoプラクティスをご覧ください:https://www.aikido.dev/learn/secure-development
- Aikidoをご覧ください:https://www.youtube.com/watch?v=xGDYPRPoFPA
最後の考え
AIは開発者を置き換えるのではなく、強化するものです。しかし安全性を伴わない速度向上は、立ち止まる正当な理由となります。そのため、速度を最大化する前にセキュリティメカニズムの改善をお勧めします。安全なアプリケーションは偶然に生まれるものではなく、熟考された設計、優れたツール、そして人々の優先順位付けが組み合わさった結果なのです。
プロンプトから本番環境まで、あらゆる段階にセキュリティを組み込むことは、チームがより迅速かつ安全にリリースするための重要な要素です。
今すぐソフトウェアを保護しましょう
.avif)
