Cisco open source Project CodeGuard biedt standaard voor veilige AI-code

Om dit groeiende probleem aan te pakken, heeft Cisco Project CodeGuard open-sourced. Dit is een model- en platformonafhankelijk beveiligingsraamwerk dat als doel heeft om ‘secure-by-default’-regels in de AI-code-workflows te integreren. Cisco wil hiermee veilige AI-programmering de standaard maken, zonder dat de snelheid van de ontwikkelaars eronder lijdt.

Beveiliging van planningsfase tot Code Review

Project CodeGuard is ontworpen om naadloos te integreren in de gehele levenscyclus van AI-assistentie bij het programmeren. De beveiligingsregels kunnen op drie cruciale momenten worden ingezet:

1. Vóór de codegeneratie (Planning): De regels kunnen worden gebruikt om het AI-model tijdens de ‘planningsfase’ al te sturen richting veilige ontwerppatronen en specificatiegedreven ontwikkeling.
2. Tijdens de codegeneratie (Voorkoming): De regels helpen AI-agents om beveiligingsproblemen direct te voorkomen terwijl de code wordt geschreven.
3. Ná de codegeneratie (Review): Agents zoals GitHub Copilot, Cursor of Claude Code kunnen de regels gebruiken voor geautomatiseerde code-reviews om te valideren of de uiteindelijke code aan de beveiligingseisen voldoet.

Deze meerfasige aanpak zorgt ervoor dat beveiliging vanaf het begin in het ontwikkelproces wordt geweven en niet langer een 'nadertraject' is.

Praktijkvoorbeelden: validatie en geheimenbeheer

Een regel gericht op invoervalidatie kan bijvoorbeeld tijdens de codegeneratie veilige afhandeling van gebruikersinvoer suggereren, real-time waarschuwen wanneer onveilige invoerverwerking wordt gedetecteerd, en achteraf controleren of de juiste logica voor sanering en validatie in de voltooide code aanwezig is.

Een andere regel die zich richt op geheimenbeheer (secret management) kan voorkomen dat hardgecodeerde inloggegevens worden gegenereerd. Het waarschuwt ontwikkelaars wanneer gevoelige datapatronen worden gedetecteerd en verifieert dat geheimen correct worden geëxternaliseerd via veilige configuratiebeheersystemen.

Cisco benadrukt dat Project CodeGuard een 'defense-in-depth'-laag is; het garandeert niet dat elke gegenereerde output 100% veilig is. Standaard beveiligingspraktijken, zoals peer-reviews en professioneel inzicht, blijven altijd noodzakelijk.

Eerste release en toekomstplannen

In versie v1.0.0 brengt Cisco de volgende componenten uit:

• Kernbeveiligingsregels: Gebaseerd op gevestigde best practices en richtlijnen (zoals OWASP en CWE).
• Automatische scripts (Translators): Deze vertalen de regels voor populaire AI-code-assistenten, waaronder Cursor, Windsurf en GitHub Copilot.
• Documentatie om snel van start te gaan.

De roadmap van Cisco omvat de uitbreiding van de regeldekking voor meer programmeertalen en de integratie van aanvullende AI-platforms. De toekomstplannen richten zich ook op intelligente regelsuggesties op basis van projectcontext en de technologie-stack.

Project CodeGuard is een open-source initiatief en Cisco roept de community — beveiligingsingenieurs, software-experts en AI-onderzoekers — op om bij te dragen aan het uitbreiden van de regels, het bouwen van vertalers en het delen van feedback. Met deze stap wil Cisco gezamenlijk de AI-ondersteunde codeerervaring veiliger maken.