Что за #*&! Vibe Coding Security?

[David_Osipov]

Аналог SBOM, но для AI-кода. Простой список с указанием модели, промпта и параметров, которые породили сниппет. Если что-то ломается, можно понять, откуда это взялось и почему. Прозрачность означает ответственность.

Это что даст? Модели по своей природе будут писать разный код для одного и того же промпта, это если условиться, что компании не будут модели обновлять.

Имхо, я сейчас создаю такую либу и могу только сказать, что нужно критически проверять сам код несколькими моделями несколько раз, потом обложить его юнит, интеграционными, фазз тестами, потом ещё провести оценку угроз по Страйду и попросить ИИ сыграть в red teaming с написанием PoC, а сами PoC кидать в adversarial tests папочку и гонять со всеми тестами.

Помимо этого всего, надо ещё обложится всякими SAST и прочими тулзами, потому что ИИ мелочи не видит - они как раз и помогут находить.

[Shaman_RSHU]

И как PromptBOM поможет на практике? Ну узнаю я, что это наго***дил Grok, а не Cursor. И что дальше делать? Запретить его использовать?

[feld1meow]

То, что раньше занимало недели, теперь можно собрать за один день. Это значит, что любая команда может наклепать прототипы и инструменты, не дожидаясь инженеров.

"Тяп-ляп" подход к "тяп-ляп" результату приводит. Порог входа в написание кода снизился, а желание получить качественный результат у работодателей только растет, судя по требованиям в вакансиях.