Показать HN: Бесплатные локальные проверки безопасности для кодирования ИИ в VSCode, Cursor и Windsurf Привет, HN!
Мы только что запустили Codacy Guardrails, расширение IDE с CLI для анализа кода и сервером MCP, который обеспечивает соблюдение правил безопасности и качества в коде, сгенерированном ИИ, в режиме реального времени. Он подключается к помощникам по кодированию ИИ (например, VS Code Agent Mode, Cursor, Windsurf), молча сканируя и исправляя предложенный ИИ код, который имеет уязвимости или нарушает ваши стандарты кодирования, во время его генерации.
Мы создали это, потому что агенты кодирования могут быть палкой о двух концах. Они повышают производительность, но могут легко ввести небезопасный или несоответствующий требованиям код. Одна недавняя исследовательская группа в Нью-Йоркском университете обнаружила, что 40% выходных данных Copilot были ошибочными или пригодными для эксплуатации [1]. В других опросах упоминается, что люди тратят больше времени на отладку кода, сгенерированного ИИ [2].
Вот почему мы создали «защитное ограждение», чтобы выявлять проблемы безопасности на ранней стадии.
Codacy Guardrails использует набор статических анализаторов с открытым исходным кодом (например, Semgrep и Trivy) для сканирования вывода ИИ по более чем 2000 правилам. В настоящее время мы поддерживаем JavaScript/TypeScript, Python и Java, уделяя особое внимание таким вещам, как OWASP Top 10 vulns, жестко закодированные секреты, проверки зависимостей, сложность кода и нарушения стиля, и вы можете настроить правила в соответствии с потребностями вашего проекта. Мы не используем никаких моделей ИИ, это «классический» статический анализ кода, работающий вместе с вашим помощником ИИ.
Вот краткая демонстрация: https://youtu.be/pB02u0ntQpM
Расширение бесплатно для всех разработчиков. (У нас есть платные планы для команд, позволяющие централизованно применять правила, но это не обязательно для использования расширения и локального анализа кода с помощью агентов.)
Настройка довольно проста: установите расширение и включите CLI и MCP-сервер Codacy на боковой панели.
Мы с нетерпением ждем, что думает сообщество HN! Звучит ли этот подход полезным в вашем рабочем процессе кодирования ИИ? Вы сталкивались с проблемами безопасности из-за кода, сгенерированного ИИ?
Мы надеемся, что Codacy Guardrails сможет сделать разработку с помощью ИИ немного безопаснее и надежнее. Спасибо за чтение!
Получить расширение: https://www.codacy.com/get-ide-extension Документация: https://docs.codacy.com/codacy-guardrails/codacy-guardrails-…
Источники [1]: Исследования Нью-Йоркского университета: https://www.researchgate.net/publication/388193053_Asleep_at… [2]: https://devops.com/survey-ai-tools-are-increasing-amount-of-…
Является ли он проектом с открытым исходным кодом и может ли сервер MCP работать локально в изолированной среде?
@jaimefjorge — Поздравляю с запуском!
Как бы вы сравнили это с Qlty CLI ( https://github.com/qltysh/qlty )?
Планируете ли вы поддерживать рабочие процессы на основе CLI для таких инструментов, как Claude Code и линтинг?
На странице https://www.codacy.com/get-ide-extension нажатие на логотип в верхнем левом углу веб-страницы приведет к переходу на страницу https://www.codacy.com/home?hsLang=en , которая соответствует коду 404. Ссылка на логотип на других страницах работает.
Работаю над монолитом, полностью сгенерированным ИИ, поэтому подключил ваше веб-приложение к репозиторию и установил плагин в Windsurf. Посмотрим, как оно себя покажет, и отчитаюсь.
респект @ доставка этого джейме
Можете ли вы объяснить, как/когда “guardrails” запускаются в Cursor? Я имею в виду: как подключается расширение, чтобы код в представлении diff изменился?
Это также работает с агентами типа Claude Code и Amp? Я полагаю, поскольку есть MCP, это уже может работать, хотя это явно не указано в документации?
Что вы думаете о запуске чего-то вроде ограничителей во время разработки и непрерывной интеграции?
Спасибо, Тош!
Guardrails запускаются каждый раз, когда агент генерирует код. Мы даем инструкции кодирующим агентам запускать guardrails на измененном коде. Это ПОКА не работает с Claude Code и Amp, но поскольку он использует сервер MCP, мы можем легко это сделать. Это в планах.
Я думаю, что время разработки имеет решающее значение, потому что ИИ производит большие куски кода, как мы говорим. Мы также гарантируем, что независимо от того, что происходит во время разработки, мы всегда можем запустить наши облачные проверки во время непрерывной интеграции. Спасибо за ваши вопросы!
Только что попробовал, довольно интересно, как простой скрипт python, сгенерированный с двумя неназванными моделями, использует версию библиотеки запросов с CVE. Самое страшное, что скрипт запустился. Это меняет ситуацию с точки зрения использования ИИ. Скоро вернусь с более подробной информацией, но пока это просто потрясающе
Привет, спасибо за тестирование! Это мой опыт, очень часто можно увидеть библиотеки с уязвимыми версиями, внедряемыми в код. Интересно также то, что, несмотря на использование невероятных моделей кодирования AI, таких как Sonnet 4, вы все равно получаете CVE в своем коде. Попробуйте это с Codacy Guardrails: “создать сервер Java с помощью undertow”.
Спасибо за тестирование. Пожалуйста, поделитесь своим отзывом, когда будете тестировать дальше!
Source: news.ycombinator.com