OWASPが生成AIツール「Open CRE」を発表 セキュアなソフトウェア開発を支援：セキュリティニュースアラート

OWASPはセキュアなソフトウェア開発に必要となる関連情報への迅速なアクセスを提供するプラットフォーム「Open CRE」を公開した。ユーザーの質問に対して「PALM2」を使用して回答を生成する。

[後藤大地，有限会社オングス]

　セキュリティ関連のオープンコミュニティーであるOWASP（Open Worldwide Application Security Project）は2023年9月11日（現地時間）、セキュリティ標準とガイドラインを単一の概要に統合するインタラクティブなコンテンツリンクプラットフォーム「Open CRE」を公開した。セキュアなソフトウェアの設計や開発、調達、組織化などを実施する際に必要となる関連情報への優れたアクセスを提供する。

OWASPは「Open CRE」を公開した。日本語にも対応している（出典：Open CREのWebサイト）

Open CREの活用でセキュアコーディングが実現

　サイバーセキュリティは全世界において高い関心事となっており、プログラミングの段階からセキュアなコードを書くことが課題になっている。セキュアなコーディングを実現するために多くの規約やガイドラインが存在しているが、必要なときに必要なデータにアクセスするには情報が複数のドキュメントやサイトに分散しているのが現状だ。

　Open CREはこの問題に向けた解決アプローチを提示する。Open CREに自然言語でコーディングセキュリティに関する質問をすると、それに関する回答を得られる。回答はGoogleの大規模言語モデル（LLM）である「PaLM 2」を使って生成されている。学習データにはサイバーセキュリティ標準やインターネットから得られたデータが使われている。

　Open CREを利用するには「Google アカウント」によるログインが必要だ。検索結果に関連するコーディング規約やガイドラインへのリンクが表示されているのが特徴で、欲しいセキュリティ情報に迅速にアクセスできる。サンプルソースコードを表示させることも可能だ。

　Open CREに送られた質問は暗号化された経路を通じてOpen CREがホスティングされている「Heroku」に送信後に「Google Cloud」に送られるとされている。発表によると、Open CREのサーバにこれら質問は保存されないという。

　Open CREのソースコードは「GitHub」で公開されており、必要に応じて利用できる。